Auf einen Blick
- Security-by-Design in Serkos interne Plattform für Entwickelnde integriert
- False Positives eliminiert und das Vertrauen in Sicherheitsergebnisse wiederhergestellt
- Code-, Cloud-, Container- und API-Sicherheit in einer Plattform vereinheitlicht
- 300 Entwickelnden ermöglicht, Schwachstellen selbst zu verantworten und zu beheben, anstatt Triage-Rauschen zu betreiben
- Sicherheit direkt in die Workflows und Vorlagen von Entwickelnden integriert
- Ein Platform-as-a-Product-Engineering-Modell unterstützt
- Organisationsweite Transparenz durch Port-Integration bereitgestellt
- Aikido Security gegenüber einer älteren Security-Plattform für Entwickelnde gewählt
Secure-by-Design-Vision
Serko ist ein weltweit führendes Reise-Technologieunternehmen mit über 2 Millionen Nutzern, das einen großen technischen Wandel durchlief. Im Rahmen dieser Veränderung wechselte Darshit Pandyas Rolle vom Produktteam zum Senior Principal Engineer, der Serkos neue Plattform-Engineering-Initiative leitete. Diese Initiative entstand aus einer Gelegenheit, die Darshit sah, um die Reibung, die Produkt-Entwickelnde beim Erstellen neuer Produktfunktionen empfanden, erheblich zu reduzieren.
“Es gibt immer Reibung und Verzögerungen, wenn Ihr Team einen neuen Dienst oder eine API entwickeln möchte, aber keine Standardvorlagen vorhanden sind. Zum Beispiel eine API-Vorlage, die die OWASP Top 10 und andere Sicherheitsvorkehrungen integriert hat”, sagte er.
Ohne diese Vorlagen war es für Entwickelnde mühsam, Dinge von Grund auf neu zu entwickeln und jedes Mal das Rad neu zu erfinden.
Daher sieht Darshit Plattform-Engineering als entscheidend für den Erfolg von Serko an und nimmt eine „Platform-as-a-Product“-Denkweise an.
„Wenn wir es richtig machen, können wir unseren internen Kunden, wie unseren Ingenieuren, Engineering-Leitern, Produktmanagern und Delivery-Leitern, definitiv helfen und ihre kognitive Belastung reduzieren, sodass sie sich auf das Schreiben von Geschäftslogik konzentrieren können“, sagte Darshit.
Serkos Plattform-Engineering-Initiative konzentriert sich auf wiederverwendbare, standardmäßig sichere Vorlagen und interne Tools, die repetitive Arbeit eliminieren. Durch die Einbettung von Sicherheitsstandards wie OWASP Top 10 in jeden Dienst von Anfang an stellt das Team sicher, dass Entwickelnde selbstbewusst innovieren können, ohne die Sicherheit zu gefährden.
Das Erste, was Darshit richtig machen wollte, war die Sicherheit.
Umgang mit Fehlalarmen
Vor Aikido setzte Serko auf eine Sicherheitsplattform für Entwickelnde, die Lärm und Vertrauensprobleme verursachte.
„Wir nutzten ein Tool, das sich rühmt, Schwachstellen aufzuspüren, aber das war nicht der Fall. Wir hatten viele Fehlalarme. Ingenieure waren frustriert über die vielen erkannten Fehlalarme, was zu einem Mangel an Vertrauen führte.“
„Zudem wollten wir Verbesserungen und Erweiterungen an der Sicherheitsplattform für Entwickelnde, die auch nach vielen Monaten der Zusammenarbeit mit dem Anbieter nicht erfolgten“, sagte er. „Die Technologie entwickelte sich sehr schnell, aber es fehlten einige Funktionen wie Cloud-bezogenes Schwachstellenmanagement, KI-Autofix und APIs, die wir nutzen könnten, um Kunden-Workflows oder -Tools zu erstellen oder zu integrieren“, fügte er hinzu.
Aufgrund dieser Frustrationen pilotierte Serko Aikido und validierte, welche Schwachstellen Aikido für einige Repositories im Vergleich zu ihrer bestehenden Sicherheitsplattform für Entwickelnde zeigte.
„Unsere Sicherheitsexperten und ich wussten, dass einige davon Fehlalarme waren und nicht vorhanden sein sollten, und Aikido zeigte diese Schwachstellen nicht an, was ein großartiges Zeichen war“, sagte er.
Darüber hinaus erklärte Darshit, dass Aikidos Fähigkeit, dieselben Schwachstellen über verschiedene Codebasen hinweg zu gruppieren und vollständige Schritt-für-Schritt-Beschreibungen zur Behebung von Schwachstellen bereitzustellen, weitere Alleinstellungsmerkmale für Aikido waren, während Cloud-, Code- und API-Sicherheit sowie KI-Autofix weitere entscheidende Faktoren bei der Auswahl von Aikido darstellten.
„Das Engagement von Aikido, sich an Serkos Plattform-First-Strategie anzupassen, war hoch, und die Zusammenarbeit mit ihnen war großartig. Sie lösen unsere Probleme, und wenn sich eine Gelegenheit für eine Integration bietet, wie die Integration des internen Entwickelnden-Portals Port mit Aikido, haben sie daran gearbeitet, es umzusetzen“, sagte er.
„Das ist nicht nur Feedback von mir. Viele Produktingenieure von Serko kamen auf uns zu und sagten: ‚Aikido ist eine großartige Plattform, die ihr uns bietet, und wir sehen einen großen Mehrwert darin‘“, fügte er hinzu.
