Auf einen Blick
- Konsolidierte mehrere Sicherheitstools in einer einzigen, vereinheitlichten AppSec- und Cloud-Sicherheitsplattform
- Integriert über 95 Repositories, 31 Container-Registries und 9 Cloud-Umgebungen
- Unterstützt Entwickelnde, die mit Ruby, Python und containerisierten Services arbeiten
- Stärkt die Sicherheit der Software-Lieferkette und die Sichtbarkeit von Abhängigkeiten
- Ersetzte verstreute Sicherheitstools, darunter Dependabot und Detectify
Herausforderung
Als HeyJobs, das Unternehmen hinter der wachsenden Rekrutierungsplattform, seine Engineering-Organisation skalierte, begannen die Sicherheitstools organisch mitzuwachsen. Verschiedene Teams verließen sich auf unterschiedliche Systeme zur Überwachung von Abhängigkeiten, zum Scannen von Code oder zur Generierung von Sicherheitswarnungen. Obwohl diese Tools jeweils Teile des Problems lösten, schufen sie einen fragmentierten Sicherheits-Workflow, der zunehmend schwer zu verwalten war.
Sicherheitserkenntnisse waren über mehrere Plattformen verteilt, wobei jede ihre eigenen Warnungen und Dashboards erzeugte. Ingenieure mussten zwischen Systemen wechseln, um Risiken zu verstehen, Probleme zu korrelieren und zu entscheiden, was Aufmerksamkeit erforderte. Dies verlangsamte die Schwachstellen-Triage und erschwerte es, einen konsistenten Überblick über die Sicherheitslage des Unternehmens zu behalten.
Boris Diebold, CTO bei HeyJobs, beschreibt, wie die Umgebung vor der Einführung von Aikido aussah:
“Wir hatten alle möglichen verstreuten Tools; wir nutzten Dependabot, ein separates Tool für Sicherheitswarnungen und einige interne Tools”.
Im Laufe der Zeit führte die Zersplitterung der Tools zu zusätzlicher Komplexität und Overhead. Jedes Produkt erforderte seine eigene Konfiguration, Workflows und Alarmverwaltung, was es den Teams erschwerte, sich auf die wichtigsten Sicherheitsprobleme zu konzentrieren.
Wie Boris erklärt:
“Es ist immer schwierig, die Zersplitterung mit all diesen verschiedenen Tools zu managen.”
Aikidos Bericht „State of AI in Security & Development 2026“ fand heraus, dass die Zersplitterung von Sicherheitstools mit mehr Vorfällen korreliert.
HeyJobs suchte nach einer Möglichkeit, die Erkennung und Verwaltung von Schwachstellen zu vereinfachen, wobei gleichzeitig eine umfassende Sicherheitsabdeckung über ihre Systeme hinweg aufrechterhalten werden sollte.
Lösung: Eine Plattform, die Kontext bietet
Während ihres Evaluierungsprozesses untersuchte das HeyJobs-Team mehrere Anwendungssicherheitstools, darunter Snyk. Viele Lösungen konzentrierten sich stark auf spezifische Sicherheitsbereiche, wie den Scan von Softwareabhängigkeiten oder die Infrastrukturanalyse. Obwohl diese Tools starke Fähigkeiten in ihren jeweiligen Domänen boten, bedeutete ihre Einführung oft, ein weiteres Produkt zum bestehenden Security-Stack hinzuzufügen.
Für HeyJobs ging es nicht nur darum, einen weiteren Scanner einzuführen, sondern die Art und Weise zu verbessern, wie Sicherheitserkenntnisse an Ingenieure und die Führungsebene geliefert wurden. Das Team wollte eine Plattform, die Schwachstellensignale aus dem gesamten Entwicklungs-Stack konsolidieren und so präsentieren konnte, dass es für die Teams einfacher wurde, darauf zu reagieren.
Wie Boris erklärt:
“Wir wollten alle Signale auf einer Plattform haben, damit wir nicht noch 10 weitere Tools und ein zusätzliches Tool zur Verwaltung der Signale benötigten.”
Aikido stach hervor, weil es diese Signale in einer einzigen Umgebung zusammenführte. Anstatt mehrere Dashboards und Alerting-Systeme zu verwalten, konnte die Engineering-Organisation Risiken über Code, Container und Infrastruktur hinweg von einer einzigen Oberfläche aus einsehen. Dies erleichterte es erheblich zu verstehen, welche Probleme Aufmerksamkeit erforderten und wie sie behoben werden sollten.
Die konsolidierte Ansicht verschaffte der Führungsebene zudem einen klareren Überblick über die Sicherheitslage der Organisation. Berichte und Metriken lieferten eine übergeordnete Perspektive auf Schwachstellen, während Ingenieure weiterhin in die technischen Details eintauchen konnten, die zur Behebung erforderlich waren.
