Herausforderung: Skalierung von Security-Prozessen im Einklang mit rasantem Wachstum
In den vergangenen Jahren hat sich die Zahl der Mitarbeiter bei Smartsheet mehr als verdoppelt – ein enormes Wachstum also, mit dem allerdings auch ein erweiterter Bedrohungskontext einherging. Umso wichtiger wurde daher eine Methodik, die hier dauerhaft effektiven Schutz würde bieten können. Skalierbar umsetzen ließ sich das nur durch die Automatisierung von AppSec-Prozessen – die so einfach und effizient wie möglich auf Seiten der Entwickler implementierbar sein mussten.
„Hinter unserer Plattform steht eine enorme Codebase, die sich zu einem nicht unerheblichen Teil auch auf Open-Source-Elemente stützt. Diese abzusichern und damit verbundene Risiken adäquat adressieren zu können, ist für uns also enorm wichtig“, so Chris Peake, CISO bei Smartsheet. „Dies erstreckt sich logischerweise auch auf Compliance-Fragen rund um die zugehörigen Lizenzen.“
Hierzu wollte man Code-Scans auf Schwachstellen wie auch das Management von Open-Source-Lizenzen automatisieren. Dabei sollten die zugehörigen Prozesse innerhalb des Dev-Teams umsetzbar sein und zugleich skalierbare Software-Rollouts gewährleisten. Probleme sollten also punktgenau zur richtigen Zeit aufgedeckt werden. Dies zudem auch mit dem nötigen Kontext, damit die Teams schnell die richtigen Entscheidungen für optimale Sicherheit würden treffen können.
„Sicher, Developer-First Security war das Mandat unserer Entwicklung, nicht etwa eine Option. Doch das entsprechende Tooling selbst konzeptionieren, dazu ist unser Team einfach zu klein“, kommentiert Jason Bubolz, Principal Security Engineer bei Smartsheet. „Snyk bot uns dies gleich im Gesamtpaket: Threat Intelligence für die nötigen Insights, automatisiert in präzisen Fixing-Empfehlungen für unsere Entwickler.“
Lösung: Nahtlose Sicherheit, effizient umgesetzt im Dev-Team
Für die Lösung von Snyk entschied man sich nach Evaluierung verschiedener Tools für Code-Security, darunter auch Whitesource, Black Duck und Veracode. Überzeugen konnte Snyk Open Source einmal durch seine unkomplizierte, zielführende UX mit echtem Developer-Fokus, außerdem durch seine ebenso schnelle wie nahtlose Integration. Hinzu kamen die fundierten Empfehlungen zur Behebung von Schwachstellen, die sich auf Entwicklerseite komplett intuitiv umsetzen ließen.
„Snyk besticht durch eine Schwachstellen-Datenbank, die in Umfang und Detailgenauigkeit ihresgleichen sucht“, erläutert Bubolz die Entscheidung. „Und nicht nur das: Die Lösung macht diese Insights auch durchgängig im ganzen SDLC verfügbar. So erhalten unsere Entwickler stets genau die Hinweise, die sie benötigen – ganz gleich, in welcher Phase sie gerade stehen. Was Snyk hier leistet, beeindruckt mich immer wieder.“
Snyk Open Source ermittelt bei Erkennung einer Schwachstelle nicht nur das Upgrade, das mindestens für ihre Behebung vonnöten ist. Die Lösung zeigt auch direkt auf, ob damit womöglich Bugs oder andere Probleme im weiter gefassten Code einher gehen könnten. Gerade die frühzeitige Verfügbarkeit solcher Detail-Insights ist für Smartsheet unabdingbar. Denn erst so können seine Entwickler sicherheitsbezogene Entscheidungen auch ohne Involvierung des Security-Teams fundiert genug treffen.
Snyk Container: Prävention von Schwachstellen direkt im Dev-Prozess
Nicht weniger wichtig war es bei Smartsheet, auch die Sicherheit von Container-Deployments nahtlos aus dem Entwicklerteam heraus stärken zu können. Mit Snyk Container ließ sich dies so mühelos wie umfassend in die bestehenden Dev-Workflows des Unternehmens umsetzen. Da die Lösung durchgängig im gesamten SDLC greift, macht sie Entwickler bereits frühzeitig auf Schwachstellen und ihren Schweregrad aufmerksam. So können sie diese beheben, noch bevor ein womöglich unsicherer Container seinen Weg in die Produktion findet.
