Sonatype präsentiert umfassendes Software Supply Chain Management | Pressemitteilung

Vereinfachte Code-Bereitstellung in einem DOE-Labor

Shipping Code Quickly and Securely with Sonatype Nexus

Egal in welcher Branche Sie tätig sind, Code schnell auszuliefern ist nie einfach. Jedes Unternehmen muss sicherstellen, dass der Programmcode auch wirklich das tut, wofür er geschrieben wurde, und dabei keine Probleme verursacht. Und das ist nochmal etwas ganz anderes, wenn es um Nuklearanlagen geht. Genau vor dieser Herausforderung standen ein DOE-Labor (U. S. Energieministerium) und dessen Programm-Manager (PM).

Auslieferung mit Schwierigkeiten


Die Teams, die das DOE-Labor unterstützten, konnten zwar relativ schnell Programmcode schreiben, doch der lange Sicherheitsprozess erschwerte die Auslieferung des Codes. Der PM erinnert sich: „Es wurde zu einem Problem, das fast die Organisation zum Stillstand brachte. Unsere Sicherheitsteams waren an Genehmigungszyklen gebunden, die teilweise sechs Monate dauerten.“

Entwickler, die sechs Monate auf die Freigabe ihres Codes warten müssen, sind nicht sehr glücklich. Und wenn man das Feedback bekommt, ein Stück Code, das vor Monaten geschrieben wurde, hätte die Sicherheitsprüfung nicht bestanden, muss man sich erst wieder einarbeiten. Dann muss der neue Code wieder den Sicherheitszyklus durchlaufen, was nochmals Wochen oder Monate dauern kann.

Shifting Security Left


Der PM wusste, dass er etwas tun musste, um die Zeit zwischen dem Programmieren und der Untersuchung des Codes auf Schwachstellen zu verkürzen. Außerdem wusste er, dass seine Lösung die strengen Qualitätsanforderungen erfüllen musste, die von einem Labor verlangt werden, in dem Kernenergie erforscht wird.

Und genau hier bewährte sich die Nexus-Plattform von Sonatype. Mit Nexus konnten die Teams die Sicherheit und Qualität der Bibliotheken, die sie in ihren Code integrierten, vor der Auslieferung überprüfen. Außerdem konnten sie den Sicherheitsprüfern in der Institution die Qualität von Nexus beweisen, wodurch neuer Code wesentlich wohlwollender untersucht wurde. Nexus nahm den Security Engineers Arbeit ab und diese konnten sich auf schwierigere, versteckte Schwachstellen konzentrieren, während die Nexus-Software auf gängige Mängel prüfte.

Im Endergebnis dauern einige Sicherheitsprüfungen nun keine Wochen mehr, sondern nur noch ein paar Stunden. Die Teams freuen sich über die verkürzten Zeitabstände bis zur Auslieferung, denn sie können den Forschungsteams nun weitere entscheidende Funktionen bereitstellen.

Vom ersten Tag an bewährt


Natürlich bekamen die Entwickler die Probleme der langatmigen Sicherheitsprozesse täglich zu spüren, doch der PM wusste, dass er nicht alles auf einmal ändern konnte. „Ich verstehe, warum es in unserem Behördenumfeld so lange gedauert hat“, bemerkte er. „Hätte ich den Leuten in meinem Team gesagt, was wir alles tun, wann wir anfangen und was in ein paar Monaten erledigt sein muss ... sie hätten allesamt gekündigt.“

Statt alles auf einmal zu wollen, ging der PM mit Bedacht vor. Er sah sich jeden Teil des Prozesses an, den er verbessern wollte, und optimierte Stück für Stück. Dann ließ er jedem Tool etwas Zeit, um seine Wirkung zu entfalten und vom Team akzeptiert zu werden. So lernte die Gruppe schnell, wie das Tool ihre Arbeitsabläufe unterstützen konnte, nachdem sie sich an das neue System gewöhnt hatte.

Wenn ein neues Tool hinzukam, sprach der PM mit einem Team darüber, welche Ergebnisse aufgrund des veränderten Arbeitsablaufs erzielt wurden. Die Reaktionen waren immer positiv.

Führungspersönlichkeiten innerhalb der Teams fördern


Einige der Änderungen stießen bei einigen Entwicklern auf mehr Gegenliebe als bei anderen. „Ich hatte ein oder zwei Entwickler, die sich zu richtigen DevSecOps-Fachleuten mauserten. Die Geschichte begann, sich von unserer Organisation in die gesamte Gruppe auszubreiten“, erzählt der PM. Indem er den Teams die Tools zeigte und sie vom Wert überzeugte, entdeckte der Manager einige Vordenker, die anderen Teams ebenfalls zeigten, welche Wertschöpfung damit möglich war. Statt einer Ansage von oben wurde die Maßnahme zu einem kollektiven Einsatz.