Implementierung
HeyJobs führte Aikido zunächst ein, indem eine kleine Anzahl von Repositories als Proof of Concept angebunden wurde. Ziel war es, zu bewerten, wie gut die Plattform Sicherheitserkenntnisse aufdecken und sich in bestehende Engineering-Workflows integrieren konnte.
Der Wert der Plattform wurde schnell deutlich.
“So haben wir im Grunde angefangen. Wir hatten einen sehr guten Start, würde ich sagen, indem wir zunächst einige Repos für eine Testphase angebunden und sofortige Vorteile gesehen haben”, sagte Boris.
Nach der erfolgreichen Evaluierung weitete HeyJobs die Einführung schrittweise auf die gesamte Engineering-Organisation aus. Heute überwacht die Plattform 95 Repositories, 31 Container Registries und neun verbundene Cloud-Umgebungen, während sie auch mehrere Domains und APIs verfolgt. Sie integriert sich direkt in die GitHub-Umgebung des Unternehmens und speist Alerts in operative Tools wie PagerDuty ein, damit kritische Probleme schnell aufgedeckt werden können.
Aikidos Behebungsfunktionen spielten ebenfalls eine wichtige Rolle bei der Akzeptanz.
Rodrigo Oliveira, Team Lead für Cloud-Infrastruktur und -Sicherheit, hebt die Auswirkungen dieser Funktion hervor:
“Insbesondere ermöglicht die AutoFix-Funktionalität der Plattform, bestimmte Schwachstellen automatisch oder mit minimalem manuellem Aufwand von Entwickelnden beheben zu lassen.”
Durch die Kombination von Erkennung, Priorisierung und Behebungsanleitungen innerhalb derselben Plattform ermöglichte Aikido HeyJobs, von verstreuten Alerts zu einem klareren und umsetzbareren Sicherheits-Workflow überzugehen.
Warum HeyJobs Aikido wählte
HeyJobs wählte Aikido, weil es:
- Konsolidiert mehrere Sicherheitssignale in einer einzigen, einheitlichen Plattform
- Bietet umfassende Abdeckung über Code, Container und Cloud-Infrastruktur hinweg
- Liefert klare Priorisierung von Schwachstellen und Behebungsanleitungen
- Beinhaltet AutoFix-Funktionen, die den manuellen Aufwand für Entwickelnde reduzieren
- Hilft bei der Verwaltung von Risiken in der Software-Lieferkette und Abhängigkeitsschwachstellen
- Bietet eine intuitive Entwickelnden-Erfahrung, die die Akzeptanz fördert
Ergebnisse
Reduzierte Angriffsfläche
Eines der wichtigsten Ergebnisse der Implementierung von Aikido war eine Reduzierung der potenziellen Auswirkungen von Schwachstellen in den Systemen von HeyJobs. Kontinuierliche Überwachung über Repositories, Container und Cloud-Konfigurationen hinweg ermöglicht es, Probleme früher zu identifizieren und zu beheben, bevor sie sich über Dienste oder Umgebungen ausbreiten.
Rodrigo Oliveira beschreibt die Verbesserung in praktischer Hinsicht:
„Ich würde sagen, dass der Blast Radius unserer Anwendungen jetzt deutlich kleiner ist.“
Frühere Sichtbarkeit ermöglicht es Teams, schneller auf auftretende Schwachstellen zu reagieren und reduziert die Wahrscheinlichkeit, dass Sicherheitsschwächen lange unbemerkt bleiben. Dieser proaktive Ansatz hat dem Unternehmen geholfen, seine gesamte Sicherheitslage zu stärken und gleichzeitig die Entwicklungsgeschwindigkeit beizubehalten.
Erhöhtes Bewusstsein bei Entwickelnden
Ein weiteres wichtiges Ergebnis ist das gestiegene Sicherheitsbewusstsein bei den Entwickelnden. Indem Aikido Schwachstellen mit klaren Erklärungen und Anleitungen zur Behebung präsentiert, hilft es Ingenieuren, die Auswirkungen von Sicherheitsproblemen zu verstehen und wie diese behoben werden sollten. Diese Transparenz verändert schrittweise, wie Teams Entwicklungsentscheidungen treffen. Im Laufe der Zeit werden Entwickelnde sich der gängigen Risiken in Bereichen wie Container-Konfigurationen, Abhängigkeitsversionen und Infrastruktur-Setups bewusster.
Rodrigo Oliveira veranschaulicht dies mit einem praktischen Beispiel aus dem Entwicklungsalltag:
“Jetzt ist allen klar, dass ein Docker-Image mit Root-Zugriff vielleicht keine gute Sache wäre.”
