Auf einen Blick
- Sicherheit direkt in Entwicklungs-Workflows und Pull Requests integriert
- Umstellung von reaktiven, geplanten Scans auf kontinuierliches Sicherheits-Feedback
- Reduzierung des Rauschens durch erreichbarkeitsbasierte Priorisierung und weniger False Positives.
- Vereinheitlichte SAST, SCA und Secrets detection in einer einzigen Plattform.
- Skalierte Sicherheit über 200+ Repositories mit minimalem Overhead.
- Unterstützt Unternehmenssicherheit und Compliance gemäß ISO 27001, GDPR und Gesundheitsvorschriften.
Aufbau einer sicheren digitalen Gesundheitsversorgung im großen Maßstab.
Oviva bietet erstattungsfähige, evidenzbasierte digitale Gesundheitsprogramme für chronische Erkrankungen wie Adipositas und Typ-2-Diabetes an. Ihre Plattform kombiniert klinische Expertise, KI-gesteuerte Erkenntnisse und personalisiertes Coaching, um langfristige Patientenergebnisse zu erzielen. In diesem Umfeld ist Sicherheit untrennbar mit der Patientensicherheit verbunden. Oviva verarbeitet hochsensible medizinische Daten und agiert unter strengen regulatorischen Rahmenbedingungen, einschließlich ISO 27001, GDPR und länderspezifischen Gesundheitsstandards. Vertrauen wird nicht nur erwartet, es ist eine Notwendigkeit.
„Sicherheit im Bereich der digitalen Gesundheit dreht sich im Grunde darum, Patienten zu schützen und Vertrauen zu erhalten.“
- Tom Koshy, Principal DevSecOps Engineer, Oviva
Als das Unternehmen skalierte, musste sich diese Verantwortung nicht nur in Richtlinien, sondern auch in der Art und Weise widerspiegeln, wie Software entwickelt wurde.
Wenn das Wachstum die Sicherheits-Workflows übertrifft
Vor Aikido setzte Oviva auf eine Kombination von Open-Source-Tools für SAST, SCA und Schwachstellenmanagement. Obwohl sie isoliert effektiv waren, verursachten sie im großen Maßstab Reibung. Sicherheitsscans wurden geplant statt kontinuierlich durchgeführt. Ergebnisse mussten über verschiedene Tools hinweg aggregiert werden. Triage erforderte Koordination zwischen den Teams. Mit der Zunahme der Repositories und Mitwirkenden stieg auch der operative Aufwand.
Im Laufe der Zeit führte dies zu Reibung sowohl für Entwickelnde als auch für Sicherheitsteams. Probleme wurden spät erkannt, die Verantwortlichkeiten waren unklar, und wertvolle Zeit wurde mit Koordination und Triage statt mit der Behebung verbracht. Sicherheit war zwar vorhanden, aber sie existierte außerhalb des Entwicklungs-Workflows. Das Team sah darin eine Chance zur Veränderung.
Umstellung auf kontinuierliche, Entwicklerzentrierte Sicherheit
Oviva wollte Sicherheit direkt in die Entwicklung integrieren. Anstatt sich auf periodische Scans und zentralisierte Triage zu verlassen, bestand das Ziel darin, Probleme dort aufzudecken, wo sie entstehen: in Pull Requests, während des Builds und innerhalb der Entwicklungs-Workflows. Entwickelnde benötigten sofortiges, umsetzbares Feedback, damit Probleme behoben werden konnten, bevor sie in die Produktion gelangten.
Ebenso wichtig war die Reduzierung des Rauschens. Eine hohe Anzahl von False Positives verlangsamt Teams und untergräbt das Vertrauen in Sicherheitstools. Jeder neue Ansatz musste Genauigkeit, Klarheit und Benutzerfreundlichkeit priorisieren. Tools, die Ingenieure mit False Positives überfordern, werden nicht genutzt.
Warum Oviva sich für Aikido gegenüber Snyk und Prisma Cloud entschied
Während der Evaluierung bewertete Oviva Plattformen wie Snyk, Prisma Cloud, Semgrep und GitHub Advanced Security. Aikido stach hervor, indem es gängige Kompromisse beseitigte.
Wo größere Plattformen wie Prisma Cloud operationale Komplexität einführten, integrierte sich Aikido sauber in bestehende Git- und CI/CD-Workflows. Wo Tools wie Snyk oft eine hohe Anzahl von Findings generierten, konzentrierte sich Aikido auf das Signal und half Teams, relevante Probleme zu priorisieren.
Anstatt mehrere Tools zusammenzuflicken, konnte Oviva zentrale Anwendungssicherheitsfunktionen in einer einzigen Plattform konsolidieren, die Entwickelnde sofort übernehmen konnten.
