Open-Source-Revolution bei BNP Paribas Personal Finance

Definition von DevSecOps und frühzeitige Priorisierung mit der Nexus-Plattform

Die BNP Paribas Group wurde vor mehr als 200 Jahren gegründet und hat sich zu einer der 10 wichtigsten globalen Banken mit einer Präsenz in 72 Ländern entwickelt. Das Unternehmen steht seitdem kontinuierlich an der Spitze globaler Bewegungen und hat sich „an die Herausforderungen der jeweiligen Zeit angepasst“, um seinen Kunden auch in Zeiten einschneidender Veränderungen Stabilität zu bieten. Die zur Unterstützung der Unternehmensentwicklung erstellten Softwaresysteme basierten häufig auf Open Source Software. Bis vor Kurzem wussten die Teams jedoch weder über den genauen Umfang noch über die Sicherheit der genutzten Open-Source-Komponenten Bescheid.

„Die Nexus-Plattform steht im Einklang mit unserem allmählichen Reifungsprozess als Unternehmen. Das Produkt ist eine Bereicherung ab der ersten Anwendung. Ob Sie nun Anfänger oder Nexus-Experte sind – die Plattform bietet Ihnen die Lösungen, die Sie benötigen. Sie ist wirklich großartig. All unsere Teams freuen sich, sie nutzen zu können.”

— Bruno Darras, Head of DevOps for BNP PF

Neue Erkenntnisse: Bewusstsein für die Nutzung von Open Source

devops man

Als BNP Paribas Personal Finance mit der Evaluierung seiner Open-Source-Komponenten begann, lag auf der Hand, dass bislang nicht der höchstmögliche Wert aus dem Ökosystem gezogen wurde. Alle Bibliotheken befanden sich in Git-Repositories und alle Verfahren liefen manuell ab. An Automatisierung hatte man noch gar nicht wirklich gedacht.

Da das Team erkannte, dass es Hilfe bei der Handhabung der Open-Source-Nutzung brauchte, suchte es eine Empfehlung und bekam einen Hinweis auf Nexus Repository. Nach der Implementierung entstand ein Gefühl der Transparenz und Autonomie, das den DevOps-Teams, bestehend aus über 250 Entwicklern, zuvor gefehlt hatte. Dieser Schritt verschaffte ihnen nicht nur ein Bewusstsein dafür, was sie benutzten, sondern auch die Fähigkeit, Abhängigkeiten zu erkennen. Um zu dieser Erkenntnis zu gelangen, mussten sie jedoch Silos und vorgefasste Meinungen darüber, wie der Entwicklungsprozess funktionieren sollte, überwinden. Bevor Nexus Repository ihnen dabei half, Bibliotheken zu verwalten, konnten diese nur über bestimmte Entwicklungsstationen heruntergeladen werden, die mit der Geschäftsleitung ausgehandelt wurden.

Durch die Implementierung von Nexus Repository wurde eine Revolution bei BNP Paribas Personal Finance angestoßen. Es war klar, dass man über die bestehende Open-Source-Bibliothek hinausgehen und eine Option zum Herunterladen zur Verfügung stellen musste, um jederzeit darauf zugreifen zu können. Im Zuge dieses Reifeprozesses begann man mit der Erstellung von Treibern und dem Durchführen von Tests sowie Probeläufen. Neben der Entwicklung eines besseren, organischeren Verständnisses für die Verwaltung von Abhängigkeiten und Softwarekomposition erkannte man, wie wichtig es ist, alle Open-Source-Bibliotheken während des gesamten Entwicklungszyklus sowie die damit verbundenen potenziellen Risiken besser zu verstehen. So entwickelte sich ein Verständnis dafür, dass sich die Art und Weise, wie Software erstellt wird, verändert hatte. Früher stellte man einfach eine Anwendung bereit und niemand kümmerte sich um Abhängigkeiten. Vor 10 Jahren wurde diese Frage schlicht und einfach nicht gestellt. Daher wandte man man sich schon bald auch Nexus IQ zu.

BNP Money

Reife führt zu Klarheit

Im Zuge des Wachstums von BNP Paribas Personal Finance und seiner ausgereifteren Nutzung von Nexus Repository und Nexus IQ erkannte man mehrere Aspekte in Bezug auf das Unternehmen, die zuvor verborgen geblieben waren. Nexus IQ half dem Unternehmen insbesondere dabei, Schwachstellen und Lizenzierungsprobleme zu verstehen, die es zu beheben galt. So entstand eine bislang ungekannte Transparenz für Teams, die lizenzierte Produkte nutzen. 

Bruno Darras, Head of DevOps bei BNP Paribas Personal Finance, ist überzeugt, dass die häufige Nutzung der Nexus-Plattform den Teams dabei hilft zu wachsen, indem sie stets neue wertvolle Funktionen entdecken. Er ist der Ansicht, dass die Zeit, die sich das Unternehmen nahm, um sich mit der Plattform vertraut zu machen, es schließlich ermöglichte, das Tool, die einzelnen Funktionen und seinen Einsatz in allen Unternehmensbereichen besser zu verstehen.

Bruno Darras und seine Teams haben aus den ausführlichen Nexus-IQ-Berichten große Klarheit gewonnen. In den kommenden Monaten werden die Berichte in alle Sicherheitsformulare und Antragsprüfungsverfahren einfließen. Die Analyse und die Ergebnisse werden proaktiv an die Product Owner geschickt. Diese werden dadurch veranlasst, bessere Arbeit zu leisten, oder sie müssen ihre Teams dazu veranlassen. Dieses Element wird schließlich die Steuerung und Verwaltung von Assets wie die Qualitätsdimension, Schwachstellendimension sowie die Auswahl der Deployment-Tools bestimmen. Sonatype-Produkte werden in das Asset-Dashboard integriert, um einen umfassenden Überblick über sämtliche Assets zu ermöglichen.

Kultureller Wandel als Schlüssel zum Erfolg 

Die Nexus-Plattform revolutioniert die Art und Weise, wie BNP Paribas Personal Finance Software erstellt. Mit den Integrationen, die bei der Entwicklung von Nexus IQ eine zentrale Rolle spielten, steht dem Unternehmen eine Fülle an Möglichkeiten offen. Für das Unternehmen geht es dabei nicht nur um Tools, sondern auch um Mitarbeiter. Man stellte fest, dass ein Kulturwandel mit Security Champions, Sicherheitsarchitekten, IT-Risiken und technischem Support für einen anhaltenden Erfolg unverzichtbar ist. Den Entwicklungsteams muss eine Community zur Verfügung stehen, die sie unterstützen, schulen und beraten kann. Security Champions spielen bei diesem Wandel eine tragende Rolle. Diese Community zu stärken und die Art und Weise, wie sie Hilfe bietet, zu verstehen, ist erfolgsentscheidend. Bislang hatte sich das Unternehmen auf die Implementierung der technischen Seite der Nexus-Plattform konzentriert. Jetzt fokussiert es sich auf Teams und Schulungen. Die Kultur muss sich verändern, um mit der Leistungsstärke des Tools Schritt zu halten. Darin besteht die neue Herausforderung.

VERTRIEB KONTAKTIEREN

Bereit, Sonatype auszuprobieren?

Schützen und automatisieren Sie Ihre Software-Supply-Chain.