Wie Kredi Kayıt Bürosu Open-Source-Sicherheit bei der Entwicklung priorisiert

Geschützt und Open-Source-Schwachstellen immer einen Schritt voraus bleiben – mit Nexus Lifecycle

Das 1995 gegründete Unternehmen Kredi Kayıt Bürosu (KKB) ist das erste und einzige Kreditbüro in der Türkei. Als eine der weltweit führenden Finanzinstitutionen ist das Unternehmen stolz darauf, mit gutem Beispiel voranzugehen und seine Kunden mit innovativen Produkten und Dienstleistungen zu begeistern. KKB unterstreicht aber auch, dass Innovation sich nicht auf Kosten der Sicherheit entwickeln kann. Genau deshalb nimmt KKB Open-Security-Sicherheit so ernst und verlässt sich auf Nexus Lifecycle für den Schutz seines gesamten Software Development Lifecycle (SDLC) vor Open-Source-Schwachstellen.

Sicherheit in die Entwicklung einbauen – Eine Initiative von oben nach unten

Nach den weit verbreiteten Angriffen auf die Open-Source-Komponente Struts 2 im Jahr 2017, die auf eine bekannte Schwachstelle zurückzuführen waren, erkannte KKB unmittelbar die Notwendigkeit, seinen Software Development Lifecycle besser zu verstehen und zu schützen. Als Unternehmen, das die Leistung schätzt, die Open Source Software mit sich bringt, wusste man auch, dass eine ähnliche Sicherheitsverletzung für das einzige Kreditbüro in der Türkei katastrophal sein würde. 

Das KKB-Sicherheitsteam, das DevOps-Team und das Management haben alle verstanden, wie wichtig es ist, einen umfassenden Schutz in jeden Unternehmensbereich zu integrieren. Die Open-Source-Sicherheit und der Schutz der Software Supply Chain war nicht allein ein Problem, das die Security-Abteilung lösen musste. Wie DevOps-Ingenieur Emre Erkek sagte: „Es würde sich zu einem sehr großen Problem entwickeln, wenn es irgendeine Schwachstelle gäbe. Es ist äußerst wichtig für das Unternehmen, unsere Architektenteams, unsere Entwicklungsteams und die anderen Stellen und Geschäftsteams. Alle Teams stehen hinter der Idee, dass die Sicherheit schon beim ersten Entwicklungsschritt integriert werden muss. Andernfalls wird es ein Geschäftsproblem.“ 

Dieser gegenseitige Respekt und das Verständnis der vorliegenden geschäftskritischen Probleme führten zu einer engen Verbindung zwischen den Sicherheits- und den Entwicklungsteams. Wie Ermes Kollege und Chief Architect bei KKB, Ufuk Tankurt, bemerkte: „Wir hier auf der Entwicklungsseite sprechen uns mit dem Sicherheitsteam ab, um wichtige Wege nach vorne zu erschaffen. Die Sicherheitsabteilung schlägt etwas vor, wir schlagen etwas vor, und dann treffen wir bzgl. der zu unternehmenden Schritte eine gemeinsame Entscheidung. Basierend auf diesen Gesprächen erstellen wir dann angemessene Pipelines innerhalb des Software Development Lifecycle. Wir arbeiten unheimlich eng zusammen und sind ein eingespieltes Team.“ 

Dieser Bedarf an Präzision und Genauigkeit sowie Zuverlässigkeit und Benutzerfreundlichkeit für die Zusammenarbeit zwischen Entwicklungs- und Sicherheitsfunktionen führte dazu, dass KKB Nexus Lifecycle wählte, um die DevSecOps-Maßnahmen voranzutreiben. 

Präzision und Kontrolle sind bei Open-Source-Sicherheit wichtig – entscheiden Sie sich für Nexus Lifecycle

Nach der Evaluierung mehrerer SCA- und Open-Source-Sicherheitslösungen erläutert Ufuk, dass Nexus Lifecycle als einzige Lösung Sinn machte. „Kredi Kayıt Bürosu hat sich für Nexus Lifecycle von Sonatype entschieden, da es die Open-Source-Schwachstellen und Abhängigkeiten im Gegensatz zu den anderen Produkten sehr umfangreich erklärte“, so Ufuk. „Wenn neue Schwachstellen entdeckt werden, erscheinen sie innerhalb von Stunden oder Tagen im Sonatype-Produkt. Diese Kombination aus Geschwindigkeit und Tiefe war beispiellos und genau das, was wir brauchten.“ 

Als Unternehmen, dessen Entwickler ebenfalls den Nexus Repository Manager von Sonatype zur Verwaltung ihrer Binärdateien und Build-Artefakte nutzten, war die Leistungsfähigkeit der kompletten Nexus-Plattform für das Unternehmen eine Selbstverständlichkeit. Außerdem erläuterte Ufuk, dass einer der Hauptgründe, warum KKB sich für Nexus Lifecycle entschied, die Möglichkeit ist, kritische Daten lokal vor Ort zu speichern. Andere Lösungen, die sich nur auf die Cloud konzentrieren, stellen nicht die Art von Kontrolle bereit, die KKB haben muss. Dank der Hybridlösung von Sonatype erhielten sie die Sicherheit und Kontrolle über das Produkt und ihre Daten, die sie benötigten, um sich auf der sicheren Seite zu fühlen.