„Bereits in den Frühphasen des Dev-Prozesses haben unsere Entwickler Klarheit darüber, ob sie von einem bestimmten Base-Image vielleicht besser absehen sollten“, merkt Bubolz hierzu an. „Ein enormer Vorteil, denn im Nachgang wären entsprechende Korrekturen extrem zeitaufwändig.“
Snyk API: Datenmanagement smart automatisiert
Im Zuge seiner Marktsondierung hatte Smartsheet zudem die APIs verschiedener Technologien analysiert. Auch hier konnte Snyk aufgrund seiner deutlich effizienteren Implementierung gegenüber den evaluierten Alternativen das Rennen machen. Denn neben den Reporting-Prozessen für die Daten zu verschiedensten Projekten ließ sich mit der Snyk API auch das Management von hunderten GitHub-Repositories automatisieren.
„Für mich war wichtig, dass sich die Daten automatisch in ein System einspeisen lassen, das an dieser Stelle übernimmt“, merkt Bubolz hierzu an. „Denn abgesehen von mir selbst sind da ja auch noch die Commits unserer mehr als 400 Entwickler, die jeden Tag in unsere Codebase einfließen. Dank der Snyk API habe ich direkt auf dem Schirm, wenn neue Repositories eingerichtet werden oder sich die Ownership für sie ändert. Was enorm wichtig ist, denn andernfalls könnten wir Security-Scans kaum effektiv in unsere Dev-Prozesse einbinden.“
Ergebnis: Eliminierung von Schwachstellen im Dev-Team quasi auf Anhieb
Snyk begleitet seine Kunden stets umfassend beim Onboarding seiner Lösungen – ein Service, dank dem sich die Implementierung bei Smartsheet vom ersten Tag als voller Erfolg erwies. Denn gemeinsam mit Snyk eruierte man zunächst präzise, wie sich die Lösung in das breiter gefasste Dev-Ökosystem des Unternehmens integrieren ließ, um sie dann passgenau in jede einzelne CI-Pipeline einzufügen.
„Noch bevor unsere Entwickler die Lösung überhaupt vollständig integriert hatten, zeigte sie bereits deutliche Wirkung“, erinnert sich Bubolz. „Begeistert davon, wie einfach sie damit Probleme beheben konnten, wuchs direkt ihr Ehrgeiz, die Sicherheit ihres Codes fortan eigenständiger anzugehen.“
Einfache Implementierung = Nahtlose Umsetzung von Dev-First Security
Nachdem sich das Onboarding so schnell und unkompliziert gestaltete, ging es nicht weniger nahtlos mit der Einbindung von Snyk in die Workflows der Security- und Dev-Teams weiter. Statt ellenlangen Bug-Listen, die sie mühsam durchgehen und sich dabei den Lösungsweg selbst erschließen müssen, erhalten die Entwickler nun durchgängig im gesamten SDLC Klarheit über Probleme und ihre Behebung gleichermaßen. Denn Snyk liefert ihnen direkt den Kontext, den sie benötigen, um die überwiegende Mehrheit der Fixes selbst zu implementieren – einige davon zudem mit nicht mehr als einen Klick.
„Die Ergebnisse sind wirklich beeindruckend“, resümiert Bubolz. „Am Anfang hatte es sich ja bereits angedeutet, doch jetzt zeigt sich das Potenzial von Dev-First Security in vollem Umfang.“
Weniger Aufwand beim Compliance-Management für Open-Source-Lizenzen
Auch das Legal-Team von Smartsheet konnte von der Snyk Implementierung enorm profitieren. Denn in der Vergangenheit konnte es nur mit größtem Aufwand nachvollziehen, welche Lizenzen sich hinter den Abhängigkeiten in den Produkten des Unternehmens verbargen. Mit Snyk hat es die entsprechenden Informationen dagegen für sämtliche Projekte zentral im Blick – ebenso wie auch die Entwicklerteams. So bleibt eine hohe Release-Frequenz ebenso gewährleistet wie die Erfüllung der Lizenzanforderungen der genutzten Open-Source-Software sowie anderer Compliance-Vorgaben.
„Für unser Legal-Team war das geradezu eine Offenbarung“, beschreibt Peake die Reaktion des Teams darauf. „Denn bis dato hatte es eine Liste unserer Open-Source-Abhängigkeiten von Hand geführt – mit vorstellbar großem Arbeitspensum. Dass wir das mit Snyk nun komplett zentral einsehen können, ist ein weiterer bedeutender Vorteil der Lösung, der ihren Wert noch einmal erheblich für uns steigert.“