„Andererseits erhielten wir täglich Beschwerden und Frustration von unseren Ingenieuren, die das vorherige Sicherheits-Tool für Entwickelnde nutzten. Aber mit Aikido haben wir keine solchen Beschwerden erhalten“, sagte Darshit.
Die Auswirkungen von Serkos Sicherheitsplattform für Entwickelnde – Angetrieben von Aikido
Die Einführung von Aikido hat Serko geholfen, die Art und Weise zu transformieren, wie Teams an Sicherheit herangehen. Schwachstellen sind nicht länger unter Fehlalarmen versteckt, und Ingenieure fühlen sich für die Behebung von Problemen verantwortlich. Dieser kulturelle Wandel ist ein direktes Ergebnis von Serkos Plattform-Engineering-Vision, sicher unterstützt durch Aikido Security.
„Mit unserer vorherigen Sicherheitsplattform gab es einen Mangel an Vertrauen in die hervorgehobenen Schwachstellen.
Mit Aikido war die Klarheit viel besser. Wir forderten die Teams auf, kritische Probleme anzugehen, und das taten sie auch. Heute haben wir unsere Sicherheitslage wesentlich verbessert, weil die Leute tatsächlich Probleme beheben und nicht Fehlalarme untersuchen“, sagte er.
Aikidos State of AI, Developers & Security 2025 ergab, dass 15 Prozent der Engineering-Zeit für das Triagieren von Warnmeldungen verloren gehen, und der größte Teil dieser Zeit (72 Prozent) entfällt auf Fehlalarme. Tatsächlich verschwenden Teams durchschnittlich fünf Stunden pro Woche mit der Bearbeitung von Fehlalarmen. Doch der Schaden, den Fehlalarme verursachen, geht darüber hinaus. Sie können Teams zu Workarounds und riskanten Abkürzungen zwingen. Zwei Drittel der Befragten umgehen Sicherheitstools, ignorieren Ergebnisse oder verzögern Korrekturen, weil sie es leid sind, sich mit Fehlalarmen auseinanderzusetzen.
Ein großes Zeichen dafür, dass Aikido und das gesamte Plattform-Engineering-Konzept funktionieren, ist, dass diese Workarounds bei Serko nicht vorkommen.
Darüber hinaus hat Serko für ältere Legacy-Frameworks regelmäßige Sicherheitsüberprüfungen durch die Führungsebene implementiert. Wenn ein Team die Behebung einer bestimmten Schwachstelle verzögern möchte, muss es die Führungsebene dazu bringen, das Risiko zu genehmigen, was das Zusammenstellen einer Begründung erfordert, warum dies akzeptabel ist. Diese werden regelmäßig von Führungskräften überprüft. Ziel ist es, die Sichtbarkeit zu erhalten, damit Führungskräfte wissen, wo ernsthafte Risiken liegen, und Maßnahmen vorantreiben können, anstatt sie ignorieren zu lassen.
Integration von Aikido mit Port
Kontext ist entscheidend für Entwickelnde, und Darshit glaubt, dass die Kombination von Aikido mit Port (als Serkos Entwickelnden-Portal genutzt) ein bedeutender Schritt nach vorn für den Plattform-Engineering-Erfolg von Serko ist.
„Mit der Kombination von Aikido und Port werden Schwachstellen neben Serkos Assets sichtbar sein, nicht nur Dienste, sondern auch Cloud-Ressourcen, Datenbanken und Komponenten. Das verschafft uns eine klare, unternehmensweite Sichtbarkeit. Wir bauen auch eine Security Scorecard durch die Integration auf. Dies wird uns ermöglichen zu zeigen, welche APIs beispielsweise in unserem API-Katalog einem Bronze-, Silber- oder Gold-Tier zugeordnet sind. Die Scorecard bietet eine einfache Möglichkeit, die Sicherheitslage über verschiedene Teams und Assets hinweg zu verstehen.“
Die Integration wird der Technologie-Führungsebene auch ermöglichen, leicht zu erkennen, wie viele Schwachstellen es in unseren Systemen aus Team-, Gruppen- oder Organisationsperspektive gibt, und aufzeigen, welche Teams im Rückstand sind und welche keine Schwachstellen aufweisen. Dies wird der Produkt- und Engineering-Führungsebene helfen.
„Indem wir Führungskräften Einblicke in die Sicherheitslage geben, können sie fundierte Entscheidungen über Prioritäten treffen. Wir wollen Menschen nicht mit starren Vorgaben blockieren; stattdessen möchten wir sie mit Daten befähigen, damit sie Lieferung und Sicherheit in Einklang bringen können“, erklärte Darshit.
Fazit
Für Darshit ist Platform Engineering mehr als nur Technologie, es geht um einen Kulturwandel. Durch den Einsatz von Aikido hat Serko den Entwickelnden das Vertrauen gegeben, Sicherheitsergebnissen zu vertrauen, und einen Rahmen geschaffen, in dem Produktteams die Kompromisse zwischen Geschwindigkeit und Sicherheit erkennen können. Entscheidend ist, dass es Serko dabei unterstützt hat, eine Entwicklerplattform aufzubauen, auf der Sicherheit in der Verantwortung aller liegt. Während Serko sich weiterentwickelt, setzt es einen neuen Standard für Secure-by-Design Platform Engineering, mit Aikido als entscheidendem, vertrauenswürdigem Partner auf diesem Weg.
