In der HR-Tech-Branche, in der der Umgang mit sensiblen Mitarbeiter- und Unternehmensdaten ein Kernstück des Produkts ist, hat Simployer die Sicherheit zu einem Grundpfeiler seines Entwicklungsprozesses gemacht. Die Plattform von Simployer mit Sitz in den nordischen Ländern und mehr als 12.000 Unternehmen und einer Million Nutzern unterstützt Unternehmen bei der Rationalisierung von HR-Abläufen, von der Einhaltung gesetzlicher Vorschriften bis hin zum Engagement der Mitarbeiter.
Um das Innovationstempo aufrechtzuerhalten und gleichzeitig sicher und konform zu bleiben, wandte sich Simployer an Aikido.
Sicherheit als gemeinsame Verantwortung
Für Simployer beginnt die Sicherheit im Kern der Arbeitsweise der Teams. Peder Nordvaller, CTO bei Simployer, beschreibt es ganz einfach:
"Sicherheit spielt eine große Rolle bei dem, was wir tun. Wir verarbeiten personenbezogene Daten, die nicht nur privat sind - sie sind für die Geschäftsabläufe unserer Kunden von entscheidender Bedeutung."
In der gesamten technischen Organisation von Simployer ist die Sicherheit nicht isoliert. Stattdessen ist sie in den täglichen Entwicklungszyklus der einzelnen Teams integriert. Von der Infrastruktur bis zu den Frontend- und Backend-Teams sind alle gemeinsam für die Sicherheit der Systeme verantwortlich.
Said, Tech Lead bei Simployer, drückt es so aus: "Jedem Team gehört sein Bereich. Das gilt auch für die Sicherheit der Dinge, die sie bauen".
Aber obwohl diese Kultur stark ist, brauchte sie dennoch die richtigen Werkzeuge, um sie zu unterstützen. Vor allem, als das Unternehmen skalierte.
Die Herausforderung: schnelles Wachstum ohne Kontrollverlust
Als Simployer seine Entwicklung schnell skalierte, standen die Teams vor der Herausforderung, die Sicherheit aufrechtzuerhalten, ohne die Innovation zu bremsen.
"Wir investieren stark in die Produktentwicklung", erklärt Peder. "Wir mussten sicherstellen, dass unser Sicherheitskonzept mit unserem Wachstum mithalten kann.
Simployer hatte verschiedene Tools ausprobiert, die beim Scannen von Code und Infrastruktur helfen sollten - von Snyk bis zu den integrierten Lösungen von GitLab. Aber die meisten Plattformen verursachten mehr Probleme als sie lösten:
- Hoher Lärmpegel und unklare Prioritäten
- Manuelle Triage, die den Entwicklern viel Zeit raubte
- Geringe Akzeptanz aufgrund einer klobigen UX
Said führt aus: "Es gab viel Lärm, und man verbrachte viel Zeit damit, sich mit Themen zu beschäftigen, die nicht wichtig waren. Es war einfach nicht klar, worauf man sich konzentrieren sollte.
Für ein Unternehmen mit mehreren parallel arbeitenden Entwicklungsteams war diese Fragmentierung nicht tragbar.
Warum Simployer Aikido wählte
Das Team machte sich auf die Suche nach einer Lösung, die Klarheit, Schnelligkeit und eine nahtlose Integration in bestehende Arbeitsabläufe bieten konnte. Dabei stießen sie auf Aikido.
"Das erste, was uns auffiel, war, wie intuitiv die Benutzeroberfläche ist", erinnert er sich.
"Man kommt rein, sieht die Schwachstellen, die wichtig sind, und kann sie schnell beheben."
Aikido trug sofort dazu bei, die kognitive Belastung der Entwickler zu reduzieren, indem es Schwachstellen gruppierte und priorisierte und umsetzbare Korrekturen bereitstellte. Das Tool wurde direkt in die CI/CD-Pipeline und die bestehenden Arbeitsabläufe von Simployer integriert, sodass die Einführung reibungslos verlief.
Zwei Dinge fielen auf:
- Kluge Prioritätensetzung: "Sie wissen genau, worauf Sie achten müssen und was wirklich wichtig ist."
- Auto-Fix: "Wenn es automatisch repariert werden kann, wird es einfach gemacht. Das ist ein Wendepunkt."
Said fügt hinzu: "Die Geschwindigkeit der Problemlösung ist unglaublich. Wir haben Probleme in weniger als einer Minute behoben. Aikido erstellt die Pull-Anfrage, die Tests werden bestanden, und schon ist es erledigt."
"Die Geschwindigkeit der Problemlösung ist unglaublich. Wir haben Probleme in weniger als einer Minute behoben. Aikido erstellt die Pull-Anfrage, die Tests werden bestanden, und das war's."
Sicherheit als Teil des Entwicklungsprozesses
Einer der größten Erfolge für Simployer war, wie selbstverständlich Aikido Teil der Entwicklererfahrung wurde.
"Das hat unser Sicherheitskonzept verändert", sagt Peder. "Jetzt behandeln wir Sicherheit wie jede andere Aufgabe in unserer täglichen Arbeit."
Durch die Einbettung von Sicherheitsfunktionen in bestehende Tools und die Bereitstellung verwertbarer Erkenntnisse für die Teams konnte Aikido das Hin und Her zwischen Entwicklern und Sicherheitsteams vermeiden. Das bedeutete weniger Kontextwechsel und mehr sicheren Code, schneller.
Aikidos Abdeckung des gesamten Tech-Stacks von Simployer - vom Anwendungscode bis hin zu IaC und Open-Source-Abhängigkeiten - ermöglichte es dem Team außerdem, sich über ein einziges Dashboard ein vollständiges Bild von seiner Sicherheitslage zu machen.
Blick in die Zukunft: Skalierung mit Zuversicht
Mit Aikido hat Simployer den Grundstein für eine auf Sicherheit ausgerichtete Entwicklungskultur gelegt, die die Dynamik des Unternehmens nicht bremsen wird.
- Entwickler beheben Sicherheitslücken jetzt in Minuten, nicht in Tagen
- Sicherheit ist in den Lebenszyklus der Entwicklung eingebettet und wird nicht nachträglich angehängt
- Teams haben Sichtbarkeit über den gesamten Stack, vom Code bis zur Cloud
- Die manuelle Triage wird reduziert, und die Korrekturen erfolgen oft automatisch.
"Es ist einfacher, das Richtige zu tun, wenn die Werkzeuge einen unterstützen", meint Said. "Und wenn es so einfach ist, tun es die Entwickler auch.
"Es ist einfacher, das Richtige zu tun, wenn die Werkzeuge einen unterstützen. Und wenn es so einfach ist, tun es die Entwickler auch."
"Mit Aikido ist Sicherheit jetzt einfach ein Teil unserer Arbeitsweise. Es ist schnell, integriert und tatsächlich hilfreich für Entwickler."
- Peder Nordvaller, CTO bei Simployer
.svg){kind=logo}
%201.svg)
