Sonatype stellt Abhängigkeitsmanagement der nächsten Generation vor | Pressemitteilung

Trilliant und Nexus Lifecycle

Unterstützung von Versorgungsunternehmen bei der Verbesserung von „Smart Cities“

Open Source Component Management ist für die Energie-Technologieplattform von entscheidender Bedeutung

Wenn darum geht, traditionelle Energieversorgungsunternehmen in die Lage zu versetzen, intelligente Zähler (Smart Meters) und intelligente Netze (Smart Grid) zu implementieren oder Städte bei ihren intelligenten Transformationsinitiativen zu unterstützen, Trilliant verfügt über die Technologie, um ihren Kunden über eine offene und sichere Kommunikationsplattform einen beispiellosen Service zu bieten.

Das Unternehmen in Cary, North Carolina, ermöglicht einen reibungslosen Datenaustausch für die nächste Generation von Smart Grid- und Smart City-Lösungen. Die Multi-Technologie-Plattform von Trilliant unterstützt die Automatisierung der Energieverteilung und Echtzeitanalysen zur Optimierung des Energieverbrauchs und bietet proaktive Resilienz bei Naturkatastrophen. Die fortschrittliche Kommunikationsplattform von Trilliant ist hoch skalierbar und hilft Versorgungsunternehmen, Erkenntnisse zur Verbesserung der Energieverteilung und -effizienz zu gewinnen. Kunden nutzen die Plattform, um Kosten zu senken und neue Einnahmequellen zu schaffen. 

Wie die meisten modernen Anwendungen wird die Kommunikationsplattform von Trilliant unter Verwendung einer erheblichen Anzahl von Open-Source-Bibliotheken (OSS) und Bibliotheken von Drittanbietern entwickelt, die es ihnen ermöglichen, neue Innovationen in großem Maßstab zu realisieren. Prem Ranganath, Vice President für Qualitäts- und Risikomanagement, weiß um den unglaublichen Wert, den Open-Source-Bibliotheken für Software-Entwickler an vorderster Front bringen - aber er kennt auch das versteckte Risiko, das mit dem unkontrollierten Verbrauch von Open-Source-Komponenten verbunden ist.

Um die Leistungsfähigkeit von Open-Source-Bibliotheken von Drittanbietern voll nutzen zu können, erkannte Prem, dass Trilliant eine vollautomatisierte und präzise Governance-Lösung benötigt, die nicht außerhalb des SDLC, sondern innerhalb des SDLC durch Integration mit wichtigen Tools funktioniert. Nachdem ein erster Versuch mit einem anderen Produkt nicht die gewünschten Ergebnisse brachte, entschieden sich Prem und das Team von Trilliant für Nexus Lifecycle von Sonatype.

„Mit Nexus Lifecycle können wir Risiken im Entwicklungsprozess früher als je zuvor identifizieren – insbesondere im Vergleich zu vor sechs Monaten. Nexus Lifecycle funktioniert sehr gut in unserer DevOps-Praxis."
– Prem Ranganath, VP of Quality and Risk Management

Die Herausforderung: Skalierung der Open-Source-Schwachstellenüberwachung, um die Anforderungen eines wachsenden Kundenstamms zu erfüllen

Da Kunden die Anzahl der Endpoints und intelligenten Geräte in ihren Netzwerken erhöhen, ist es für Trilliant wichtig, sicherzustellen, dass die Plattform sicher und skalierbar ist. 

Die Kollegen informierten Prem, dass die Open-Source-Risiken im Development Lifecycle mithilfe eines Tools angegangen werden, das das Team Jahre zuvor implementiert hatte. Er stellte jedoch schnell fest, dass das Produkt einige Mängel aufwies. Das größte Problem war, dass das Team von Trilliant erweiterte manuelle Überprüfungen der OSS-Warnungen durchführen musste, die mit dem vorhandenen Tool generiert wurden.

