Snyk Customer Value Study 2023

Von minimierten Risiken bis zu gesteigerter Produktivität – erfahren Sie aus erster Hand, welche Potenziale unsere Kunden durch Developer-First Security mit Snyk erschließen.

Teil 1

Auf den Punkt gebracht

Durch Risikovermeidung und Zeiteinsparungen konnten unsere Kunden im vergangenen Jahr einen beachtlichen ROI realisieren  – gegenüber 2022 fällt er doppelt so hoch aus. Ausgedrückt in Arbeitszeit belief sich die Zeitersparnis bei den mehr als 500 Befragten dabei auf durchschnittlich 30 FTE im Dev-Bereich.

5,08 Mio. $

Durch Risikovermeidung und Zugewinne bei der Developer-Produktivität realisierten unsere Kunden im vergangenen Jahr einen ROI von durchschnittlich 5,08 Millionen US-Dollar.

70% mehr

Im Schnitt konnten unsere Kunden mit Snyk 70 % mehr Code-Fixes als zuvor automatisieren.

13 gängige Standards

Snyk deckt neben Lizenz-Compliance auch ein breites Spektrum an Standards wie ISO, PCI oder SOC 2 ab.

2,4x schneller

Im Durchschnitt konnten unsere Kunden mit Snyk ihre Code-Scans gegenüber Konkurrenzlösungen um das 2,4-Fache schneller durchführen.

Snyk als passende Antwort auf Leadership-Fragen zum AppSec-Tooling

Neue Prozessmethodiken und technologische Innovationen finden heute ebenso schnell Einzug im SDLC wie eine zunehmende Zahl an Programmiersprachen und Dev-Ökosystemen. Um damit Schritt halten zu können, ist passendes AppSec-Tooling daher wichtiger als je zuvor. Vor diesem Hintergrund messen die von uns befragten Security-Entscheidungsträger den Faktoren Risikoreduzierung, Compliance und Automatisierung den größten Wert bei der Evaluierung ihrer Tools bei.

Top-Prioritäten für CISOs

50%

40%

30%

20%

10%

0%

0%

10%

20%

30%

40%

50%

Risikoreduzierung

Compliance

Automatisierung

Scan-Genauigkeit

Security-Detailtiefe

Reporting

Risikoreduzierung

Compliance

Automatisierung

Scan-Genauigkeit

Security-Detailtiefe

Reporting

Top-Prioritäten für CTOs

40%

30%

20%

10%

0%

0%

10%

20%

30%

40%

Risikoreduzierung

Automatisierung

Produktivität der Entwickler

Verlässlichkeit

Compliance

Scan-Genauigkeit

Benutzerfreundlichkeit

Risikoreduzierung

Automatisierung

Produktivität der Entwickler

Verlässlichkeit

Compliance

Scan-Genauigkeit

Benutzerfreundlichkeit

Daten im Detail

Mit Snyk gewährleisten Sie Compliance für Open-Source-Lizenzen ebenso wie für 13 gängige internationale Standards wie PCI-DSS, SOC 2 und ISO 27001.

Intuit

„Sicherheitsproblemen vorzubeugen ist natürlich schon allein wegen den damit verbundenen Kosten enorm wichtig für uns. Treten sie auf, werfen sie zudem auch ein ungünstiges Licht auf unsere Entwickler. Inwieweit die Prävention gelingt und zur Bereicherung für die Entwickler wird, hängt zu einem großen Teil auch vom Tooling ab.  Der Anstoß dafür, dass wir nun mit Snyk arbeiten, kam so tatsächlich von ihnen.“

Vlad Nikolov

Principal Security Engineer, Intuit

Teil 2

Software-Lieferkette: Snyk Kunden reduzieren Risiken signifikant

Unsere Kunden realisieren durch Risikovermeidung mit Snyk einen ROI von durchschnittlich 3,49 Millionen US-Dollar

Immer häufigere und größer angelegte Angriffe auf die Lieferkette haben in den vergangenen Jahren deutlich gemacht, wie ungemein wichtig ein umfassendes Framework für ihre Absicherung ist. Unsere Security Intelligence führt die Insights mehrerer strategischer Elemente zusammen. Hierzu gehören öffentliche Quellen, Daten aus der Dev-Community, Analysen unserer Experten, maschinelles Lernen und humangesteuerte künstliche Intelligenz. So unterstützen wir unsere Kunden maßgeblich bei der frühzeitigen Erkennung und Behebung von Einfallstoren und somit bei der Prävention kostspieliger Incidents.

