Timefold entwickelt Software zur Optimierung der Personalplanung. Ihre Open-Core-Engine, der Timefold Solver, löst NP-schwere Planungsprobleme. Darüber hinaus bieten sie sofort einsatzbereite APIs für Anwendungsfälle wie Mitarbeiter-Schichtplanung, Außendienst-Routenplanung, und Abhol-/Liefer-Routenplanung, sowie eine SaaS-Plattform, die tiefere Einblicke in die Planungsleistung ermöglicht.
Als Timefold die ISO-Arbeiten beschleunigte und auf SOC 2 hinarbeitete, wollte das Team eine kontinuierliche Sicherheitsvisibilität über ihren gesamten Stack hinweg, ohne die Ingenieure zu verlangsamen oder Sicherheit zu einem Engpass zu machen.
Auf einen Blick
- Gesprächspartner: Pieter De Schepper (VP Engineering), Jenne (Site Reliability & Security Engineer)
- Warum Aikido: ISO-Bereitschaft und SOC 2-Beschleunigung durch kontinuierliches Sicherheitsmonitoring
- Vor Aikido: GitHub Dependabot + starke PR-Reviews
Tools: GitHub (Repos), Vanta (Compliance-Reporting) - Aikido-Abdeckung: Repos, Container, Cloud-Konfiguration (Google Cloud), Domains, Reporting (Lizenzen), Kubernetes-Scanning
Herausforderung: Sicherheitsvisibilität entsprach nicht der Compliance-Geschwindigkeit
Timefold hat Sicherheit schon immer als Teil des Engineerings betrachtet. Sie hatten bereits starke PR-Reviews, erfahrene Entwickelnde und Dependabot für Abhängigkeitswarnungen.
Doch als die Compliance-Anforderungen zunahmen, stießen sie auf eine häufige Lücke: die Visibilität. Dependabot half zwar, bot aber keine permanente Übersicht über alles, was sie betreiben. Sie brauchten eine klarere Möglichkeit, grundlegende Fragen schnell zu beantworten: welche Abhängigkeiten wo verwendet werden, welche Versionen eingesetzt sind und was tatsächlich Aufmerksamkeit erfordert, wenn eine neue Schwachstelle auftaucht.
Gleichzeitig durfte Sicherheit kein Hindernis werden. Timefold wollte eine bessere Abdeckung, ohne den Prozess zu verlangsamen oder sich auf eine kleine Gruppe zu verlassen, die alles manuell überwacht.
Lösung: Kontinuierliches Scanning über den gesamten Stack, in weniger als einem Tag
Aikido meldete sich zum perfekten Zeitpunkt. Timefold suchte aktiv nach Sicherheitstools, um die ISO-Arbeiten zu unterstützen und die SOC 2-Bereitschaft zu beschleunigen.
Was besonders auffiel, war, wie schnell sie von der Evaluierung zu einer echten Abdeckung übergehen konnten. Laut Jenne war die Einrichtung schnell und problemlos.
„Wir hatten das Scanning in weniger als einem Tag in CI integriert.“
Timefold arbeitet hauptsächlich in GitHub, und Aikido fügt sich nahtlos in diesen Workflow ein. Sie aktivierten das Scanning für ihre Schlüssel-Repositories, schalteten Pull-Request-Checks ein und erweiterten die Abdeckung über Code und Abhängigkeiten hinaus auf den Rest ihrer Umgebung.
Heute nutzt Timefold Aikido, um Repositories, Container, Google Cloud-Projekte auf Konfigurationsrisiken und externe Domains einschließlich GraphQL-Endpunkte zu scannen. Sie nutzen auch Reporting, einschließlich Lizenz-Reporting, was sich insbesondere während der Due Diligence bei der Kapitalbeschaffung als nützlich erwies.
Ergebnis: Weniger Rauschen, schnellere Upgrades, klarere Abdeckung
Für Timefold war die größte Verbesserung operativer Natur: der Übergang von periodischen Überprüfungen zu kontinuierlicher Überwachung.
Anstatt nur zu reagieren, wenn Dependabot etwas meldet, haben sie jetzt einen klareren Überblick darüber, was im gesamten Stack läuft, und eine konsistentere Methode zur Priorisierung von Schwachstellen. Dies erhöhte die Geschwindigkeit und Häufigkeit, mit der sie Pakete aktualisieren, wenn Probleme entdeckt werden.
Auch die Rauschreduzierung war wichtig. Weniger Fehlalarme bedeuten, dass Ingenieure keine Zeit mit der Triage verschwenden und sich auf echte Risiken konzentrieren können.
“Rauschreduzierung ist enorm. Sie reduziert Fehlalarme, sodass sich Ingenieure auf das Wesentliche konzentrieren können.”
Aikido half Timefold auch, schnell auf wichtige Offenlegungen im Ökosystem zu reagieren. Ein Beispiel war die Next.js Authentifizierungs-Bypass-Schwachstelle. Timefold war nicht stark betroffen, da Next.js nur für das Frontend verwendet wurde und die Backend-Authentifizierung weiterhin galt, aber es war dennoch die Art von Problem, die sie schnell identifizieren und beheben wollten.
Im Bereich Compliance ist Timefold jetzt SOC 2-konform, unter Nutzung von Aikidos kontinuierlicher Abdeckung neben bestehenden Compliance-Tools wie Vanta.
Zusammenfassung
Timefold benötigte keine Sicherheitsplattform, die ständige Aufmerksamkeit erforderte. Sie brauchten eine, die die Sicherheit im Hintergrund regelt, Compliance-Arbeiten unterstützt und Ingenieuren ermöglicht, produktiv zu bleiben.
Für Pieter ist das das ideale Ergebnis:
“Aikido ist da, aber wir bemerken es nicht. Und das gefällt mir daran.”
Aikido läuft im Hintergrund, Teams bleiben fokussiert, und die Sicherheit verbessert sich, ohne zum Engpass zu werden.
