Herausforderung: Modernisierung von Security-Testings
Angesichts mehrerer Tech-Stacks, die Visma unterhält, steht immer auch die Frage danach im Raum, wie sich diese adäquat absichern lassen.
„Visma agiert als organisches Gesamtunternehmen, verteilt sich jedoch auf rund 200 kleinere Gesellschaften, die von verschiedensten Ländern aus operieren“, kommentiert Per Olsson, Application Security Advisor bei Visma. „Entsprechend kompliziert gestaltet es sich, ein zentrales Security-Programm unternehmensweit zu skalieren.“
Deshalb sondiert das Unternehmen den Security-Markt regelmäßig, um die Sicherheit seiner Infrastruktur stets auf das modernste Tooling zu stützen.
„Wir loten periodisch aus, ob unsere Toolsets noch die aktuellsten technologischen Standards erfüllen. In punkto Security-Testings war das eher weniger Fall“, so Nicolai Brogaard, der bei Visma für Software Composition Analysis (SCA) und Static Application Security Testing (SAST) verantwortlich zeichnet. „Hier war es also an der Zeit, uns die nächste Generation näher anzusehen.“
Lösung: Security mit Developer-First-Methodik
In Frage kommende Security-Tools evaluierte Visma dabei mit zwei zentralen Entscheidungskriterien: automatisiertes Onboarding sowie intuitive UX für Entwickler. Genau das also, was Snyk Open Source auszeichnet. Denn für die mehr als 140 Developer-Teams des Unternehmens ließ sich die Lösung komplett nahtlos ausrollen. Zugleich machte sie ihnen die Erkennung und Behebung von Schwachstellen in externen Abhängigkeiten enorm einfach. Entsprechend positiv war die Resonanz bei den Entwicklern, Snyk und mit der Technologie Security in ihre Dev-Prozesse zu integrieren.
„Die wichtigste Success Metric? Ganz klar die Gesamterfahrung für den Kunden beim Onboarding“, merkt Brogaard hierzu an. „Das ist bei neuen Tools ja schon per se nicht gerade einfach. Für Anbieter im Security-Bereich allerdings umso mehr, muss der Value doch absolut klar erkennbar sein. Snyk allerdings konnte hier vollumfänglich liefern – darin waren sich bei uns alle einig.“
Ein wichtiger Faktor war dabei auch die Erfüllung der Anforderungen des Visma Cloud Delivery Model (VCDM), in dessen Rahmen das Unternehmen Governance-Strukturen unter anderem auch für sein Security-Programm definiert. Ermittelt wird in diesem Kontext auch ein Reifegrad-Index, unter dem Visma diverse Metrics zu seinen verschiedenen Gesellschaften zusammenfasst. So auch den Onboarding-Fortschritt bei Security-Tools und den Backlog bestehender Schwachstellen. Die hierzu nötigen Daten ruft Visma so einfach wie übergreifend für sämtliche Code-Projekte über die Snyk API ab.
Integration in Plug-and-Play-Manier
Gerade auch angesichts der starken Diversifizierung seines Tech-Stacks war es für Visma entscheidend, dass sich die Lösung flexibel integrieren ließ. Denn bei der Wahl ihrer bevorzugten Tools haben die Entwicklerteams zwar grundsätzlich freie Wahl. In punkto Security-Testings sind allerdings die Vorgaben des Security-Teams obligatorisch. Dank seinem umfangreichen Ökosystem an Plug-ins und Integrationen ließ sich Snyk hier mühelos einpassen – und Entwicklern damit auch weiterhin die Flexibilität einräumen, ihr Dev-Tooling selbst zu bestimmen.
Bei vielen Security-Testing-Tools ist gleich so viel Background erforderlich, dass man vom Idealzustand à la Plug & Play wirklich weit entfernt ist. Ganz anders mit Snyk, das für Entwickler den Einstieg ganz direkt und alle Features leicht einsetzbar gestaltet.“
Ergebnis: Schwachstellen-Radar für 20.000 Projekte
Zum Zeitpunkt der Veröffentlichung dieses Artikels hatte Visma mit Snyk mehr als 600.000 Testings über rund 20.000 Code-Projekte hinweg ausgeführt – den größten Teil davon automatisch und direkt im Dev-Prozess. Nicht weniger beeindruckend: Schwachstellen mit hohem Schweregrad konnte das Unternehmen so um 65 % reduzieren, solche kritischer Art um 39 %.
Noch mehr spannende Insights zu seiner Story bot Visma im Rahmen einer Präsentation bei der SnykCon 2021 . Zentrales Thema darin: wichtige Erkenntnisse und Stationen auf dem Weg zu einem AppSec-Programm mit Developer-Fokus.