<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=1127487224079104&amp;ev=PageView&amp;noscript=1 https://www.facebook.com/tr?id=1127487224079104&amp;ev=PageView&amp;noscript=1 ">

Erkenntnisse aus der Untersuchung von 36.000 OSS-Projekten | Pressemitteilung

Discovery Health mit Nexus Lifecycle 

Verwaltung und Monitoring der Nutzung von Open-Source-Komponenten 
Discovery Health - Logo Round-1.png

Discovery Health

Discovery Health wurde 1992 gegründet und ist Südafrikas führende Krankenversicherung mit verschiedenen Gesundheitsprogrammen. Das Unternehmen stellt heute Pflege- und Gesundheitsleistungen für mehr als 3,2 Millionen Leistungsempfänger bereit und sein Marktanteil am südafrikanischen Gesundheitssektor beläuft sich auf 38 %. Discovery, dessen Hauptsitz sich im südafrikanischen Johannes befindet, hat seine Aktivitäten global ausgedehnt und ist derzeit für 6,9 Millionen Menschen in 16 Ländern in irgendeiner Form relevant. Weltweit beschäftigt das Unternehmen fast 12.000 Mitarbeiter. Auf seinen Hauptabsatzmärkten in Südafrika und im Vereinigten Königreich agiert das Unternehmen als Eigentümer und Betreiber von Finanzdienstleistungen oder Versicherungen.

Discovery Health hat ein großes eigenes Entwicklungsteam. Fast jedes entwickelte Projekt wird durch Open-Source-Technologien unterstützt. Heute bietet Nexus Lifecycle frühzeitig und überall im globalen Anwendungs-Stack des Unternehmens Einblick in Open-Source-Komponenten mit bekannten Schwachstellen und Lizenzrisiken. Die Nexus-Lösungen von Sonatype tracken und regeln zudem die Nutzung der Open-Source-Komponenten während ihres gesamten Development Lifecycle. Die automatisierten Berichte von Sonatypes IQ Server liefern dem Operations-Team Informationen über den aktuellen Status der Governance von Komponenten im gesamten Anwendungsportfolio.

Discovery Health
„Wir brauchten eine Lösung für permanentes Monitoring und eine Möglichkeit, um über Open-Source-Schwachstellen in unseren Anwendungen informiert zu werden. Und genau das konnten Nexus Repository und Nexus Lifecycle uns bieten.“

Nick Alexander, Systems Architect, Discovery Health

Die Herausforderung

Nick Alexander, Systems Architect bei Discovery Health, erklärt, mit welchen Herausforderungen sein Team vor der Entdeckung von Nexus Lifecycle zu kämpfen hatte. „Vor der Implementierung von Nexus Lifecycle versuchten wir es damit, manuell zu beschränken, welche Software-Komponenten den Entwicklern innerhalb unserer Nexus Repository Manager zur Verfügung stehen. Wir hatten einen manuellen Genehmigungsprozess, um zu bestimmen, welche Artefakte verwendet werden dürfen. Das war ein zeitaufwendiger Prozess, der schließlich irgendwann darin mündete, dass sämtliche Anfragen zur Nutzung einer neuen Komponente abgelehnt wurden. Uns fehlte schlichtweg die Zeit, spezifische Komponenten auf Sicherheits- oder Lizenzrisiken hin zu untersuchen oder zu analysieren.“

„Und da wir so sehr von manuellen Prozessen abhängig waren, passierte es oft, dass niemand die vorhandenen Artefakte im Repository Manager durchkämmte, um zu bestimmen, welche der zuvor genehmigten Komponenten Schwachstellen hatten“, sagt Alexander.  „Außerdem gab es so gut wie keinen Einblick in den gesamten Entwicklungszyklus, weshalb wir Komponentenschwachstellen gar nicht überwachen konnten. Ohne Automatisierung war es eine monumentale Aufgabe, damit Schritt zu halten.“ 

Discovery Health – Monitoring von Open-Source-Schwachstellen mit Nexus Lifecycle.

Die Lösung

Discovery Health betreibt eine beachtliche Applikationsserverfarm, was Tausende Anwendungsserverinstanzen bedeutet. Die manuelle Governance von Komponenten in diesem Ausmaß ist unpraktisch und besonders fehleranfällig. Ein wichtiger Aspekt bei der Nutzung von Nexus Lifecycle ist es, dass alle Teams Zugriff auf Daten erhalten, die kontinuierlich und automatisch aktualisiert werden. Es spielt keine Rolle, wo die Komponenten in der Entwicklungs-Pipeline oder in der Produktion eingesetzt werden, alle Teams haben Zugriff auf die neuesten Komponentendaten und Informationen darüber, inwiefern sie den Governance-Richtlinien entsprechen.

