Aikido

Wie Glasswall vier AppSec-Tools in Aikido konsolidierte

Migriert von -
Snyk,  
Wiz,  
Black Duck,  
Semgrep,  
3
Konsolidierte Tools
2
Bearbeitungszeit für Anfragen: eine Woche
1
Einblick über Code & Cloud hinweg

Das britische Cybersicherheitsunternehmen Glasswall, spezialisiert auf Dateischutz durch Content Disarm and Reconstruction (CDR)-Technologie, ersetzte Snyk, Wiz Code und Black Duck durch eine einzige Aikido-Bereitstellung, erlangte innerhalb von zwei Wochen VC Package C++-Abdeckung und führte Safe Chain in jeder Produktions-Pipeline ein, die unterstützte Pakete betrifft.

Auf einen Blick

  • Snyk, Wiz Code und Black Duck durch Aikido ersetzt
  • VC Package C++-Unterstützung innerhalb von zwei Wochen nach Anforderung bereitgestellt
  • Ein-Klick-AutoFix für anfällige Abhängigkeiten
  • Direkt mit Azure DevOps Repos und Container Registries verbunden
  • Konsolidierte Code-, Abhängigkeits- und Container-Sicherheit in einer Plattform
  • Safe Chain in jeder Produktions-Pipeline bereitgestellt, die unterstützte Pakete betrifft
  • Evaluierung von KI-Penetrationstests als nächste Evolutionsstufe des offensiven Testings

Herausforderung

Chris Holman leitet die Anwendungssicherheit bei Glasswall, einem britischen Cybersicherheitsunternehmen, das sich auf den Schutz von Organisationen vor dateibasierten Bedrohungen konzentriert. Als Cybersicherheitsanbieter bewertete Glasswall seine AppSec-Tools mit der gleichen Sorgfalt, die es auf seine eigenen Produkte anwendet.

Als Chris die Rolle übernahm, hatte sich die AppSec-Umgebung von Glasswall im Laufe der Zeit schrittweise über mehrere Anbieter hinweg erweitert.

Snyk übernahm den Scan von Softwareabhängigkeiten. Wiz Code deckte die Code-Analyse ab. Black Duck kümmerte sich um die Open-Source-Governance. SonarQube war für die Codequalität zuständig. Jedes Tool löste ein spezifisches Problem, doch zusammen führten sie zu operativer Komplexität. Entwickelnde waren bereits durch Tools verunsichert, die Ergebnisse lieferten, denen sie nicht vertrauen konnten, und das Sicherheitsteam verbrachte Zeit damit, Signale von Rauschen zu trennen, anstatt Probleme zu beheben.

„Wir hatten Snyk, Wiz Code und Black Duck in verschiedenen Bereichen unserer Infrastruktur. Jedes davon war für sich genommen ein gutes Tool. Zusammen waren sie ein Chaos.“

Die Überschneidung zwischen den Tools führte zu doppelten Ergebnissen, fragmentierter Priorisierung und einem wachsenden Managementaufwand. Der Beschaffungsaufwand hatte auch den Wert überstiegen, den das Team zurückerhielt.

Gleichzeitig stellte die C++-Umgebung des Teams eine weitere Herausforderung dar. Glasswall verlässt sich stark auf VC Package, ein Dependency-Management-Setup, das viele moderne Scanner entweder schlecht oder gar nicht unterstützten. Das Team benötigte eine Abdeckung, die direkt mit ihrer Umgebung zusammenarbeiten konnte, anstatt die Engineering-Teams zu Workarounds zu zwingen.

„Unsere Umgebung ist stark von VC Package abhängig. Die meisten der von uns evaluierten Scanner unterstützten es entweder nicht oder nur schlecht. Aikido hat sich verpflichtet, es zu liefern, und sie haben es in zwei Wochen geliefert.“

Lösung

Für Chris waren die größte Unterscheidungsmerkmale die Ausführungsgeschwindigkeit und die Reaktionsfähigkeit.

Während größere Anbieter in vierteljährlichen Release-Zyklen arbeiteten, lieferte Aikido angeforderte Funktionalität innerhalb weniger Wochen. Die Unterstützung für VC Package war das deutlichste Beispiel. Nachdem Glasswall die Anforderung gestellt hatte, lieferte Aikido innerhalb von zwei Wochen produktionsreifen Support. Diese Reaktionsfähigkeit veränderte die Bewertung sofort.

Glasswall führte Aikido während des Evaluierungsprozesses auch parallel zu Wiz Code auf derselben Produktions-Codebasis aus. Die Ergebnisse waren vergleichbar genug, sodass die wirtschaftlichen Aspekte schwer zu ignorieren waren.

„Wir haben Aikido und Wiz Code parallel betrieben. Die Ergebnisse waren vergleichbar, und Aikido kostete nur einen Bruchteil. Das war der Moment, in dem die Entscheidung getroffen wurde.“

Aikido wurde auch direkt in die Azure DevOps Repositories und Container Registries von Glasswall integriert, wodurch das Team eine zentralisierte Übersicht über Code, Abhängigkeiten und Container erhielt.