Diese Fürsprecher machten sich im Rest der Organisation für DevSecOps stark. Kurz darauf kamen Teams mit zusätzlichem Budget zum PM und baten ihn, seine Arbeit auch auf ihre Gruppe zu skalieren. Was im Kleinen begann, wuchs rasant, denn es bot den „Early Adopter“-Teams einen großen Mehrwert.

Anpassen, nicht überrollen


Die DevSecOps-Mentalität verbreitete sich zusehends in der Organisation und der PM bemerkte einen weiteren großen Vorteil von Sonatype. Als er diese Änderungen eingeführt hatte, ging es nur um ein Team. Er wusste, wie sich die Tools in ihren Arbeitsablauf integrieren ließen.

Nachdem andere Teams begannen, DevSecOps-Prozesse auszuweiten, entdeckte er, dass diese ganz anders arbeiteten als das Team, mit dem er angefangen hatte. Er erwartete einige Schwierigkeiten – dass die anderen Arbeitsabläufe zu sperrig wären, um mit den Sonatype-Tools einen Mehrwert zu liefern.

Genau das Gegenteil war jedoch der Fall. Man musste sich keine Sorgen um diese Kontaktpunkte für die Integration machen. Die Entwickler konnten Nexus-Integrationen mit anderen Technologien in ihrem Stack selbst konfigurieren. „Sie haben alles selbst geplant und eingerichtet, denn sie sollten sich damit auch wohlfühlen“, erklärt der PM. „Wir hatten vor einigen Monaten ein Meeting in unserer DevSecOps-Community. Es arbeiten tatsächlich unterschiedliche Teams mit ihrem Quellcode und den Repositorys und steuern, wie sie Dinge zusammenführen, verzweigen und veröffentlichen. Fünf oder sechs verschiedene Teams sind jetzt schon so weit.“

Jedes Team hat ein eigenes Tempo


Der PM konnte die Teams mit dem Sonatype Nexus Exchange verbinden, wo diese Plug-ins fanden, die genau zu ihren jeweiligen Arbeitsabläufen passten. So stellte jedes Team fest, dass es für die Integration mit Sonatype nicht gleich die gesamte Arbeitsweise auf den Kopf stellen musste. Und da jede Gruppe ihre Installation selbst konfigurieren konnte, übernahmen sie auch mehr Verantwortung für das Endprodukt. Natürlich bedeutete Sonatype Nexus einen weiteren Schritt in ihrem Arbeitsablauf. Doch dieser Schritt lieferte schnell Mehrwert und warf dem Team keine Steine in den Weg.

Das Endergebnis war ein Produkt, das den Entwicklerteams nach der Installation still und leise dabei half, sichereren Code in besserer Qualität zu liefern. Andere Teams wurden auf die Vorteile aufmerksam, führten die Lösung ein und fühlten sich in ihren Arbeitsabläufen ebenfalls schnell mit Nexus zu Hause.

Sonatype Nexus: Transformation der Code-Auslieferung für ein DOE-Labor


Der PM zog nicht einfach eines Tages aus, um sich zum DevSecOps-Fachmann ausbilden zu lassen. „Ich bin Autodidakt. Ohne diese Eigenschaft wäre ich heute nicht hier. Ich bin zwar kein Entwickler, doch ich weiß: Mit den richtigen Tools kann ich unseren Entwicklern die Arbeit erleichtern“, erklärt er.

Mit der Nexus-Plattform von Sonatype baute der PM einen neuen Prozess auf, der Sicherheitslücken und Code-Probleme früher aufdeckte als je zuvor. Da das Tool zuverlässig und umfassend war, konnten seine Teams den Zeitaufwand für die Sicherheitsprüfung von Programmcode wesentlich reduzieren. Dieser verkürzte Zyklus steigerte die Produktivität seines Teams und machte die Entwickler glücklich. Und diese glücklichen Entwickler erzählten anderen Gruppen von ihrem Erfolg – so waren weitere Änderungen schnell vorprogrammiert. Da Nexus so leicht in andere Tools und Arbeitsabläufe zu integrieren war, kam jedes dieser Teams schnell und einfach zu seinem eigenen Mehrwert.

Es gibt zwar einige besondere Herausforderungen bei der Zusammenarbeit mit Kernforschungslaboren, doch die Lösungen, die der PM fand, passten zu den Anforderungen der Institution. DevSecOps lieferte den Rahmen zur Vereinfachung der Code-Bereitstellung unter Berücksichtigung aller Vorgaben – und das alles mit Sonatype Nexus. Wie könnte Sonatype Ihrem Unternehmen helfen?

VERTRIEB KONTAKTIEREN

Bereit, Sonatype auszuprobieren?

Schützen und automatisieren Sie Ihre Software-Supply-Chain.