Das Team von Discovery Health untersuchte zunächst, wie Nexus Lifecycle dabei helfen könnte, die Risiken und Angriffsflächen bezüglich der von ihren Open-Source-Frameworks und -Bibliotheken verwendeten Abhängigkeiten zu minimieren. „Da möglicherweise transitive Abhängigkeiten in unsere Projekte integriert wurden, hatten wir kaum Einblick, wie hoch das Sicherheitsrisiko wirklich war“, so Alexander.

„Eine der wichtigsten Funktionen in Nexus Lifecycle, die für uns ursprünglich von Interesse war, war die Benachrichtigung darüber, dass eine vorhandene Komponente eine neue Schwachstelle hat“, erklärt Alexander. „Wir nutzen die Nexus Lifecycle-Benachrichtigungen heute in der Bereitstellungsphase und in der Produktion.  Wenn wir nur die Komponenten in der Bereitstellungsphase analysieren würden, würden neue Schwachstellen bei Komponenten in der Produktion eine Weile unentdeckt bleiben.  Ohne Nexus Lifecycle hätten wir nur sehr wenig Einblick in solche Schwachstellen.“

Immer mehr Teams aus den unterschiedlichsten Abteilungen begannen, Nexus Lifecycle zu nutzen. So fand im Grunde ein organisches Wachstum statt. Discovery Health wandte sich anschließend aktiv und persönlich an die Entwickler, um ihnen bewusst zu machen, wie Schwachstellen entdeckt werden und wie Discovery Health – Monitoring von Open-Source-Schwachstellen mit Nexus Lifecycledas Unternehmen den neuen automatisierten Ansatz nutzt, um Sicherheitsrisiken frühzeitig und überall zu minimieren. Es gab keinen „Big Stick“-Ansatz.

Alexander erläutert auch, welche Philosophie das Führungsteam verfolgte: „Wir wollten die Akzeptanzrate organisch nach oben treiben. Unsere Strategie war es, die Leute zur Nutzung der Lösung zu ermutigen und ausdrücklich zu betonen, wie unser neuer Ansatz die Qualität ihrer Arbeit optimieren und gleichzeitig das Risiko für das Unternehmen senken würde. Wir haben die Entwickler nachdrücklich dazu aufgefordert, das Nexus Lifecycle-Plug-in in ihren IDEs zu verwenden, um Sicherheitsschwachstellen und -lücken sowie Lizenzrisiken frühzeitig aufzudecken und so die Mehrarbeit zu reduzieren, die auf das Team zukommen würde, sollte man Probleme erst später im Entwicklungszyklus entdecken. Diese Herangehensweise war ziemlich erfolgreich.“

“In Java development, the sheer number of frameworks and open source projects available to you is daunting. It’s impossible to maintain manual reviews of components across our entire environment. However, today we don’t impose any constraints on what is downloaded to the Nexus Repository from the Central Repository. Through the use of Nexus Lifecycle, we have automated governance capabilities that allow us to scale our compliance checks to any volume of component downloads. Without automation, keeping pace with our consumption practices would be  completely impractical.”

Das Ergebnis

Discovery Health hat bereits das primäre Ziel für sein Nexus-Projekt erreicht. Nick Alexander bestätigt zufrieden, dass mittlerweile alle Teams an Bord sind. „Sie haben verstanden, wie wichtig es ist, die Nexus-Plattform zu verwenden. Die Tatsache, dass jedes Team Einblick in Berichte für das eigene Produkt hat, ist an dieser Stelle entscheidend. Wir haben jetzt genaue Informationen darüber, welche Lizenzen eine Gefährdung darstellen, und wissen, wann wir uns um bestimmte Risiken kümmern müssen.   Nexus Lifecycle hält das, was es verspricht.“

„Wir beginnen jetzt damit, strengere Richtlinien zu implementieren, da unsere Teams mittlerweile mehr Erfahrung mit Nexus Lifecycle haben. Als nächsten Implementierungsschritt planen wir, die Anzahl an Gefahren für einen festgelegten Zyklus zu tracken. Wir sind auch sehr daran interessiert, einen genaueren Blick auf das Scanning von JavaScript (npm-Pakete) und die Features rund um die Analyse von Anwendungen innerhalb von Docker-Containern zu werfen.“

„Wir brauchten eine Lösung für permanentes Monitoring und eine Möglichkeit, um über Open-Source-Schwachstellen in unseren Anwendungen informiert zu werden. Und genau das konnten Nexus Repository und Nexus Lifecycle uns bieten.“

Discovery Health
South Africa

Discovery Health - Footer.png

  
Erfolgsstorys unserer Kunden