Blackboard und Nexus Lifecycle

Sichere und geschützte Lernumgebungen in Entwicklungsgeschwindigkeit

Blackboard ist das weltweit führende Unternehmen für Bildungstechnologie. Das Unternehmen hinterfragt konventionelle Denkweisen und fördert neue Lernmodelle, die eine neue Perspektive auf Bildung ermöglichen und diese für die Lernenden und Einrichtungen von heute leicht zugänglich, ansprechend und nützlich gestalten sollen. Blackboard hat sich auf die Fahnen geschrieben, in Kooperation mit Führungspersonen aus der Hochschulbildung, Vertretern primärer und sekundärer Bildungsanstalten, Gesellschaften und behördlichen Institutionen auf dem ganzen Globus Menschen zu lebenslangem Lernen zu begeistern, damit sie ihr volles Potenzial ausschöpfen können. Um diese Aufgabe erfüllen zu können, verlässt sich das Unternehmen auf ein branchenführendes Sicherheitsprogramm, welches die Integrität der geschäftlichen Daten sowie die Verfügbarkeit der geschäftskritischen Produkte von Blackboard gewährleistet.

Die Herausforderung: Prüfung der Open-Source-Integrität von mehr als 100 Komponenten

Blackboard hat Millionen Zeilen benutzerdefinierten Codes geschrieben – wovon etwa die Hälfte mit einer oder mehr der über 100 Open-Source-Komponenten in Berührung kommt. Dazu gehören etwa Spring, Struts, Hibernate und Tomcat. Es ist unglaublich wichtig sicherzustellen, dass diese Komponenten keine Schwachstellen haben, so Matthew Saltzman, Senior Security Engineer in der Abteilung für Anwendungssicherheit bei Blackboard. In der Vergangenheit verbrachte das Team ganze zwei Tage mit der Prüfung, ob bestimmte Versionen eines Artefakts, Frameworks oder einer Bibliothek für die Verwendung in Produkten von Blackboard zugelassen sind. Wie viele andere Unternehmen wurde das Inventar an Open-Source-Komponenten in einer Tabelle verwaltet. Das Team richte sich bei der Bewertung der Risikofreiheit seiner Open-Source-Komponenten nach Meldungen der National Vulnerability Database, einer Schwachstellen-Datenbank. Gleichzeitig analysierte die Rechtsabteilung etwaige Risiken im Zusammenhang mit den fraglichen Open-Source-Lizenzen. Dieses manuelle Verfahren erwies sich als umständlich, aufwändig und schlicht ungeeignet für die steigende Nutzung von Open-Source Komponenten im Unternehmen. Tauchten bisher unbekannte Schwachstellen in bereitgestellten Produkten auf, vergingen Tage, bis das Sicherheitsteam eine Lösung gefunden hatte.

„Blackboard hat Millionen Zeilen benutzerdefinierten Codes geschrieben – wovon etwa die Hälfte mit einer oder mehreren der über 100 Open-Source-Komponenten in Berührung kommt. Es ist unglaublich wichtig sicherzustellen, dass diese Komponenten keine Schwachstellen haben.“

– Senior Security Engineer, Blackboard

Die Lösung: Open Source Governance-Verfahren anpassen und auf Augenhöhe mit agilen Entwicklerteams arbeiten

Blackboard musste seine Open Source Governance-Verfahren anpassen, um mit der Geschwindigkeit seiner agilen Entwicklerteams arbeiten zu können. Das Unternehmen suchte eine automatisierte Lösung für die kontinuierliche Überwachung, Steuerung und Berichterstattung über die im Einsatz befindlichen Open-Source-Komponenten. Blackboard informierte sich über verschiedene Open-Source- sowie kommerzielle Lösungen und entschied sich aufgrund der simplen Integration und der überzeugenden Nutzerfreundlichkeit für Nexus Lifecycle von Sonatype (vormals Component Lifecycle Management – CLM). Nexus Lifecycle verfolgt die Nutzung, setzt entsprechende Richtlinien durch und verhindert den Einsatz mangelhafter Komponenten im gesamten SDLC. Auch unterstützt Nexus Lifecycle das Unternehmen bei der Nachverfolgung von Open-Source-Artefakten in Anwendungen, die sich noch in der Produktion befinden. So wird das Sicherheitsteam auf Schwachstellen hingewiesen, die andernfalls Kunden oder Geschäftsabläufe beeinflusst hätten.

Blackboard hat Nexus Lifecycle von Sonatype direkt in die Continuous Integration-Plattform Jenkins integriert – ein Schritt, der dem Unternehmen besonders am Herzen lag. Die Anwendung fügt sich nahtlos in die Entwicklungstools des Unternehmens ein und bietet Entwicklern Echtzeit-Updates zu Attributen wie Sicherheit, Lizenzen und Qualität einzelner Komponenten, was den Entwicklern fundierte Entscheidungen erleichtert.

Die Lösung ermittelt nicht nur potenzielle Probleme, sondern empfiehlt sicherere Alternativen, die problematische Komponenten ersetzen können. Nexus Lifecycle stellt eine umfassende Software „Bill of Materials” zur Verfügung, aus der sämtliche eingesetzten Open-Source-Komponenten hervorgehen, und prüft das entsprechende Inventar kontinuierlich auf Änderungen und Schwachstellen hinsichtlich genutzter Komponenten. Diese „Bill of Materials” wird auf einem Nexus Lifecycle-Dashboard angezeigt, gibt Entwicklern, dem Team für Anwendungssicherheit sowie der Rechtsabteilung Auskunft über das gesamte Open-Source-Inventar und liefert zudem eine Übersicht über Schwachstellen von Artefakten und Anwendungen.

„Durch die Auslagerung der Überwachung und Analyse sparen wir unfassbar viel Zeit. Und jetzt, wo das Produkt von Sonatype in unsere gesamte Entwicklung eingebettet ist, beseitigen wir wesentliche Schwachstellen noch vor der Bereitstellung unserer Anwendungen.”

Das Ergebnis: Nexus Lifecycle bietet jetzt eine durchgehende Automatisierung der OSS-Überwachung und die mühevolle Ermittlung von Open-Source-Schwachstellen entfällt

Die Abteilung für Anwendungssicherheit bei Blackboard konnte die Überwachung sowie die Einhaltung von Richtlinien dank Nexus Lifecycle durchgehend automatisieren und muss die Ermittlung von Open-Source-Schwachstellen nicht mehr selbst durchführen. 2 Die Integration von Nexus Lifecycle ermöglicht sowohl die Einhaltung der Bedingungen der von der Rechtsabteilung geprüften Open-Source-Lizenzen sowie die Ermittlung potenzieller Risiken im Zusammenhang mit Lizenzen. Die beiden Abteilungen sparen nicht nur Zeit, sondern Blackboard setzt sich jetzt auch proaktiv für eine sichere Nutzung von Open-Source-Komponenten ein, bei der Sicherheits-, Lizenz- und Qualitätsprobleme gekonnt verhindert werden. „Es hat nicht einmal einen Tag gedauert, bis die Lösung in unsere gesamte Entwicklung integriert war“, so Saltzman. „Das Sahnehäubchen des Ganzen ist, dass sich unsere Entwickler in einem nur 30-minütigen Kurs mit dem Produkt vertraut machen können. Der Mehrwert für unser Unternehmen war von Anfang an offenbar.”

VERTRIEB KONTAKTIEREN

Bereit, Sonatype auszuprobieren?

Schützen und automatisieren Sie Ihre Software-Supply-Chain.