Solche Erkenntnisse ermutigen Ingenieure, sicherere Standardeinstellungen zu übernehmen und Sicherheitspraktiken im gesamten Unternehmen zu verbessern, ohne Reibung in die Entwicklungs-Workflows einzuführen.
Klare Priorisierung von Schwachstellen
Viele Sicherheitstools generieren große Mengen an Warnmeldungen, ohne deren Auswirkungen oder die Behebung klar zu erläutern. Dies zwingt Ingenieure oft dazu, Zeit mit der Untersuchung von Problemen zu verbringen, bevor sie feststellen können, ob diese wirklich wichtig sind. Aikido begegnet dieser Herausforderung, indem es zusätzlichen Kontext zu Schwachstellen liefert, einschließlich deren Schweregrad, potenzieller Auswirkungen und empfohlener Behebungsschritte. Dies ermöglicht es Entwickelnden, schnell zu verstehen, welche Probleme Aufmerksamkeit erfordern und wie sie angegangen werden sollten.
Rodrigo Oliveira erklärt den Unterschied, den dies macht:
“Einigen Tools fehlen Informationen zur Behebung einer Schwachstelle und zu den potenziellen Auswirkungen, aber mit Aikido wissen wir, was uns erwartet.”
Mit klarerer Priorisierung und Behebungsanleitung können die Ingenieure von HeyJobs ihre Anstrengungen auf die Schwachstellen konzentrieren, die am wichtigsten sind.
Stärkere Sicherheit der Software-Lieferkette
Für das Führungsteam von HeyJobs bleibt die Sicherheit der Software-Lieferkette einer der kritischsten Bereiche. Moderne Anwendungen verlassen sich stark auf Open-Source-Abhängigkeiten, und Schwachstellen innerhalb dieser Abhängigkeiten können schnell mehrere Dienste beeinträchtigen. Aikido bietet tiefere Einblicke in diese Risiken, indem es Abhängigkeitsbäume analysiert und Schwachstellen sowohl in direkten als auch in transitiven Abhängigkeiten identifiziert. Dies ermöglicht es dem Team, schnell festzustellen, ob neu offengelegte Schwachstellen ihre Systeme betreffen und wie dringend eine Behebung erforderlich ist.
Boris fasst die Bedeutung dieser Fähigkeit zusammen:
“Ich denke, eines der Hauptprobleme, das einem den Schlaf raubt, sind Supply-Chain-Angriffe.”
Mit verbesserter Transparenz bei Abhängigkeitsschwachstellen und Lieferkettenrisiken hat das Team nun größeres Vertrauen, dass diese Bedrohungen schnell erkannt und behoben werden können.
.png)
Wie HeyJobs den Einsatz von Aikido erweitert
Wird bereits verwendet
- Aikido Code (SAST, SCA, Erkennung von Schwachstellen in der Lieferkette, mehr)
- Aikido Cloud (CSPM, Containersicherheits-Scanning, mehr)
- AutoFix Behebungsfunktionen
Als Nächstes in der Evaluierung
Sicherheitsmetriken, die Verbesserungen vorantreiben
Aikido liefert HeyJobs zudem aussagekräftige Sicherheitsmetriken, die helfen, Verbesserungen in der gesamten Entwicklungsorganisation zu verfolgen. Diese Einblicke ermöglichen es Führungsteams, die Entwicklung von Schwachstellen im Zeitverlauf zu überwachen und den Fortschritt im Hinblick auf interne Sicherheitsziele zu messen.
Die von der Plattform generierten Sicherheitsmetriken werden regelmäßig überprüft und verwendet, um zu bewerten, wie effektiv Teams Schwachstellen in ihren Diensten beheben. Dieser datengesteuerte Ansatz hilft der Organisation, Sicherheit als messbare Ingenieursdisziplin und nicht als abstraktes Ziel zu behandeln.
Fazit
Für HeyJobs ist Aikido zu einem zentralen Bestandteil seiner Sicherheitsstrategie geworden. Indem das Unternehmen Schwachstellen-Erkenntnisse auf einer einzigen Plattform bündelt, hat es eine klarere Sicht auf Sicherheitsrisiken erhalten und gleichzeitig den operativen Aufwand für die Verwaltung mehrerer Tools reduziert.
Entwickelnde profitieren von klareren Anleitungen zur Behebung und Automatisierungsfunktionen wie AutoFix, während die Führungsebene einen umfassenden Überblick über die Sicherheitslage der Organisation erhält. Diese Kombination ermöglicht es HeyJobs, seine Engineering-Organisation zu skalieren und gleichzeitig ein proaktives und gut verwaltetes Sicherheitsprogramm aufrechtzuerhalten.
