Aikido

Wie Raisin die KI-beschleunigte Entwicklung sichert, ohne die Entwickelnden zu verlangsamen, mit Aikido

Migriert von -
Open-Source-Tools,  
50
Deployments/Tag, wobei die Sicherheit Schritt hält
2 Wochen
Von einer neu erkannten KI-Bedrohung bis zu einer ausgelieferten Regel
200
AutoFixes pro Monat
Aikido MCP
Im Inneren des KI-Assistenten
 

Raisin ist ein in Berlin ansässiges Fintech-Unternehmen, das einen Online-Marktplatz für Spar- und Anlageprodukte betreibt und über eine Million Kunden mit Einlagen- und Sparprodukten von einem Netzwerk von Partnerbanken in ganz Europa, Großbritannien und den USA verbindet. Das bedeutet, dass viel Geld von Menschen in einem regulierten Markt verwaltet wird, was der Anwendungssicherheit ein erhebliches Gewicht verleiht.

Raisins CISO und der Leiter der Produktsicherheit sahen, wie KI-gestützte Entwicklung eine selbstgewartete Open-Source-Sicherheits-Stack übertraf. Hier erfahren Sie, warum sie Aikido wählten, um Schritt zu halten, und wie es sich in die bestehende Arbeitsweise des Teams einfügt.

Auf einen Blick

  • Ersetzte eine selbstgewartete Open-Source-Scanner-Stack durch eine Plattform für Anwendungs- und Supply-Chain-Sicherheit
  • Betreibt Aikido innerhalb von JetBrains und VS Code sowie in KI-Assistenten für Entwickelnde über MCP, sodass Sicherheit im Workflow integriert ist, anstatt danebenzustehen
  • Nutzt Erreichbarkeitsanalyse für JavaScript und Python, um die manuelle Triage zu reduzieren
  • Generiert etwa 200 AutoFixes pro Monat
  • Eine Code-Qualitätsregel für eine neue KI-Fähigkeiten-Bedrohung wurde innerhalb von zwei Wochen nach Anfrage ausgeliefert
  • Nutzt Aikido Safe Chain für Entwickelnde in den NPM- und PyPI-Ökosystemen
  • Liefert etwa 50 Mal pro Tag in die Produktion aus, wobei die Sicherheit Schritt hält, anstatt zu blockieren

Herausforderung

Ein selbstgebauter Open-Source-Stack, der nicht mehr skalierte

Vor Aikido betrieb das Produktsicherheitsteam die Sicherheit mit selbstgewarteten Open-Source-Scannern, die als separate Jobs in die Build-Pipelines integriert waren. Das funktionierte, solange das Engineering-Team klein war. Als das Team wuchs und neue Services hinzukamen, begannen die Jobs fehlzuschlagen, und das Team verbrachte seine Zeit damit, Scanner zu reparieren, anstatt auf die gefundenen Probleme zu reagieren.

“Wir betrieben viele Open-Source-Scanner mit separaten Jobs in unseren Pipelines, die wir warten mussten. Als wir skalierten und Services hinzufügten, begannen diese Jobs fehlzuschlagen, und wir verbrachten viel Zeit damit, sie zu reparieren, anstatt auf die gefundenen Probleme zu reagieren.”

Steeven George, Leiter Produktsicherheit, Raisin

Die Triage häufte sich an. Bei SCA prüfte das Team manuell, ob ein Fund erreichbar war, oder riskierte, 10 oder 20 kritische Probleme pro Projekt an Entwickelnde weiterzugeben, die Sicherheit bereits als Blocker betrachteten. Für Supply-Chain-Malware hatten sie keine echte Lösung. Angriffe auf die NPM- und Python-Ökosysteme nahmen seit einigen Jahren zu, und der KI-Boom machte es günstig, bösartige Pakete zu produzieren. Raisin erstellte Software-Stücklisten mit einem Open-Source-Tool und verifizierte jede einzelne manuell, was eine eigene langsame Aufgabe war. Auf der Malware-Seite hatte das Team einen blinden Fleck, den es mit den vorhandenen Tools nicht schließen konnte.

Sicherheit hinkt der KI-beschleunigten Entwicklung hinterher

Nitesh Gaikwad, Raisins CISO, sah dasselbe Problem von oben. KI-Coding-Tools beschleunigten die Entwickelnden, aber die Anwendungssicherheit hielt nicht Schritt. Ältere Projekte enthielten Probleme, die das Team nicht klar erkennen konnte.

