Auf einen Blick
- Ein einziger Security Engineer betreut 50 Entwickelnde, die 70 bis 80 Mal pro Tag Code ausliefern
- Mehr als 80 Prozent des neuen Codes bei Omnea ist KI-generiert
- Wählte Aikido statt Snyk nach einem sechswöchigen Snyk Proof-of-Concept-Test
- Implementierte Aikido als Omneas erstes dediziertes AppSec-Tool, ohne vorherige Tools ersetzen zu müssen
- Aikido läuft etwa 90 Prozent der Zeit unauffällig im Workflow der Entwickelnden
- Wenige Fehlalarme bedeuten, dass ein einziger Engineer jeder Warnung vertrauen und entsprechend handeln kann
- SOC 2-Nachweise fließen in Vanta ein, und Lizenzberichte decken die Due Diligence von Investoren bei Bedarf ab
- KI-Penetrationstests werden pilotiert und die Einführung von Geräteschutz ist geplant
Herausforderung
Omnea ist ein KI-natives Beschaffungsunternehmen, zu dessen Kunden globale Unternehmen wie Spotify, MongoDB und Monzo gehören. Es bedient sie mit einem Team, das aggressiv einstellt und kontinuierlich ausliefert. Als das Team Aikido erstmals einführte, bestand es aus 14 Entwickelnden und wuchs schnell. Die Sicherheit musste mit der Entwicklung skalieren, ohne zu einem Release-Blocker zu werden, und musste gleichzeitig den Beschaffungsprüfungen von Unternehmen standhalten.
„Als wir zu Aikido kamen, brauchten wir ein Sicherheitstool, das mit uns skalieren konnte. Wir waren damals 14 Entwickelnde und wuchsen schnell. Wir brauchten etwas, das uns erlaubte, sicher zu bleiben und an Unternehmenskunden auszuliefern, ohne zu einem Blocker zu werden.“
Lösung
Aikido deckte eine breite AppSec-Oberfläche unter einer Plattform ab und gewann die Akzeptanz der Entwickelnden, indem es unauffällig blieb. Es unterbricht Engineers nur, wenn es wirklich etwas zu beachten gibt.
„Unsere Entwickelnden nutzen Aikido jeden Tag, aber es ist kein großer Blocker. 90 Prozent der Zeit läuft es unauffällig im Hintergrund. Die Hälfte der Zeit vergessen die meisten Entwickelnden, dass es da ist. Es zieht sie nur dann hinzu, wenn es wirklich etwas Wichtiges gibt.“
Omnea verband Aikido mit den Tools, die seine Engineering- und Security-Funktionen bereits nutzten: GitHub, Linear und Vanta. Die Vanta-Integration veränderte die Art und Weise, wie das Team SOC 2-Audits handhabt.
"Wir haben Aikido in GitHub, Linear und Vanta integriert. Mit Vanta, unserem SOC 2-Tool, liefert Aikido Auditoren sofort Nachweise, ohne dass spezifische Probleme nachträglich gesucht werden müssen."
KI-generierter Code ist bei Omnea mittlerweile die Norm und nicht mehr die Ausnahme. Das verändert die Geschwindigkeit, mit der sich die Codebasis entwickelt, und die Anforderungen an ein Sicherheitstool, um Schritt zu halten.
"Über achtzig Prozent unseres Codes sind heutzutage KI-generiert. Ein Tool zu haben, das überprüft, was wir tun, während sich die Dinge so schnell ändern und bewegen, ist wirklich wichtig."
Warum Omnea sich für Aikido entschied
Omnea verglich Aikido mit Snyk und einigen etablierten Anbietern. Ausschlaggebend war, wie einfach Aikido von Anfang an zu handhaben war: transparente Preise, breite Out-of-the-Box-Abdeckung und ein Team, das Feature-Anfragen innerhalb weniger Tage umsetzte.
"Es war von Anfang an klar, wie viel einfacher Aikido zu handhaben war. Transparente Preise, mehr Out-of-the-Box-Funktionalität und ein reaktionsschnelles Team. Das machte es zu einer klaren und einfachen Wahl."
Der Kontrast zur Snyk-Evaluierung war deutlich sichtbar. Ein sechswöchiger Test dort machte den Unterschied in der Reaktionsfähigkeit deutlich, während Aikido Feedback bereits am nächsten Tag umsetzte.
