Auf einen Blick
- Sicherheit direkt in Entwickler-Workflows und Pull-Anfragen integriert
- Umstellung von reaktiven, planmäßigen Scans auf kontinuierliches Sicherheitsfeedback
- Geringeres Rauschen durch eine auf Erreichbarkeit basierende Priorisierung und weniger Fehlalarme
- Zentrale secrets von SAST, SCA und secrets auf einer einzigen Plattform
- Skalierbare Sicherheit für über 200 Repositorys bei minimalem Aufwand
- Unterstützt die Sicherheit und compliance in Unternehmen compliance ISO 27001, DSGVO und den Vorschriften im Gesundheitswesen
Aufbau einer sicheren digitalen Gesundheitsversorgung in großem Maßstab
Oviva bietet erstattungsfähige, evidenzbasierte digitale Gesundheitsprogramme für chronische Erkrankungen wie Adipositas und Typ-2-Diabetes an. Die Plattform des Unternehmens verbindet klinisches Fachwissen, KI-gestützte Erkenntnisse und personalisiertes Coaching, um langfristige Behandlungsergebnisse für die Patienten zu erzielen. In diesem Umfeld ist Datensicherheit untrennbar mit der Patientensicherheit verbunden. Oviva verarbeitet hochsensible medizinische Daten und unterliegt strengen regulatorischen Rahmenbedingungen, darunter ISO 27001, die DSGVO und länderspezifische Standards im Gesundheitswesen. Vertrauen wird nicht nur erwartet, sondern ist eine zwingende Voraussetzung.
„Bei der Sicherheit im Bereich der digitalen Gesundheit geht es im Wesentlichen darum, Patienten zu schützen und Vertrauen zu wahren.“
- Tom Koshy, leitender DevSecOps , Oviva
Mit dem Wachstum des Unternehmens musste sich diese Verantwortung nicht nur in den Richtlinien widerspiegeln, sondern auch in der Art und Weise, wie Software entwickelt wurde.
Wenn das Wachstum die Sicherheitsabläufe überholt
Vor der Einführung Aikido setzte Oviva auf eine Kombination aus Open-Source-Tools für SAST, SCA und Schwachstellenmanagement. Diese waren zwar für sich genommen effektiv, führten jedoch bei größerer Skalierung zu Reibungsverlusten. Sicherheitsscans wurden zeitlich geplant und nicht kontinuierlich durchgeführt. Die Ergebnisse mussten über die verschiedenen Tools hinweg zusammengefasst werden. Triage die Koordination zwischen den Teams. Mit der steigenden Anzahl an Repositorys und Mitwirkenden wuchs auch der operative Aufwand.
Im Laufe der Zeit führte dies sowohl bei den Entwicklern als auch bei den Sicherheitsteams zu Reibungsverlusten. Probleme wurden zu spät erkannt, die Zuständigkeiten waren unklar, und wertvolle Zeit wurde für die Koordination und Einstufung von Problemen aufgewendet, anstatt diese zu beheben. Sicherheit war zwar vorhanden, fand aber außerhalb des Entwickler-Workflows statt. Das Team sah eine Chance, dies zu ändern.
Der Übergang zu kontinuierlicher, Entwicklerzentrierte Sicherheit
Oviva hat es sich zum Ziel gesetzt, Sicherheit direkt in den Entwicklungsprozess zu integrieren. Anstatt sich auf regelmäßige Scans und triage zentralisierte triage zu verlassen, sollte das Ziel darin bestehen, Probleme dort aufzudecken, wo sie auftreten: in Pull-Anfragen, während des Build-Prozesses und innerhalb der Arbeitsabläufe der Entwickler. Die Entwickler benötigten sofortiges, umsetzbares Feedback, damit Probleme behoben werden konnten, bevor sie die Produktionsumgebung erreichten.
Ebenso wichtig war es, die Flut an Fehlalarmen einzudämmen. Eine hohe Anzahl an Fehlalarmen bremst die Teams aus und untergräbt das Vertrauen in die Sicherheitstools. Jeder neue Ansatz musste Genauigkeit, Klarheit und Benutzerfreundlichkeit in den Vordergrund stellen. Tools, die Ingenieure mit Fehlalarmen überhäufen, werden nicht genutzt.
Warum sich Oviva für Aikido Snyk Prisma Cloud entschieden hat
Im Rahmen der Evaluierung hat Oviva Plattformen wie Snyk, Prisma Cloud, Semgrep und GitHub Advanced Security. Aikido dadurch aus, dass es gängige Kompromisse beseitigte.
Während größere Plattformen wie Prisma Cloud den Betrieb Cloud , Aikido nahtlos in bestehende Git- und CI/CD-Workflows Aikido . Während Tools wie Snyk eine große Menge an Befunden generierten, Aikido auf das Wesentliche und half den Teams dabei, die wirklich wichtigen Probleme zu priorisieren.
Anstatt mehrere Tools miteinander zu verknüpfen, könnte Oviva die zentralen Funktionen für die Anwendungssicherheit auf einer einzigen Plattform bündeln, die Entwickler sofort nutzen könnten.
