Auf einen Blick
- DAST und SAST auf einer Plattform konsolidiert
- Ergebnisse direkt in Slack, Linear und Vanta integriert
- Ein wöchentliches Meeting zur Überprüfung und zum Abschluss von Ergebnissen etabliert
- Rauschen auf ein Niveau reduziert, das das Team realistisch bewältigen konnte
- Aikido ersetzte Tenable für DAST und GitHub Advanced Security für SAST
Herausforderung
Das Sicherheitsteam von Render deckt die Anwendungssicherheit, Cloud-Sicherheit und Compliance im gesamten Unternehmen ab. Mit rund 50 Entwickelnden, die an etwa 30 aktiven Repositorys arbeiten, benötigt das Team Tools, die eine konsistente Abdeckung bieten, ohne ständigen Wartungsaufwand zu verursachen.
„Wir sind verantwortlich für die interne Sicherheit: Anwendungssicherheit, Cloud-Sicherheit, Compliance. Ein bisschen von allem“, sagte Sean Doughty, Engineering Manager des Sicherheitsteams bei Render.
Vor der Einführung von Aikido nutzte Render Tenable für DAST und GitHub Advanced Security für SAST. Beide Tools waren technisch leistungsfähig. Die Reibung zeigte sich jedoch darin, wie sie sich in den täglichen Entwicklungsalltag einfügten. Der Organisation fehlte die Integration mit Linear oder Slack, was die Sichtbarkeit für die Entwickelnden reduzierte. Es erschwerte auch das Triagieren. Gleichzeitig war es für das Team schwierig gewesen, Scans über alle seine Repos auszuführen. Für ein kleines Team mit weitreichenden Verantwortlichkeiten wurde es schwierig, dieses Maß an Overhead aufrechtzuerhalten.
Konsolidierung neu denken
Render evaluierte Aikido zunächst für DAST. Das ursprüngliche Ziel war eng gefasst: ein Tool zu finden, das sich besser in die bereits genutzten Systeme der Entwicklungsabteilung integrieren ließ.
„Als ich DAST aktivierte, dachte ich, schauen wir mal, wie SAST aussieht. Es waren nur ein paar Klicks, um ein Repo zu verbinden“, sagte Sean.
Diese frühe Erfahrung verlagerte die interne Diskussion. Anstatt DAST und SAST als separate Kategorien zu betrachten, die separate Tools erforderten, begann das Team, das größere operative Gesamtbild zu betrachten. Zwei Plattformen zu pflegen bedeutete zwei Workflows, zwei Single Sources of Truth und zwei Systeme, die über Dutzende von Repositorys hinweg korrekt konfiguriert gehalten werden mussten. Für ein kleines Team erzeugte diese Fragmentierung Reibung.
„Mit Aikido funktionierte es einfach und hat seit mehreren Monaten weiterhin funktioniert“, sagte Sean.
Die Zuverlässigkeit ließ die Konsolidierung weniger riskant erscheinen. Der Betrieb von DAST und SAST auf einer einzigen Plattform reduzierte die Anzahl der Systeme, die das Team verwalten musste, und eliminierte die Scan-Konfiguration auf Repository-Ebene. Neue Repositorys konnten hinzugefügt werden, ohne Einrichtungsschritte zu wiederholen oder die Scan-Logik an mehreren Stellen zu pflegen. Im Laufe der Zeit verlagerte Render beide Funktionen in Aikido.
Was sich in der Praxis geändert hat
Der auffälligste Unterschied war, wie sich Findings in den täglichen Workflow einfügten.
„Ich denke wirklich, die Integrationen sind wahrscheinlich das Wichtigste – es verbindet sich mit Slack, Linear, Vanta.“
Slack und Linear sind die Orte, an denen technische Gespräche stattfinden und Arbeit verfolgt wird. Da Aikido direkt in diese Systeme integriert ist, erscheinen Findings im Kontext und nicht in einem separaten Dashboard, das eine aktive Überwachung erfordert. Aus operativer Sicht hat dies die Art und Weise verändert, wie das Team Probleme überprüft und löst. Alex Curtiss, Security Engineer bei Render, verwaltet einen Großteil der täglichen Aikido-Nutzung und hat es dank der Integrationen geschafft, die wöchentliche Überprüfungssitzung, die sich auf das Schließen von Findings konzentrierte, auf einen asynchronen Ansatz umzustellen. Da Findings bereits mit Linear und Slack verbunden sind, erfolgt die Nachverfolgung innerhalb derselben Systeme, die Entwickelnde für die Produktarbeit nutzen. Die wöchentliche Kadenz funktioniert, weil das Volumen überschaubar ist.
„Zuvor gab es ein viel größeres Volumen. Aikido kommt in einem Tempo, das wir bewältigen können.
Dieser Unterschied hat es realistisch gemacht, einen stetigen Überprüfungsprozess aufrechtzuerhalten, anstatt Probleme sich ansammeln zu lassen. Auch das Onboarding ist einfacher geworden.
„Dies ist ein Tool, dem unser gesamtes Engineering-Team zugewiesen ist. Sie können sich beim Beitritt sehr einfach einarbeiten.“
Breiter Zugang erleichtert die Verteilung der Sicherheitsverantwortung innerhalb der Organisation.
Unterstützung von Kundengesprächen
Sicherheit bei Render beinhaltet auch die Beantwortung von Kundenfragen zu Scan-Abdeckung und Kontrollen. Wenn Kunden Nachweise anfordern, muss das Team diese schnell bereitstellen.
„Wir hatten eine Kundenfrage zu etwas und wir haben einfach einen Sicherheitsauditbericht erstellt. Ein paar der Kästchen für die angefragten Punkte angekreuzt und dann rübergeschickt.“
Da DAST, SAST und Cloud-Findings an einem Ort sichtbar sind, erfordert die Erstellung dieser Berichte nicht länger das Abrufen von Informationen aus mehreren Tools.
Fazit
Renders Entscheidung, seine Security-Tools zu konsolidieren, wurde durch operative Realitäten vorangetrieben. Der Betrieb separater Systeme erforderte manuelle Einrichtung, Koordination und Kontextwechsel, die ein kleines Team nicht unbegrenzt aufrechterhalten konnte.
„Wir hatten leistungsstarke Software, aber etwas zu haben, das mit unseren anderen Tools verbunden ist und das Ingenieure tatsächlich nutzen, ist viel besser.“
Durch die Konsolidierung von DAST und SAST in einer Plattform, die Integration von Findings in Slack und Linear und die Etablierung einer wöchentlichen Überprüfungskadenz machte Render die Anwendungssicherheit zu einem Teil der regulären Engineering-Arbeit.