„Mir wurde klar, dass das vorherige Tool zwar viele Daten auswarf, aber die Prozesse zum Analysieren und Verarbeiten der Daten nicht in den Development Lifecycle integriert wurden. Die Lösung war einfach zu klobig für die Identifizierung von Bedrohungen. Sie war nicht automatisiert und erforderte einen erheblichen manuellen Aufwand, um Änderungen rechtzeitig umzusetzen. “ Darüber hinaus beschrieb er, wie „unsere vorherige Lösung als separates Werkzeug und nicht als integraler Bestandteil unseres Prozesses angesehen wurde“. Dies bedeutete, dass man viel zu abhängig von manuellen Eingriffen war, um Bedrohungen und Schwachstellen korrekt zu erkennen. Dies führte wiederum zu längeren Behebungszeiten für Probleme und zusätzlichem Aufwand beim Aussortieren von Falschmeldungen und Fehlalarmen. 

Prem bewertete die Entwicklung der Geschäftsanforderungen von Trilliant, um sicherzustellen, dass die Entwicklungsteams mit den Anforderungen an leistungsstarke Innovation und Sicherheit Schritt halten können. Ein großer Teil dieser Transformation basiert auf schlanken und agilen Verfahren. Für Prem ist DevOps mehr als eine Sammlung technischer Methoden. Vielmehr bietet es einen Rahmen, um jene kulturellen Veränderungen voranzutreiben, die erforderlich sind, um die Sicherheitsaspekte im Rahmen des SDLC von Beginn an mit einzubeziehen.

Ein wesentlicher Teil dieser Transformation war die Erstellung von Governance-Kontrollen, damit Trilliant automatisch regulieren konnte, welche Open-Source-Software-Komponenten in verschiedenen Phasen des SDLC verwendet wurden. „Wir haben erkannt, dass formale Screening-Mechanismen erforderlich sind, zusammen mit einer einheitlichen Reihe von Kontrollen in unseren Software Supply Chains", erklärte Prem. 

„Wir haben vom Wert profitiert, den Open-Source-Komponenten unseren Entwicklungsteams bieten, und es war wichtig, dass unsere Prozesse und Tools eng in die Entwicklungs-Pipeline eingebunden sind, um bei Bedarf einen Überblick über die potenziellen Risiken bei der Verwendung von Bibliotheken von Drittanbietern zu erhalten. Die Integration wiederholbarer und automatisierter Governance-Kontrollen stellte eine Weiterentwicklung unserer organisatorischen Fähigkeiten dar, die es Trilliant ermöglichte, sich von DevOps zu DevSecOps weiterzuentwickeln“, so Prem.

„Nexus Lifecycle ist zu einem absolut unentbehrlichen Bestandteil unserer Arbeit geworden.“
– Prem Ranganath, VP Quality and Risk Management, Trilliant
Die Lösung: Nahtlose Integration der OSS-Komponenteninformationen in die Entwickler-IDE

Prem musste einen neuen Weg finden, um die Governance von Open-Source-Komponenten, die für die Software Supply Chain von Trilliant von entscheidender Bedeutung sind, einfach zu verwalten. Um die DevOps-Transformation zu unterstützen, sah er, dass die neue Lösung frühzeitig und über die gesamte Entwicklungspipeline hinweg integriert werden musste. Er erkannte auch, dass angesichts des Volumens der regelmäßig verwendeten Komponenten eine automatisierte Lösung mit präzisen Komponenteninformationen erforderlich wäre, um die Anforderungen von Trilliant im Hinblick auf den entsprechenden Maßstab zu erfüllen. Er wollte sicherstellen, dass es einen Mechanismus gibt, der es Entwicklern ermöglicht, sich über Qualitäts- und Sicherheitsprobleme von OSS zu informieren, sobald diese auftreten. Letztendlich wollte er gewährleisten, dass Entwicklern ein Leitfaden zur Schwachstellenbehebung zur Verfügung steht, um zukünftige Nacharbeiten oder Verzögerungen beim Programmieren effektiv zu eliminieren.