ROI durch Risikoreduzierung

$5.000.000

$4.000.000

$3.000.000

$2.000.000

$1.000.000

$0

$0

$1.000.000

$2.000.000

$3.000.000

$4.000.000

$5.000.000

<750 Mitarbeiter

750–5.000 Mitarbeiter

>5.000+ Mitarbeiter

Fortune 500

<750 Mitarbeiter

750–5.000 Mitarbeiter

>5.000+ Mitarbeiter

Fortune 500

Enterprise-Kunden beheben mit Snyk 162 % mehr Schwachstellen mit hohem und kritischem Schweregrad

Die Snyk Plattform steht für agiles wie präzises Fixing mit Auto-Priorisierung und geführter Behebung von Problemen im Verbund mit Application Intelligence vom Code bis in die Cloud. Dadurch reduzieren unsere Kunden Alert-Rauschen in ihren Backlogs und agieren mit klarem Fokus auf die wichtigsten Risikoherde.

Im vergangenen Jahr konnten sie mit der Snyk Plattform so insgesamt über 50 Millionen Schwachstellen beheben. Wichtige Faktoren dabei: ihre breite Abdeckung von 19 Programmiersprachen, mehr als 25 Package-Managern und -Frameworks, Terraform und diversen weiteren Dev-Ökosystemen. Ebenso wie die Scan-Zeit: Gegenüber alternativen Lösungen führen unsere Kunden Code-Scans mit Snyk 2,4x schneller und somit auch für eine größere Zahl ihrer Projekte durch.

Mehr behobene Schwachstellen im Jahresvergleich

<750 Mitarbeiter

750–5.000 Mitarbeiter

>5.000+ Mitarbeiter

Fortune 500

0%

50%

100%

150%

200%

250%

Daten im Detail

Gartner prognostiziert zwischen 2021 und 2025 eine 3-fache Zunahme der Angriffe auf Software-Lieferketten: Nicht weniger als 45 % der Unternehmen werden laut den Analysten davon betroffen sein.

Natera

„Mir ist wichtig, dass wir Sicherheitsthemen als Partner in die Entwicklung tragen.  Und je früher wir das können, desto besser: Erster Ansatzpunkt ist dabei die Einbindung von Snyk in IDE und Repositories, durch die wir klaren Kontext zu Schwachstellen in unseren Abhängigkeiten erhalten. Vom Dev- bis zum Security-Team treffen wir so stets fundierte Entscheidungen.“

Charlotte Townsley

Director, Security Engineering, Natera

Snyk Kunden reagieren schneller auf Zero-Day-Schwachstellen

Kommen Zero-Day-Schwachstellen auf, ist eine rasche Reaktion gefragt, damit die Auswirkungen auf Unternehmen und Kunden so gering wie möglich bleiben. Unabdingbar für CISOs wie auch AppSec-Teams ist daher eine schnelle Erkennung und Mitigierung von Zero-Day-Schwachstellen. Snyk macht dies dank durchgängigem Monitoring, automatischen Fixing-Empfehlungen und branchenführender Security Intelligence möglich. Gegenüber alternativen Lösungen können Entwickler Schwachstellen dadurch bis zu 2,4x schneller adressieren.

Deutlich wird dies etwa am Beispiel von zwei gravierenden Anfälligkeiten in der libwebp Bibliothek, die im September 2023 bekannt wurden: Lokale Projekte lassen sich mit der Snyk CLI darauf scannen, beim Import in die Snyk Plattform genügt bereits ein einfacher Suchlauf nach libwebp, um die Schwachstellen auszumachen und sofort darauf zu reagieren zu können. So war es etwa auch 90 % der Snyk Kunden möglich, die cURL-Schwachstelle innerhalb von zwei Tagen nach ihrer Erkennung zu beheben.

