<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1127487224079104&amp;ev=PageView&amp;noscript=1 https://www.facebook.com/tr?id=1127487224079104&amp;ev=PageView&amp;noscript=1 ">

Sonatype und HackerOne machen gemeinsam Open Source sicherer Pressemitteilung

Creditreform und Nexus

Sicheres, internationales Kreditrisikomanagement mit Nexus Lifecycle
Credit Reform

Creditreform

Creditreform – StandorteCreditreform wurde 1879 gegründet. Ziel des Unternehmens war es, seine Kunden vor Forderungsausfällen zu schützen, die ihrer Liquidität schaden und die Existenz eines Unternehmens gefährden könnten. Alle Lösungen und Angebote von Creditreform sind darauf ausgerichtet, dieses Ziel zu unterstützen. 

Heute unterhält Creditreform, das seinen Hauptsitz in Neuss in Nordrhein-Westfalen hat, 167 Filialen mit 4.500 Mitarbeitern in 23 europäischen Ländern sowie in China. Das Unternehmen verfügt über ein internationales Expertennetzwerk für Kreditauskunfts- und Forderungseinzugsleistungen. Das Unternehmen möchte einen internationalen Service für Informationen und Forderungseinzüge bereitstellen, damit seine Kunden weltweit sicher Geschäfte machen können.

Creditreform verwendet Nexus Lifecycle, um die Nutzung und das Monitoring von Open-Source-Komponenten übergreifend auf ihren vielen Entwicklerplattformen zu verwalten.

 
Alle, die Nexus Lifecycle gesehen haben, waren direkt der Meinung, dass wir damit arbeiten könnten. Alle waren sich einig, dass dieses Tool für uns funktionieren würde.

Dr. Antje Nowack, Abteilungsleiterin Forschung und Grundlagen bei Creditreform

Die Herausforderung

Die Entwicklungsteams bei Creditreform hatten Schwierigkeiten, die Nutzung von Open-Source-Komponenten zu verfolgen und zu überwachen. Vor allem die mangelnde Transparenz in Bezug auf Open Source Governance, Lizenzierung und Abhängigkeiten war ein Problem. 

Die Entwickler bei Creditreform waren dafür verantwortlich, die Sicherheit der von ihnen heruntergeladenen Komponenten zu beurteilen, ohne dass es einen systematischen Prozess dafür gab. Manuelle Prozesse waren die Norm für die Untersuchung jeder einzelnen Open-Source-Lizenz. Das Team erkannte, dass eine automatisierte Lösung für das Sicherheitsmanagement zur Lizenzierung und Governance für alle Entwicklungsteams implementiert werden muss.

Die Lösung

Dr. Antje Nowack ist Abteilungsleiterin Forschung und Grundlagen, die zur Software-Entwicklungsgruppe bei Creditreform gehört. Die Software-Entwicklungsgruppe besteht aus mehreren Teams, die sowohl die Office-Services als auch die Web-Anwendungen der Organisation entwickeln. Zu Dr. Nowacks Aufgaben gehört unter anderem, die Entwicklungsumgebung für mehrere Teams zu betreuen und sie bei ihren Sicherheitsfragen zu unterstützen. Als Teil dieser Rolle leitete sie den Beurteilungsprozess zur Auswahl der Tools, mit denen der Support der Open Source Governance automatisiert werden sollte.

Die beiden vielversprechendsten Kandidaten waren die Nexus-Plattform von Sonatype und Black Duck.Creditreform – Qualitätsprogramm 

Die Tatsache, dass die Entwickler keine persönlichen Beurteilungen und Entscheidungen in Bezug auf Open-Source-Nutzung würden treffen müssen, war eines der Kriterien, weshalb man sich im Unternehmen für Nexus Lifecycle und nicht für Black Duck entschied. Zwei Entwicklergruppen, die mit den manuellen Arbeitsprozessen vertraut waren, halfen beim Beurteilungsprozess.

Während des Proof of Concept analysierte jede Gruppe eine ihrer Anwendungen. Anschließend wurden die Ergebnisse besprochen. Die Einrichtung und Nutzung von Nexus Lifecycle zusammen mit dem vorhandenen Entwickler-Toolset wurde als „einfach“ beschrieben. Das Team begann mit Beispielrichtlinien aus dem Sonatype-Leitfaden und kümmerte sich dann um die Konfiguration und die Abstimmung der Governance-Richtlinien.

Ein weiterer Aspekt war die Beurteilung des Lizenzmodells des Unternehmens. „Das Lizenzmodell von Black Duck basiert auf der Größe und der Anzahl der Anwendungen, nicht auf der Anzahl der Benutzer. Das war einer der Gründe, weshalb Sonatype deutlich besser zu uns passte.“

Dr. Nowack erklärt, was zur finalen Entscheidung ihres Teams führte. „Alle, die Nexus Lifecycle gesehen haben, waren direkt der Meinung, dass wir damit arbeiten könnten. Alle waren sich einig, dass dieses Tool für uns funktionieren würde.“

„Wir stellten fest, dass Nexus Lifecycle wirklich für unsere Zwecke geeignet war. Es war viel besser, als alles manuell machen zu müssen. Wir mussten uns nicht auf die Entwickler verlassen, um ein Problem zu erkennen und entsprechende Maßnahmen zu ergreifen. Deshalb prüfen wir nun, inwiefern Lifecycle auch den anderen Software-Entwicklungsteams weiterhelfen kann.“

Ergebnis

Mit Nexus Lifecycle als Kernstück des automatisierten Sicherheitsbeurteilungsprozesses für Open Source bei Creditreform können sich die Entwicklungsteams nun auf die Herstellung sicherer Software konzentrieren, ohne durch manuelle Beurteilungsprozesse ausgebremst zu werden.

Mit der zunehmenden Anzahl von Anwendungen kann Nexus Lifecycle skaliert werden, um den Anforderungen der Entwickler gerecht zu werden. Das Team kümmert sich weiterhin um die Verschärfung der Richtlinien für automatisierte Lizenzierung und Governance und zieht so einen maximalen Mehrwert aus Lifecycle.

„Es war gar nicht so kompliziert. Eigentlich war es sogar sehr leicht, die Lösung einzurichten und mit Nexus Lifecycle loszulegen“, fasst Dr. Nowack ihre Erfahrung zusammen.

Fazit

Auf die Frage, ob sie Sonatype und die Nexus-Plattform weiterempfehlen würde, lacht Dr. Nowack. „Das habe ich schon gemacht! Die Leute fragen mich immer wieder nach Sonatype. Sonatype gibt uns alles, was wir brauchen. Es ist ganz klar, dass Sie aus der Entwicklerecke kommen.“

„Nexus Lifecycle funktioniert so gut, dass ich den Eindruck habe, dass das Team von Sonatype ganz genau weiß, wie Entwickler arbeiten.“

Creditreform - Footer.jpg

  
Erfolgsstorys unserer Kunden