“Unsere Ingenieure beschleunigten ihre Arbeit, insbesondere mit AI-Tools, aber wir kamen auf der Seite der Anwendungs- und Produktsicherheit nicht hinterher. Wir brauchten etwas, das Sicherheitslücken schnell, innerhalb des Engineering-Workflows, finden konnte.”

Nitesh Gaikwad, CISO, Raisin

Die Lücke zeigte sich auch im Workflow. Raisin hatte keine IDE-integrierte Sicherheit, daher verließ sich das Team auf CI/CD-Pipelines und Scans, und Probleme traten erst auf, wenn der Code die Merge-Phase erreichte. Das verlangsamte die Auslieferung und ließ keine echte Möglichkeit, Prüfungen früher durchzuführen, was dem entgegenstand, wo Nitesh die Sicherheit positionieren wollte.

Für Nitesh ging es um Risikomanagement: die Lücken in Projekten zu finden, die das Team nie inspizieren konnte, und kritische Probleme von der Produktion fernzuhalten, ohne selbst zum Faktor zu werden, der die Auslieferung verlangsamt.

Warum Raisin sich für Aikido entschied

Nitesh führte die Evaluierung gegen Tools wie Wiz und CrowdStrike durch und gegen die Option, beim Inhouse-Setup zu bleiben. Aikido zeichnete sich durch seine Malware-Analyse von Open-Source-Paketen und Drittanbieter-Bibliotheken aus und dafür, dass es die gesamte Bandbreite auf einer einzigen Plattform abdeckte, anstatt über getrennte Tools.

“Hervorzuheben war die Malware-Analyse von Open-Source-Paketen und Drittanbieter-Bibliotheken. Kein anderes Tool, das wir evaluierten, deckte diese Bandbreite auf einer einzigen Plattform ab.”

Nitesh Gaikwad, CISO, Raisin

Eine so breite Abdeckung wirft die offensichtliche Sorge auf, dass eine Plattform, die so viel abdeckt, in keinem einzelnen Bereich wirklich stark sein könnte. Niteshs Antwort war die Evaluierung selbst. Sein Team führte eine gründliche Bewertung durch, gab Feedback zu den Ergebnissen und beobachtete, wie Aikido während des PoC darauf reagierte, sodass die Entscheidung auf dem Verhalten des Produkts in ihrer Umgebung basierte und nicht auf einer Feature-Liste.

Das Produkt musste auch das Vertrauen der Entwickelnden gewinnen, nicht nur das des Sicherheitsteams. Bei Raisin gibt das Platform Engineering grünes Licht für neue Tools, daher war die Benutzerfreundlichkeit Teil des Tests. Für Steeven war die technische Attraktivität die Konsolidierung plus Erreichbarkeitsanalyse.

“Aikido bot uns eine zentrale Übersicht. Mit Erreichbarkeitsanalyse für JavaScript und Python müssen wir weniger Triage durchführen und es gibt weniger Reibung auf der SAST-Seite.”

Steeven George, Leiter Produktsicherheit, Raisin

Transparenz war ein wichtiger Faktor. Steeven empfand das Team als offen bezüglich der Produktentwicklung, was es einfach machte, Anforderungen zu äußern und die Roadmap zu besprechen, anstatt darüber zu spekulieren.

Wie Raisin Aikido zu Raisins Arbeitsweise passt

Entwickelnde sehen Aikido-Ergebnisse in den Editoren, die sie bereits verwenden, und über die MCP-Integration können ihre AI-Assistenten Aikido-Kontext direkt abrufen. Sicherheit ist in den Workflow integriert, anstatt in einer separaten Konsole zu sitzen, die Entwickelnde erst öffnen müssen.

“Aikido ist in die IDEs integriert, die unsere Entwickelnden bereits nutzen, wie JetBrains und VS Code. Mit der MCP-Integration können sie Aikido abfragen und sehen, welche Probleme ein Repository hat, ohne ihre Tools verlassen zu müssen.”

Steeven George, Leiter Produktsicherheit, Raisin

Aikido führt Raisins SAST, SCA, Secret Detection und Malware-Scanning für Open-Source-Pakete an einem Ort aus. Entwickelnde widersprachen früher den Ergebnissen, indem sie sagten, eine Schwachstelle sei nicht erreichbar, und das Hin und Her kostete auf beiden Seiten Zeit. Mit der Erreichbarkeitsanalyse für JavaScript und Python in derselben Ansicht entfällt diese Debatte, da das Tool bereits anzeigt, ob ein Ergebnis Live-Code betrifft.