Aikido die richtige Balance zwischen Leistungsfähigkeit, Benutzerfreundlichkeit und EntwicklererfahrungAikido .“
In wenigen Wochen in über 200 Repositorys verfügbar
Die Einführung verlief schnell und reibungslos. Oviva hat innerhalb weniger Wochen mehr als 75 Entwickler integriert und über 200 Repositorys miteinander verbunden.
Die Einrichtung erforderte nur wenige Schritte, um Repositorys zu integrieren und das Scannen zu aktivieren. Da die Plattform intuitiv zu bedienen ist, konnten die Entwickler sofort damit arbeiten, ohne dass ein umfangreicher Einarbeitungsprozess oder Schulungen erforderlich waren.
Für das Sicherheitsteam bedeutete dies einen sofortigen Überblick über eine umfangreiche und stetig wachsende Entwicklungsumgebung.
Von reaktiven Scans zu kontinuierlicher Sicherheit
Mit Aikido verlagerte sich der Schwerpunkt der Sicherheit von geplanten Scans hin zu Echtzeit-Feedback.
Prüfungen werden nun direkt in Pull-Anfragen und CI/CD-Pipelines durchgeführt. Entwickler erhalten sofortiges Feedback, sobald sie Änderungen vornehmen, sodass sie Sicherheitslücken beheben können, bevor der Code zusammengeführt oder bereitgestellt wird.
Gleichzeitig Aikido den „Lärm“ durch Erreichbarkeitsanalyse, indem es Schwachstellen hervorhebt, die tatsächlich ausgenutzt werden können, anstatt jedes theoretische Problem zu melden. In Kombination mit klaren Anleitungen zur Behebung und Funktionen zur automatischen Korrektur ermöglicht dies den Teams, sich auf echte Risiken zu konzentrieren, anstatt Zeit mit triage zu verbringen.
Die Sicherheit verlagert sich von einem Tor am Ende hin zu einer durchgehenden Absperrung entlang der gesamten Anlage.
Vereinfachung Schwachstellenmanagement compliance
Bisher Schwachstellenmanagement die Ergebnisse verschiedener Tools zusammengefasst und über externe Systeme verwaltet werden.
Mit Aikido wird alles auf einer einzigen Plattform gebündelt. Sicherheitsteams erhalten einen klaren, einheitlichen Überblick über Schwachstellen in allen Repositorys, einschließlich integrierter Priorisierung und Nachverfolgung der Verantwortlichkeiten. Entwickler sehen genau, was behoben werden muss und warum.
Dies hat direkte Auswirkungen auf compliance. Im Gesundheitswesen ist es von entscheidender Bedeutung, den Sicherheitsstatus schnell und eindeutig nachweisen zu können.
Aikido uns einen zentralen und nach Prioritäten geordneten Überblick über Schwachstellen, was die Erstellung von compliance erheblich vereinfacht.“
Die Auswirkungen
Die Einführung Aikido Ovivas Herangehensweise an das Thema Sicherheit sowohl auf technischer als auch auf organisatorischer Ebene Aikido . Sicherheitslücken werden nun früher erkannt und schneller behoben. Die Entwickler beschäftigen sich aktiv mit Sicherheitsfragen, da das Feedback unmittelbar und umsetzbar ist und nicht erst im Nachhinein erfolgt.
Entscheidend ist, dass die Teams ihre Zeit nicht mehr damit verbringen, irrelevante Meldungen zu untersuchen. Sie beheben stattdessen echte Probleme. Die Sicherheitsteams haben sich von triage manuellen triage wertschöpfenderen Aufgaben verlagert, während das Unternehmen seine Fähigkeit gestärkt hat, gesetzliche Anforderungen zu erfüllen und auch bei zunehmender Größe einen klaren Überblick über seine Sicherheitslage zu behalten.
Ein Quantensprung in der Sicherheitsreife
Aikido Oviva von einem reaktiven, toolorientierten Ansatz zu einem proaktiven, entwicklerzentrierten DevSecOps übergehen. Sicherheit ist nun unternehmensweit kontinuierlich, integriert und skalierbar.
Aikido wir von einem reaktiven Scan-Ansatz zu einem proaktiven, entwicklerorientierten Modell übergehen, wodurch sich die Transparenz verbessert hat und wir die Sicherheit im Zuge unseres Wachstums skalieren können.“
Ausblick
Da Oviva seine Plattform kontinuierlich ausbaut, benötigt das Unternehmen eine Sicherheitsgrundlage, die mit dieser Entwicklung Schritt halten kann. Mit Aikido ist das Team in der Lage, seinen Ansatz auf weitere Bereiche wie container Cloud-Sicherheit auszuweiten, Cloud-Sicherheit die Komplexität zu erhöhen. Denn im digitalen Gesundheitswesen geht es bei der Sicherheit nicht nur um den Schutz von Systemen. Es geht um den Schutz der Patienten.