Durchschnittliche Behebungsdauer der cURL-Schwachstelle bei betroffenen Snyk Kunden

Dauer in Tagen

CVE-2023-5129

CVE-2023-4863

0

5

10

15

ShopBack

„Snyk ließ sich mühelos mit der GitLab CI integrieren und lieferte deutlich schneller Ergebnisse.  So erhalten wir mit Snyk etwa direkt in der CLI Filter, anhand derer sich Schwachstellen gezielt nach Schweregrad, Typ oder dem Punkt isolieren lassen, an dem sie sich im Code befinden. Den meisten anderen Tools fehlt es an solchen Features, was das Ganze deutlich komplizierter macht.

Ideal ist auch, dass unsere Entwickler sämtliche externen Software-Komponenten in ihrem Code verlässlich identifizieren und kritische Schwachstellen so direkt ausmachen können.

Und auch langwierige Such-Arien nach Korrekturen sind dabei passé. Mit dem Auto-Fixing-Feature spielen sie die passenden Patches oder Upgrades einfach mit einem Klick ein.“

Dipin Thomas

Engineering Manager, ShopBack

Teil 3

Shift Left: Mit Snyk auf Kurs zu mehr Produktivität für Entwickler

Snyk Kunden realisieren durch Zugewinne bei der Developer-Produktivität jährliche Einsparungen von durchschnittlich 1,59 Millionen US-Dollar

Mit Blick auf die wichtigsten Entscheidungsfaktoren bei der Evaluierung von Security-Tooling für CTOs rangiert die Produktivität bei Entwicklern auch in diesem Jahr wieder ganz oben auf ihrer Liste. Steigende Gehälter und ein enorm kompetitiver Talentmarkt machen personelle Aufstockungen im Security-Team mitunter schwierig. Umso wichtiger sind daher Tools, die Sicherheit auf Entwicklerseite umsetzbar machen und zugleich eine schnelle Umsetzung von Feature-Releases unterstützen.

Überzeugende Zahlen kann Snyk auch hier liefern: Im vergangenen Jahr realisierten unsere Kunden durch Produktivitäts-Zugewinne ihrer Entwicklerteams mit Snyk einen ROI von durchschnittlich 1,59 Millionen US-Dollar – Fortune-500-Unternehmen sogar von mehr als 8 Millionen US-Dollar. So schnell, wie unsere Kunden Schwachstellen mit Snyk erkennen und beheben, so umfassend macht sich ihre Implementierung also auch in ihren Dev-Prozessen bezahlt.

ROI durch Produktivitätszugewinne bei Entwicklern

$10.000.000

$7.500.000

$5.000.000

$2.500.000

$0

$0

$2.500.000

$5.000.000

$7.500.000

$10.000.000

<750 Mitarbeiter

750–5.000 Mitarbeiter

>5.000+ Mitarbeiter

Fortune 500

<750 Mitarbeiter

750–5.000 Mitarbeiter

>5.000+ Mitarbeiter

Fortune 500

Daten im Detail

In seiner diesjährigen Developer Survey hat Stack Overflow für Entwickler in den USA einen durchschnittlichen Stundensatz von 85 US-Dollar ermittelt.

Applied Systems

„Dank Snyk bringen wir unsere Security- und Dev-Ziele in Einklang. Davon profitieren unsere Kunden,  außerdem sind wir deutlich agiler in der Entwicklung geworden: Unsere Entwickler haben hochpräzise Security-Insights nun direkt zur Hand und wissen so auf Anhieb, wie sie unser Produktportfolio sicherer machen können.“

Tanner Randolph

CISO, Applied Systems

Fortune-500-Kunden vermelden Einsparungen von mehr als 100.000 Entwicklerstunden mit Snyk

Kernprämisse unserer Vision bildet seit jeher die Umsetzung hocheffizienter Anwendungssicherheit nach Developer-First Methodik. Code-Scans mit Speed und risikobasierter Problem-Priorisierung, Reporting mit klarem Kontext und konsequente Automatisierung machen es dabei für unsere Kunden möglich, Schwachstellen schneller zu erkennen und zu beheben als mit alternativen Lösungen.

