Auf einen Blick
- Konsolidiert SCA, SAST und container auf einer einzigen Plattform
- Innerhalb weniger Wochen mit einem Ingenieurin 100 Repositorys integriert
- Unterstützt 100 Entwickler in GitLab, GitHub und Azure DevOps
- Bietet mehrsprachige AppSec für F#, Rust, C++, C#, Python, React/Typescript
- Ermöglicht frühere Korrekturen durch Workflows für Merge-Anfragen
- Fördert den sicheren Softwareentwicklungslebenszyklus (SSDLC) von AutoStore mit umsetzbaren Erkenntnissen
- Ausgewählte Aikido vor Black Duck und Endor Labs
Herausforderung
Die Engineering-Organisation von AutoStore war gewachsen und hatte sich diversifiziert. Fast 100 Entwickler arbeiteten weltweit mit vielen verschiedenen Sprachen, Codebasen und Büros. Während einige Teams strenge Sicherheitsgewohnheiten hatten, verließen sich andere auf inkonsistente Prozesse oder veraltete Arbeitsabläufe, was zu einer ungleichmäßigen Abdeckung führte. Als das Unternehmen zunehmend auf Cloud-native Entwicklung umstellte, wurden diese Lücken immer schwieriger zu bewältigen.
Der Engineering Manager und der CISO machten sich daran, den sicheren Softwareentwicklungslebenszyklus (SSDLC) von AutoStore zu stärken und für Klarheit und Konsistenz beim Umgang mit Sicherheit im gesamten Unternehmen zu sorgen.
AutoStore benötigte eine Plattform, die vollständige AppSec über Legacy- und Cloud-native Repositorys hinweg bieten, seinen vielfältigen Tech-Stack unterstützen und sich direkt in GitHub, GitLab und Azure DevOps integrieren lässt.
„Wenn 100 Entwickler oder 10 Teams ihre Arbeit selbstständig erledigen, gibt es natürlich einige Vorgehensweisen, die gut sind, und andere, die nicht so gut sind“, sagte Vegard Syre Aaker, Sicherheitssoftware-Ingenieur bei AutoStore.
Unterdessen konnten Open-Source-Risikoprozesse, die historisch auf C++-Systemen aufgebaut waren, nicht skaliert werden, um moderne Entwicklungsumgebungen zu unterstützen.
„Wir waren auf der Suche nach einem Sicherheitstool, das alle unsere Programmiersprachen unterstützt und mit GitHub, GitLab und anderen Systemen kompatibel ist. Da unsere Repositorys sehr unterschiedlich sind, war dies keine leichte Aufgabe. Aikido eines der wenigen Tools, das alle unsere Anforderungen erfüllen konnte.“
Eine von Entwicklern geleitete Auswahl
Vegards frühere Erfahrungen als Entwickler prägten die Bewertung von AutoStore. Das Team benötigte eine AppSec , die Entwickler tatsächlich nutzen würden und die sich reibungslos in bestehende Arbeitsabläufe integrieren ließ.
„Ich war auf der Suche nach einem Tool, von dem ich wusste, dass es die Entwickler unterstützen würde. Etwas, das sie tatsächlich nutzen würden und das sich gut in unsere Prozesse integrieren ließe.“
Diese Anforderung, die Entwickler an erste Stelle zu setzen, stand in starkem Einklang mit dem Ansatz Aikido.
Lösung
AutoStore hat Aikido Endor Labs und Black Duck und Open-Source-Tools. Aikido durch seine intuitive Bedienung, AppSec mehrerer Sprachen AppSec und die Fähigkeit aus, mehrere Sicherheitsfunktionen in einer Plattform zu vereinen.
„Während der Konzeptprüfung hat uns die einfache und intuitive Benutzeroberfläche gefallen. Wir haben uns auch für Aikido entschieden, Aikido es leicht zu integrieren war und viele Sicherheitstools in einer Suite mit einem Dashboard enthielt.“
Aikido alle gängigen Sprachen und bot sowohl direkte Integrationen als auch lokales Scannen für komplexe C++-Bibliotheken. Während GitHub und Azure DevOps bereits zu einem früheren Zeitpunkt reibungslos integriert wurden, demonstrierte die Einführung von GitLab die Skalierbarkeit der Plattform:
„Der Großteil der GitLab-Integration wurde von einem Sicherheitsingenieur mit nur wenig Unterstützung in nur wenigen Wochen durchgeführt. Dies umfasste etwa 100 Repositorys und 100 Entwickler.“
Die schnelle Unterstützung und Flexibilität Aikidotrugen zur Geschwindigkeit der Bereitstellung bei.