„Eine wichtige Sache für uns ist der Support. Mit dem Nexus-Support sind wir überaus zufrieden. Wir hatten gelegentlich Probleme mit der Bedienung und das Support-Team von Nexus hat unsere Fragen in wenigen Minuten beantwortet. Das ist tatsächlich SEHR wichtig für uns.“
– Emre Erkek, DevOps-Ingenieur

Kontrolle gewinnen, einen Rhythmus finden und langfristigen Erfolg sicherstellen

Als KKB im Jahr 2017 seine DevSecOps-Mission begann, starteten sie in Etappen, gingen dann aber schnell zur vollständigen Integration von Nexus Lifecycle in ihre DevOps-Pipeline und in ihre CI/CD-Tools über. Durch die direkte Integration in den Entwicklungszyklus und die Anzeige von Open-Source-Code-Informationen während Built-Phase des Projekts, können die Entwickler bei KKB unmittelbar gegen auftretende Schwachstellen oder Probleme mit dem Open-Source-Code vorgehen. 

Diese Anpassung war für den Erfolg des Unternehmens bei der Verwaltung seiner Software Supply Chain von größter Bedeutung. Im Jahr 2019 startete das Unternehmen ein Projekt, um mithilfe von Nexus Lifecycle Abhängigkeitsschwachstellen in mehr als 130 Projekten zu bereinigen. Eine gewaltige Aufgabe, die sich aber dank der vollständigen Integration von Sonatype in das Entwicklungsunternehmen nun machbar anfühlte. In den nächsten sechs Monaten arbeitete das Unternehmen hochkonzentriert und legte seinen Schwerpunkt auf die Behebung sämtlicher Richtlinienverstöße in ihrem Produktportfolio. Insgesamt gab es in diesen 130 Projekten Tausende verschiedener Verstöße. Durch den Einsatz von Nexus Lifecycle konnten sie dies in einem relativ kurzen Zeitrahmen erreichen und die nächste Phase ihrer Transformation einleiten, um sich einen Vorsprung zu verschaffen. 

Nachdem KKB die Kontrolle über seine Software Supply Chain übernommen hatte, wurde das Unternehmen noch proaktiver in seinen Open-Source-Sicherheitsverfahren und implementierte die Blockierung von Builds, die Code enthielten, der gegen die in Nexus Lifecycle erstellten Unternehmensrichtlinien verstößt. Diese erfordern, dass sämtliche Probleme und Schwachstellen, die in Abhängigkeiten usw. gefunden werden, sofort gelöst werden, bevor zum nächsten Entwicklungsschritt übergegangen werden kann. Dies bedeutet, dass KKB nun sehr wenige Verstöße in Produktionsanwendungen verzeichnet, da diese Schwachstellen ausgemerzt werden, bevor sie Schaden anrichten können. 

Nachdem KKB seinen Rhythmus mit Nexus Lifecycle gefunden hatte, blieb das Support-Team von Sonatype an seiner Seite – und das ist bis heute so. „Eine wichtige Sache für uns ist der Support, wir sind sehr zufrieden mit dem Nexus-Support", so Emre. Wir hatten gelegentlich Probleme mit der Bedienung und das Support-Team von Nexus hat unsere Fragen in wenigen Minuten beantwortet. Das ist tatsächlich SEHR wichtig für uns.“

Jetzt verwendet KKB Nexus Lifecycle, um Open-Source und seine Software Supply Chain in jeder einzelnen Phase des Softwareentwicklungszyklus richtig zu verwalten. Sie scannen die gesamte DevOps-Pipeline, den Staging- und Build- sowie den Release-Bereich. Durch das Erkennen von Schwachstellen in der Staging- sowie in der Produktionsumgebung kann KKB Projekte mit Sicherheit veröffentlichen und sich auf die Erschaffung innovativer Produkte für seine Kunden konzentrieren anstatt darauf, ob irgendwo Schwachstellen sind.

VERTRIEB KONTAKTIEREN

Bereit, Sonatype auszuprobieren?

Schützen und automatisieren Sie Ihre Software-Supply-Chain.