Bei der Behebung generiert Aikido AutoFix monatlich etwa 200 Fixes. Jeder Fix hat ein Konfidenzniveau, und ein Entwickelnder überprüft ihn, bevor er übernommen wird. AutoTriage arbeitet parallel dazu. Das Team überprüfte früher SAST-Ergebnisse einzeln, um zu beurteilen, was real war. Jetzt bewertet Aikidos AI sie, sodass Ingenieure und Sicherheit weniger Zeit damit verbringen, zu entscheiden, ob ein Ergebnis ein False Positive ist, und mehr Zeit für die wichtigen.

“Wir erhalten monatlich etwa 200 AutoFixes. Die meisten SAST-Tools geben Ihnen lediglich eine Empfehlung. Aikido versteht den Kontext und liefert einen Fix, der fast bereit zum Mergen ist, mit einem Konfidenzniveau, sodass der Entwickelnde ihn beurteilen kann.”

Steeven George, Leiter Produktsicherheit, Raisin

Raisin nutzt Aikido Safe Chain auch für Entwickelnde, die in den NPM- und PyPI-Ökosystemen arbeiten. Das CI/CD-Scanning, einst eine Reihe anfälliger Open-Source-Jobs, läuft nun über Aikido als eine einzige Integration.

Ein Anbieter, der in ihrem Tempo liefert

Der deutlichste Test kam von einer Bedrohung, die einen Monat zuvor kaum existierte. Raisins Entwickelnde begannen, externe AI-Skills einzubinden, und das Team befürchtete, dass Malware mit ihnen eingeschleppt werden könnte. Kein Tool auf dem Markt deckte dies ab. Raisin sprach dies bei Aikido an, und eine Regel landete innerhalb von etwa zwei Wochen im Code-Qualitätsmodul. Das Team scannt nun von einem zentralen Repository aus danach. Der Gründerzugang in einem gemeinsamen Slack-Kanal beschleunigte die Konversation, aber der Punkt, den Steeven hervorhebt, ist die schnelle Umsetzung, nicht der Zugang.

“Wir waren besorgt, weil externe Skills mit Malware ankamen, und kein anderes Tool dies abdeckte. Aikido hatte innerhalb von etwa zwei Wochen eine Regel im Code-Qualitätsmodul.”

Steeven George, Leiter Produktsicherheit, Raisin

Was die Umsetzung ermöglichte, war das Timing. AI-Skills waren erst ein oder zwei Monate zuvor aufgetaucht, und nichts anderes auf dem Markt scannte sie, daher erwartete Steeven eine lange Wartezeit oder einen Workaround. Stattdessen wurde die Funktion direkt in die Plattform integriert, als Teil von Aikidos eigenen Sicherheitstools. Die Skills-Regel war nur ein Beispiel für dasselbe Muster. Steeven sagt, dass Aikido kontinuierlich neue Bedrohungen adressiert, sobald sie auftauchen, Device Protection ist ein aktuelles Beispiel dafür, was genau das ist, was ein schnell agierendes Team wie Raisin von einem Sicherheitsanbieter benötigt.

Raisin liefert schnell und wird immer schneller. Produktionsänderungen sind von etwa 10 pro Tag auf etwa 50 gestiegen. Bei dieser Geschwindigkeit muss die Sicherheit entweder mithalten oder wird zum Engpass. Niteshs Ziel ist es, Probleme während der Entwicklung, in der IDE, zu erkennen, anstatt später an einem Pipeline-Gate, und genau dabei hilft Aikido.

“Wir können den Prozess beschleunigen, anstatt die Pipeline zu blockieren. Die meisten Probleme werden während der Entwicklung, in der IDE, identifiziert, anstatt in einer Pipeline-blockierenden Phase, sodass wir viel schneller in den Main-Branch pushen können.”

Nitesh Gaikwad, CISO, Raisin

Wie Raisin Aikido heute nutzt

Wird bereits verwendet

Planung der Einführung

Wird evaluiert

Fazit

“Einer unserer größten Erfolge ist, dass die alte Reibung zwischen Security und Entwickelnden verschwunden ist. Sie vertrauen darauf, dass es ihre Zeit wert ist, wenn Aikido etwas meldet.”

Sicherheit jetzt implementieren

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.