Vor Snyk hatte StartApp ein Tool für Open-Source-Sicherheit im Einsatz, das im Dev-Team auf wenig positive Resonanz stieß: Zu kompliziert, schwerfällig in der Handhabung, nicht intuitiv, so lautete das Urteil der Entwickler. Und so gering fiel entsprechend auch ihre Nutzung des Tools aus, da sie schlicht nicht verstanden, wie sie damit umgehen sollten. Was es also brauchte, war eine entwicklerfreundliche Lösung, die sich nahtlos in gewohnte Dev-Workflows einfügte. Insbesondere zentral war dabei, dass sich Security-Monitoring für Code ohne Umwege über externe Tools oder Plattformen direkt innerhalb von GitLab umsetzen ließ.
Snyk: Ein Security-Tool mit echtem Rückhalt im Dev-Team
Die Entscheidung für Snyk fiel bei StartApp auf Empfehlung von einem der Dev-Teams, das versicherte: Hier hatte man eine Lösung gefunden, die auch wirklich von den Entwicklern genutzt werden würde. Denn über die Integration von Snyk mit GitLab wurde es möglich, die Technologie direkt in die gewohnte Dev-Umgebung zu bringen. So ließen sich Security-Scans einfach auf Merge-Requests ausführen und dadurch effektiv verhindern, dass über Code-Änderungen neue Schwachstellen ins Repository gelangen. Hinzu kam, dass Snyk den Entwicklern auch schon beim Schreiben ihres Codes direkt Feedback zu seiner Sicherheit lieferte.
„Eines unserer Dev-Teams hatte die kostenlose Version von Snyk Open Source im Einsatz und war vollends überzeugt: Snyk würde sich unternehmensweit bei allen Entwicklern großer Akzeptanz erfreuen, denn unserem bisherigen Tooling sei die Lösung in allen Belangen überlegen.“
Dynamisches Dev-Cycle dank Auto-Fixing
So etwa in punkto Automatisierung: Zur Behebung von Schwachstellen müssen Entwickler nicht mehr tun als die Empfehlungen von Snyk zu akzeptieren, ganz ohne tiefergehende Analysen. Das allein ist bereits höchst effizient, außerdem führt Snyk aber auch die Scans selbst erheblich schneller aus als andere Lösungen, die StartApp evaluierte.
„Was Snyk in punkto Fixing bietet, ist wirklich herausragend. Denn automatisierte Scans innerhalb der CI/CD-Pipeline sind das eine. Nicht weniger wichtiger ist es aber, dabei erkannte Probleme auch schnell beheben zu können.“
Schneller Rollout via GitLab Integration
Dank der bereits erwähnten Möglichkeit zur Integration von Snyk mit GitLab konnte das Team binnen kürzester Zeit starten und seinen Code sicher machen. Nicht weniger wichtig für den schnellen Rollout war dabei die breite Unterstützung von Programmiersprachen wie JavaScript, Python und Java, die in den Dev-Prozessen von StartApp zum Einsatz kommen.
„Als Erstes wurde Snyk von unserem Data-Team implementiert, das für sämtliche datenorientierten Prozesse in unserem Software-Stack verantwortlich zeichnet. Dort dauerte es nur wenige Tage, bis alle mit der Lösung startklar waren. Und nach ebenso kurzer Zeit waren Schwachstellen in diesem Bereich nahezu komplett passé.“