Prem suchte Rat bei seinen technischen Kollegen. Das Engineering-Team hatte eine langjährige Beziehung zu Opticca Security, und das Unternehmen verstand die Frustrationen des Teams bei der Einbindung externer Daten in die IDE. Opticca empfahl einige Lösungen auf dem Markt, einschließlich Sonatype Nexus Lifecycle, für die automatisierte Open-Source-Governance. Nexus Lifecycle hob sich aus mehreren Gründen hervor. Prem und seine Kollegen im Bereich Engineering wussten es sehr zu schätzen, wie nahtlos sich Nexus Lifecycle OSS Component Intelligence in die IDE des Entwicklers sowie in andere Integrationspunkte in der Entwicklungspipeline von Trilliant integriert hat. 

Ein weiteres Plus war, dass das Team mit Interessenvertretern aus den Bereichen Sicherheit, Recht und Governance zusammenarbeiten konnte, um Richtlinien festzulegen, die den internen und externen Anforderungen entsprechen. Durch die unternehmensweite Arbeit konnte Trilliant benutzerdefinierte OSS-Richtlinien definieren, die Komponenten von höchster Qualität berücksichtigen. Bei der Implementierung können diese Richtlinien schnell dazu beitragen, alternative Bibliotheken zu identifizieren, wenn Probleme bei der ursprünglichen Auswahl eines Entwicklers festgestellt werden.

Opticca Security demonstrierte auch, wie Nexus Lifecycle in eine DevOps-Umgebung passt, und half Trilliants Teams dabei, sicheren Code mit einer höheren Entwicklungsgeschwindigkeit bereitzustellen. Mit genaueren Informationen zu jeder Komponente war sofort erkennbar, wie Nexus Lifecycle präzise, umsetzbare Informationen lieferte, die von den Teams berücksichtigt wurden, wobei unnötiger Aufwand eliminiert werden konnte. Nach einem umfassenden Vergleich zwischen Sonatype, Veracode und Synopsys war klar, dass Nexus Lifecycle von Sonatype am besten für die DevOps-Transformation von Trilliant geeignet war.

„Was mir an Sonatype und Nexus Lifecycle gefallen hat, war die Integration in andere Tools. Zum Beispiel SonarQube. Wir hatten SonarQube bereits viele Jahre lang verwendet. Die Integration der statischen Code-Analyse in unsere bisherige Lösung zur proaktiven Erkennung von Bedrohungen war jedoch keine leichte Aufgabe. Sonatypes Nexus Lifecycle funktioniert mit allen Tools, die wir bereits verwenden, um eine erstklassige Pipeline zu erstellen. “

Das Ergebnis: Schnelle Erkennung und Behebung von Anwendungssicherheitsrisiken

„Ich denke, der einfachste Maßstab für den Erfolg ist, dass wir Anwendungssicherheitsrisiken schnell identifizieren und beheben können, um unseren Kunden und auch den Aufsichtsbehörden objektive Sicherheit zu bieten“, sagt Prem über Nexus Lifecycle.

„Mit Nexus Lifecycle können wir Risiken früher im Entwicklungsprozess als je zuvor identifizieren. Das System funktioniert sehr gut in einer DevOps-Umgebung, da Probleme bereits früh im Entwicklungsprozess entschärft werden. Mit Nexus Lifecycle senken wir unsere Entwicklungskosten und erhöhen unsere Software-Qualität “, so Prem. „Ich denke, Nexus Lifecycle spielt eine äußerst wichtige Rolle in unserer Arbeit. Beim Thema Qualität geht es nämlich nicht mehr nur darum, dass die Funktionen einer Anwendung wie beabsichtigt funktionieren. Sicherheit und Leistung sind wesentliche Elemente, die das Gesamterlebnis definieren, das wir unseren Kunden bieten.“