„Die meisten Probleme während der Integration und Einführung konnten gemeinsam mit Aikido schnell gelöst werden, und das Unternehmen ist flexibel genug, um bei Bedarf Änderungen an seiner Software vorzunehmen.“
Warum AutoStore sich für Aikido entschieden hat
AutoStore hat sich für Aikido entschieden, Aikido es:
- Unterstützt alle gängigen Sprachen, darunter C++, Rust und F#.
- Integriert sich direkt in GitHub, GitLab und Azure DevOps
- Konsolidiert SCA, SAST container auf einer einzigen Plattform
- Bietet entwicklerorientierte Workflows und Transparenz bei Merge-Anfragen
- Liefert umsetzbare Ergebnisse, die Störfaktoren reduzieren und bei der Priorisierung helfen.
Ergebnisse
Aikido bietet Aikido einen einheitlichen Überblick über Schwachstellen in allen Teams und Repositorys.
„Entwickler und Sicherheitsingenieure haben jetzt einen viel besseren Überblick über Risiken und Schwachstellen. Ich bin mir sicher, dass dies die Sicherheit unserer Anwendungen im Laufe der Zeit verbessern wird.“
Die Merge-Request-Workflows Aikidohelfen dabei, Probleme früher zu erkennen und das Engagement der Entwickler zu verbessern.
„Wenn dies als Kommentar in Merge-Anfragen enthalten ist und diese möglicherweise blockiert, trägt dies langfristig zur Verbesserung der Sicherheit der Anwendungen bei.“
Aikido ermöglichte es AutoStore Aikido , neu bekannt gewordene Schwachstellen schnell zu validieren. Als sein SOC-Anbieter ein neues Abhängigkeitsproblem meldete, verfügte Aikido über eine Analyse.
„Ich habe mir den Blogbeitrag Aikidoangesehen und festgestellt, dass Sie diese Schwachstelle bereits seit einigen Tagen verfolgen. Ich konnte schnell überprüfen, ob unsere Codebasis davon betroffen war.“
Wie AutoStore den Einsatz von Aikido ausweitet
Bereits im Einsatz
Adoption planen
Als nächstes bewerten
„Wir werden KI-Penetrationstests an einer unserer Anwendungen testen. Dies könnte möglicherweise unsere externen Penetrationstests teilweise ersetzen.“
Aikido die am besten umsetzbare Ebene des SSDLC
Vegard betont, dass ein sicherer Entwicklungslebenszyklus viele Komponenten umfasst, darunter Risikomanagement, Bedrohungsmodellierung und Penetrationstests. In der Praxis Aikido zum umsetzbarsten Teil des Frameworks.
„Der Rest der Organisation konzentriert sich sehr auf Aikido es umsetzbar ist. Es ist viel umsetzbarer als andere Themen, die eher vage sind.“
Klare Schritte, schnelle Transparenz und entwicklerorientierte Arbeitsabläufe ermöglichen es Teams, die Sicherheit gemeinsam zu verbessern.
„Wenn ich es noch einmal machen würde, würde ich mich wahrscheinlich recht schnell für ein Sicherheitstool entscheiden und darauf aufbauen.“
Endgültiges Urteil
Aikido ein fokussiertes Produkt, das Ingenieurteams in die Lage versetzt, Schwachstellen effektiv zu verwalten. Das Unternehmen hat eindeutig den Schwerpunkt auf Benutzerfreundlichkeit gelegt, wodurch Schwachstellenmanagement und umsetzbar wird.“
Überschrift 1
Überschrift 2
Überschrift 3
Überschrift 4
Überschrift 5
Überschrift 6
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Blockzitat
Geordnete Liste
- Punkt 1
- Punkt 2
- Punkt 3
Ungeordnete Liste
- Punkt A
- Punkt B
- Punkt C
Fettgedruckter Text
Betonung
Hochgestellt
Tiefgestellt
.avif)