Mit im Schnitt 20.729 Entwicklerstunden konnten unsere Kunden so erhebliche Einsparungen mit Snyk realisieren. Dabei verzeichnen sie auch deutliche Zunahmen bei der Userbase der Plattform. Bei Fortune-500-Unternehmen etwa nahm die Nutzung durch Entwickler um nicht weniger als das 3-Fache zu. Weitere Details zur Nutzung der Plattform in spezifischen Bereichen finden Sie in der unten stehenden Grafik.

Produktivitätszugewinne bei Entwicklern

Eingesparte Entwicklerstunden

<750 Mitarbeiter

750–5.000 Mitarbeiter

>5.000+ Mitarbeiter

Fortune 500

0

25.000

50.000

75.000

100.000

125.000

Snyk Kunden gestalten ihren Shift Left nahtlos dank entwicklerfreundlichem Tooling mit klarer Prozessmethodik

Developer Adoption bei Fortune-500-Kunden im Jahresvergleich

250%

200%

150%

100%

50%

0%

0%

50%

100%

150%

200%

250%

Private Repositories

CLI/CI-Scans

API-Nutzung

IDE-Nutzung

Private Repositories

CLI/CI-Scans

API-Nutzung

IDE-Nutzung

Schneller mehr Business Value als mit Branchenalternativen dank Skalierbarkeit und API-Readiness

Wie bereits die vorangehenden Ergebnisse zeigen, gestaltet es sich es für Entwickler enorm einfach, die Snyk Plattform in ihre Workflows zu integrieren. Unterstrichen wird dies zudem dadurch, dass sie bereits 12 Tage nach Erwerb unserer Plattform den ersten Scan damit ausführen – gegenüber dem Vorjahr noch einmal 6 Tage früher. Als wichtigen Erfolgsfaktor hierfür nennen weite Teile der befragten Security- und Dev-Teams die interaktiven Security- und Produktschulungen, die ihnen im Rahmen von Snyk Learn zur Verfügung stehen.

⌀ Zeitraum bis zur Erstnutzung von Snyk nach Unternehmensgröße in Tagen

Erstmaliger Scan

Vollständige Implementierung

<750 Mitarbeiter

750–5.000 Mitarbeiter

>5.000+ Mitarbeiter

Fortune 500

0

20

40

60

Daten im Detail

Snyk Learn ist auch auf dem Weg zum Shift Left enorm wertvoll: Kunden, die die interaktiven Schulungen nutzen, gestalten 63,1% wahrscheinlicher ausgereifte Methodiken in diesem Kontext.

Reddit

„Erst mit der Snyk API konnten wir eine Vielzahl von Security-Aufgaben in großem Maßstab automatisieren, Abläufe im Dev-Prozess reibungslos gestalten und die Snyk Plattform nun zudem mit geringem Kostenaufwand in diese implementieren.“

Spencer Koch

Security Wizard, Reddit

Ziel dieser Studie

Wie schon bei der ersten Customer Value Study aus dem Vorjahr haben wir auch 2023 gemeinsam mit unseren Kunden analysiert und dokumentiert, welchen Business Value sie sich mit unserer Plattform sichern konnten. Unser besonderer Dank gilt den über 500 Snyk Kunden für ihre Teilnahme an der zugehörigen Umfrage und ihren wertvollen Input, der diese Studie möglich gemacht hat.

Patch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo Segment

Snyk ist eine Developer Security Plattform. Integrieren Sie Snyk in Ihre Tools, Workflows und Pipelines im Dev-Prozess – und Ihre Teams identifizieren, priorisieren und beheben Schwachstellen in Code, Abhängigkeiten, Containern, Cloud-Ressourcen und IaC nahtlos. Snyk bringt branchenführende Application & Security Intelligence in jede IDE.

Kostenlos startenLive-Demo buchen