„Aikido fand die richtige Balance zwischen Funktionalität, Benutzerfreundlichkeit und Developer Experience.“
Einführung über 200+ Repositories innerhalb weniger Wochen
Die Akzeptanz war schnell und reibungsarm. Oviva onboardete mehr als 75 Entwickelnde und verband über 200 Repositories innerhalb weniger Wochen.
Das Setup erforderte nur wenige Schritte, um Repositories zu integrieren und das Scanning zu aktivieren. Da die Plattform intuitiv ist, konnten Entwickelnde sie sofort nutzen, ohne umfangreiches Onboarding oder Schulung.
Für das Sicherheitsteam bedeutete dies sofortige Transparenz in einer großen und wachsenden Engineering-Umgebung.
Von reaktiven Scans zu kontinuierlicher Sicherheit
Mit Aikido verlagerte sich die Sicherheit von geplanten Scans zu Echtzeit-Feedback.
Prüfungen laufen jetzt direkt in Pull Requests und CI/CD-Pipelines. Entwickelnde erhalten sofortiges Feedback, wenn sie Änderungen einführen, was es ihnen ermöglicht, Schwachstellen zu beheben, bevor Code zusammengeführt oder bereitgestellt wird.
Gleichzeitig reduziert Aikido Rauschen durch Erreichbarkeitsanalyse, indem es tatsächlich ausnutzbare Schwachstellen hervorhebt, anstatt jedes theoretische Problem zu kennzeichnen. In Kombination mit klarer Behebungsanleitung und Autofix-Funktionen ermöglicht dies Teams, sich auf echte Risiken zu konzentrieren, anstatt Zeit mit Triage zu verbringen.
Sicherheit bewegt sich von einem Tor am Ende zu einer Leitplanke während der gesamten Entwicklung.
Vereinfachung des Schwachstellenmanagements und der Compliance
Zuvor erforderte das Schwachstellenmanagement die Aggregation von Ergebnissen über verschiedene Tools hinweg und deren Verwaltung über externe Systeme.
Mit Aikido ist alles auf einer Plattform zentralisiert. Sicherheitsteams erhalten eine klare, einheitliche Übersicht über Schwachstellen in allen Repositories, mit integrierter Priorisierung und Verantwortlichkeitsverfolgung. Entwickelnde sehen genau, was behoben werden muss und warum.
Dies hat direkte Auswirkungen auf die Compliance. In einem Gesundheitswesen-Umfeld ist die Fähigkeit, die Sicherheitslage schnell und klar darzulegen, entscheidend.
“Aikido bietet uns eine zentralisierte und gut priorisierte Übersicht über Schwachstellen, was die Compliance-Berichterstattung erheblich vereinfacht.”
Die Auswirkungen
Die Einführung von Aikido veränderte Ovivas Herangehensweise an Sicherheit sowohl auf technischer als auch auf organisatorischer Ebene. Schwachstellen werden jetzt früher identifiziert und schneller behoben. Entwickelnde engagieren sich aktiv im Bereich Sicherheit, da das Feedback sofort und umsetzbar ist, anstatt etwas, das sie erst im Nachhinein erfahren.
Entscheidend ist, dass Teams ihre Zeit nicht mehr mit der Untersuchung von Rauschen verbringen. Sie beheben echte Probleme. Sicherheitsteams haben sich von der manuellen Triage wegbewegt hin zu höherwertiger Arbeit, während das Unternehmen seine Fähigkeit gestärkt hat, regulatorische Anforderungen zu erfüllen und eine klare Transparenz seiner Sicherheitslage bei der Skalierung aufrechtzuerhalten.
Ein Quantensprung in der Sicherheitsreife
Aikido ermöglichte Oviva den Übergang von einem reaktiven, tool-gesteuerten Ansatz zu einem proaktiven, entwickelnden-zentrierten DevSecOps-Modell. Sicherheit ist jetzt kontinuierlich, integriert und skalierbar im gesamten Unternehmen.
“Aikido ermöglichte uns den Übergang von reaktivem Scanning zu einem proaktiven, entwickelnden-zentrierten Modell, wodurch die Transparenz verbessert wurde und uns hilft, die Sicherheit mit unserem Wachstum zu skalieren.”
Ausblick
Während Oviva seine Plattform weiter ausbaut, benötigt es eine Sicherheitsgrundlage, die sich mitentwickeln kann. Mit Aikido ist das Team in der Lage, seinen Ansatz auf zusätzliche Bereiche wie Container- und Cloud-Sicherheit zu erweitern, ohne zusätzliche Komplexität. Denn im digitalen Gesundheitswesen geht es bei Sicherheit nicht nur um den Schutz von Systemen. Es geht um den Schutz von Patienten.