Die besten DevOps-Verfahren basieren auf mehreren Lösungen, die nebeneinander arbeiten und in die Lieferkette integriert sind. „Durch die Integration von SonarQube und Nexus Lifecycle in unseren Delivery Lifecycle stellen wir sicher, dass es Leitlinien gibt, die unsere Teams schnell bei der Qualitäts- und Sicherheitsprüfung ihrer Codes unterstützen. Die Leitlinien in Verbindung mit erstklassigen Informationen ermöglichen es ihnen, rechtzeitig Maßnahmen zu ergreifen“, erklärt Prem. „Wenn Entwicklungsteams innerhalb der Leitlinien arbeiten, arbeitet die Pipeline mit hoher Geschwindigkeit. Wenn Richtlinienverstöße festgestellt werden, werden die Teams zu Änderungen angeleitet, die sicherstellen, dass die Leitlinien besser eingehalten werden, und die Arbeit kann dann fortgesetzt werden. Ich denke, das ist der größte Vorteil für unsere Kunden – Zuverlässigkeit und Sicherheit unseres Codes sind von Anfang an integriert.“

„Die Risikominimierung war der wichtigste Aspekt in meinem Business Case, gefolgt von den Kosteneinsparungen, die Nexus Lifecycle langfristig durch die Reduzierung von Nacharbeiten und technischen Mängeln bringen würde. Ich wollte keine rein kostenbasierte Entscheidung treffen. Ich wollte wirklich, dass sowohl das Führungspersonal als auch die Engineering-Teams verstehen, dass wir das Risiko erheblich reduzieren und das Kundenvertrauen verbessern würden. Durch eine umfassende Open Source-Governance hilft Nexus Lifecycle Trilliant dabei, unsere Software Supply Chain effizienter zu verwalten. Die Verbesserung unserer organisatorischen Fähigkeiten in Bezug auf sichere Entwicklung und DevSecOps fand bei unseren Interessenvertretern auf allen Ebenen großen Anklang.“

„Nexus Lifecycle hat unserer Organisation gezeigt, dass alle nicht funktionalen Anforderungen, mit denen wir uns befassen, einschließlich von Sicherheitsaspekten, integriert werden müssen. Bei der Sicherheit darf nicht gespart werden. Um erfolgreich zu arbeiten, müssen Sicherheitsaspekte von der Architektur über das Design bis hin zum Programmieren und Testen eingebaut werden. Alles, was in die Entwicklungspipeline von Trilliant eingebaut wurde, muss berücksichtigt werden, damit niemand einen Umweg machen und zwei Schritte zurückgehen muss, um das Risiko anzugehen.“

Abschließend erklärt Prem: „Der Vorteil integrierter Sicherheit wird erst dann sichtbar, wenn Tools und SDLC integriert sind und wenn die Tools darüber hinaus die Möglichkeit bieten, Daten einzusehen, Erkenntnisse zu gewinnen und rechtzeitig Maßnahmen zu ergreifen.“

Heute funktioniert Nexus Lifecycle nahtlos im gesamten SDLC von Trilliant. Der proaktive Ansatz des Risikomanagements zahlt sich aus. Trilliant ist heute eher in der Lage, Entwicklungskosten zu optimieren, die Ausfallsicherheit zu verbessern und die OSS-Governance zu vereinfachen, ohne die Innovation und Agilität zu beeinträchtigen. Nexus Lifecycle lässt sich nahtlos in den SDLC integrieren und bietet objektive Sicherheit durch disziplinierte Governance. Dies stellt sicher, dass die Software-Plattform von Trilliant immer nur mit den besten Open-Source-Bibliotheken betrieben wird.

VERTRIEB KONTAKTIEREN

Möchten Sie sich selbst von Nexus-Produkten überzeugen?

Sonatype, die Entwicklungslösung der Superlative