Die Implementierung erfolgte im gleichen Tempo. Innerhalb eines einzigen Tages erreichte Glasswall von keiner Aikido-Bereitstellung eine vollständige Abdeckung über jede Pipeline hinweg. Das Verbinden von Azure Repos und Container Registries erforderte nur einen Klick, anstatt Pipeline-Templates zu erstellen oder CLI-Tools manuell zu injizieren, was für ein kleines DevSecOps-Team, bei dem Engineering-Zeit die knappste Ressource ist, von Bedeutung war.

Glasswall führte Aikido Safe Chain auch in jeder Produktions-Pipeline ein, die unterstützte Pakete betrifft. Nach jüngsten Lieferkettenvorfällen, die zeigten, wie schnell sich bösartige Pakete verbreiten können, prüft Safe Chain Abhängigkeiten, bevor sie installiert werden, anstatt sich ausschließlich auf öffentliche CVE-Datenbanken zu verlassen.

„Man kann sich nicht einfach auf öffentliche CVE-Datenbanken verlassen, um zu erfahren, ob ein Problem in Ihrem Paket liegt. Man muss dann dieses Paket analysieren und sicherstellen, dass es vor der Installation sicher ist.“

Für Upgrades anfälliger Abhängigkeiten reduzierte Glasswall den erforderlichen manuellen Engineering-Aufwand erheblich. Entwickelnde können nun sowohl die Schwachstelle als auch den Behebungspfad im selben Workflow sehen, wobei automatisierte Pull-Requests direkt von Aikido generiert werden.

„Für die meisten anfälligen Abhängigkeiten ist es ein Knopfdruck. Der PR ist da, der Test ist da, man mergt es.“

Für Glasswall war die Roadmap ebenso wichtig wie die aktuelle Funktionalität. Als Cybersicherheitsunternehmen bewertete das Team nicht nur, wie AppSec-Tools heute aussehen, sondern auch, wohin sich offensive Sicherheitstests in den nächsten Jahren entwickeln werden. KI-Penetrationstests stachen als wichtiges Signal hervor. Für Chris zeigte es, dass Aikido über traditionelle Scanning-Workflows hinaus investierte und darüber nachdachte, wie sich offensive Sicherheitstests in den kommenden Jahren entwickeln werden.

„Was ihr mit dem Multi-Agenten-KI-Penetrationstestansatz macht, wird die neue Norm sein. Bug Bounty ist keine sterbende Kunst, aber viele Forschende nutzen jetzt KI. Warum können wir nicht selbst KI einsetzen, um Exploits zu finden?“

Warum Glasswall Aikido wählte

Mehrere Faktoren führten letztendlich zu der Entscheidung:

  • VC Package und C++-Unterstützung innerhalb von zwei Wochen geliefert
  • Native Azure DevOps und Container Registry Integrationen
  • Vergleichbare Ergebnisse wie Wiz Code zu deutlich geringeren Kosten
  • Konsolidierung der Codequalität auf derselben Plattform
  • Per Knopfdruck AutoFix zur Behebung von Abhängigkeitsproblemen
  • Eine Roadmap, die auf KI-gesteuerte offensive Tests ausgerichtet ist

Ergebnisse

Das sichtbarste Ergebnis war die Konsolidierung. Snyk, Wiz Code und Black Duck wurden durch eine einzige Aikido-Bereitstellung ersetzt, die Code, Abhängigkeiten und Container abdeckt. Die Auswirkungen gingen über die Einsparungen bei der Beschaffung hinaus. Die Konsolidierung reduzierte die operative Komplexität, vereinfachte die Priorisierung und gab dem Sicherheitsteam einen einzigen Workflow anstelle von fragmentierten Tools, die über mehrere Anbieter verteilt waren.

Glasswall erweitert die Abdeckung auch weiterhin auf zusätzliche Angriffsflächen. Eine der nächsten Prioritäten ist die Absicherung der Build-Agent-Infrastruktur selbst.

„Build-Agents sind unser Hauptziel. Sicherzustellen, dass wir eine echte Security Onion auf ihnen haben, ist von größter Bedeutung. Der Einsatz von Aikido Device Protection für unsere Build-Agents würde sicherstellen, dass das größere Ökosystem sicher ist.“

Für Chris ist KI-gestütztes offensives Testen eine der wichtigsten Veränderungen, die heute in der Anwendungssicherheit stattfinden.

„KI-Penetrationstests werden zur neuen Norm. Viele Forschende nutzen bereits KI, um Exploits zu finden. Sicherheitsteams müssen denselben Ansatz verfolgen.“

Wie Glasswall Aikido heute nutzt

Derzeit im Einsatz

  • SAST- und SCA-Scans
  • VC Package / C++ Abhängigkeitsabdeckung
  • Container-Scanning
  • Secret Detection
  • Code-Qualität
  • Safe Chain für den Schutz der Lieferkette
  • KI-AutoFix
  • Azure DevOps und Container-Registry-Integrationen

Als Nächstes geplant

Wird evaluiert

Fazit

„Für uns geht es um den menschlichen Ansatz. Wir brauchen einen Partner, der sich in unserem Tempo bewegen kann, und Aikido tut genau das.“

Sicherheit jetzt implementieren

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.