- Transparente Preise ohne erzwungenen mehrwöchigen Evaluierungszyklus
- Breite Out-of-the-Box-Abdeckung über ein eigenständiges SCA-Tool hinaus, einschließlich SAST, SCA und AutoFix
- Ein Team, das Feature-Anfragen innerhalb von Tagen beantwortet, nicht innerhalb von Quartalen
- Native Integrationen in GitHub, Linear und Vanta
- Eine Plattform, die für die Geschwindigkeit eines KI-nativen Engineering-Teams entwickelt wurde
Ergebnisse
Sicherheit, die ohne zusätzlichen Personalaufwand Schritt hält
Mit Aikido erreicht Omnea ein Verhältnis, das mit einem lauteren oder manuelleren Tool schwer aufrechtzuerhalten wäre: ein Security Engineer betreut fünfzig Entwickelnde. Dieses Verhältnis ist haltbar, weil Aikido Code, Cloud und Abhängigkeiten an einem Ort abdeckt und die Anzahl der Fehlalarme reduziert, sodass ein einzelner Engineer die gesamte Angriffsfläche überblicken und den Meldungen vertrauen kann.
"Aikido hat es uns ermöglicht, an Unternehmenskunden auszuliefern und dabei eine hohe Sicherheitsposition aufrechtzuerhalten. Wir liefern 70 bis 80 Mal pro Tag in die Produktion aus. Wir haben einen Security Engineer für 50 Entwickelnde, und sie bewältigen die gesamte Arbeitslast, weil Aikido die Hauptarbeit übernimmt."
Alarme, denen das Team vertrauen kann
Eine schlanke Sicherheitsfunktion funktioniert nur, wenn jeder Alarm es wert ist, darauf zu reagieren. Bei Omnea ist das Fehlen von Fehlalarmen der Grund, warum ein Engineer mithalten kann, und es ist der Grund, warum Entwickelnde das Tool ernst nehmen, wenn es sich meldet.
"Entwickelnde vertrauen darauf, dass ein von Aikido gemeldetes Problem auch tatsächlich existiert. Das Fehlen von unnötigem Rauschen und Fehlalarmen bedeutet, dass man, wenn man sich etwas ansieht, weiß, dass es ein echtes Problem zu beheben gibt."
Lieferkettenrisiko, jetzt sichtbar
Aikido visualisiert das Ausmaß des Lieferkettenrisikos, das sich durch Omneas Abhängigkeiten bewegt, an einem Ort, anstatt es über verschiedene Registries zu verteilen. In einem kürzlichen Dreimonatszeitraum waren dies siebenmal mehr Lieferketten-Schwachstellen als im vorherigen Quartal, allesamt für das Team sichtbar.
"Es ist so einfach für Entwickelnde, ein anfälliges oder kompromittiertes Paket zu installieren; etwas zu haben, das die Installation blockiert, ist wirklich wertvoll."
Sicherheit, die sich im Due-Diligence-Prozess auszahlt
Für ein Unternehmen, das Kapital beschafft, zahlte sich Aikido an einer Stelle aus, wo Omnea es nicht erwartet hatte. Als Investoren Nachweise für eine ausgereifte Sicherheitsposition anforderten, war die Antwort bereits generiert und bereit.
"Aikido hat uns sogar bei der Due Diligence für Investoren geholfen. Ein Bericht über jeden Lizenztyp, sofort generiert. Wir wussten nicht einmal, dass wir es hatten, bis unsere Investoren danach fragten, und es löste das Problem sofort."
Es veränderte auch, wie Investoren das Unternehmen wahrnahmen. Die Möglichkeit, auf Anfrage zu zeigen, dass die Sicherheit gewährleistet war, nahm eine ganze Reihe von Fragen vom Tisch, bevor sie überhaupt aufkamen.
"Wenn man Kapital beschafft, wollen Investoren sehen, dass man im Bereich Sicherheit umfassend aufgestellt ist. Mit Aikido gab es von Anfang an keine Bedenken. Wir konnten sagen, dass wir die Kontrolle haben und proaktiv unsere Sicherheitslage managen."
Dieselbe Nachweiskette dient den SOC 2-Audits des Teams, wobei Aikido den Auditoren den Nachweis der Behebung innerhalb der SLA liefert, ohne dass jemand manuell Probleme erfassen muss.
Wie Omnea den Einsatz von Aikido erweitert
Wird bereits verwendet
- SAST- und SCA-Scans
- AutoFix
- Vanta-Integration für SOC 2-Nachweise
- Lizenz-Reporting
- Aikido Safe Chain
Pilotprojekt
- KI-Penetrationstests, mit abgeschlossenen ersten Läufen und einem geplanten kontinuierlichen Start
"Zuvor hatten wir nur einmal im Jahr einen jährlichen Penetrationstest, der oft eher eine Formsache war. Mit KI-Penetrationstests können wir Probleme finden, sobald wir sie veröffentlichen. Wir können sie beheben, bevor jemand anderes sie entdeckt."
Planung der Einführung
- Geräteschutz
Als Nächstes in der Evaluierung
- Aikido Zen Firewall, als möglicher Ersatz für AWS WAF für ausgehende und lernbasierte Regeln
Fazit
"Für uns ist der Haupteffekt von Aikido, dass wir kontinuierlich sicher bleiben können, während wir blitzschnell liefern."

