Visma setzt mit Snyk auf Security-Testing der nächsten Generation

Branche: Technologie
Location: Norway

Products Featured

Snyk Open Source

Highlights:

Implementierung moderner Schwachstellen-Scans mit SCA-Analysen gestützt auf Snyk Open Source

Einbindung der Snyk Plattform in diverse Tech-Stacks und mehr als 20.000 Projekte

Komplett nahtloses Snyk Onboarding für über 140 Developer-Teams

Erfassung von Daten zum Security-Reifegrad für interne Governance-Prozesse via Snyk API

Reduzierung von Schwachstellen mit hohem und kritischem Schweregrad um 65 bzw. 39 %

Herausforderung: Modernisierung von Security-Testings

Angesichts mehrerer Tech-Stacks, die Visma unterhält, steht immer auch die Frage danach im Raum, wie sich diese adäquat absichern lassen.

„Visma agiert als organisches Gesamtunternehmen, verteilt sich jedoch auf rund 200 kleinere Gesellschaften, die von verschiedensten Ländern aus operieren“, kommentiert Per Olsson, Application Security Advisor bei Visma. „Entsprechend kompliziert gestaltet es sich, ein zentrales Security-Programm unternehmensweit zu skalieren.“

Deshalb sondiert das Unternehmen den Security-Markt regelmäßig, um die Sicherheit seiner Infrastruktur stets auf das modernste Tooling zu stützen.

„Wir loten periodisch aus, ob unsere Toolsets noch die aktuellsten technologischen Standards erfüllen. In punkto Security-Testings war das eher weniger Fall“, so Nicolai Brogaard, der bei Visma für Software Composition Analysis (SCA) und Static Application Security Testing (SAST) verantwortlich zeichnet. „Hier war es also an der Zeit, uns die nächste Generation näher anzusehen.“

Lösung: Security mit Developer-First-Methodik

In Frage kommende Security-Tools evaluierte Visma dabei mit zwei zentralen Entscheidungskriterien: automatisiertes Onboarding sowie intuitive UX für Entwickler. Genau das also, was Snyk Open Source auszeichnet. Denn für die mehr als 140 Developer-Teams des Unternehmens ließ sich die Lösung komplett nahtlos ausrollen. Zugleich machte sie ihnen die Erkennung und Behebung von Schwachstellen in externen Abhängigkeiten enorm einfach. Entsprechend positiv war die Resonanz bei den Entwicklern, Snyk und mit der Technologie Security in ihre Dev-Prozesse zu integrieren.

„Die wichtigste Success Metric? Ganz klar die Gesamterfahrung für den Kunden beim Onboarding“, merkt Brogaard hierzu an. „Das ist bei neuen Tools ja schon per se nicht gerade einfach. Für Anbieter im Security-Bereich allerdings umso mehr, muss der Value doch absolut klar erkennbar sein. Snyk allerdings konnte hier vollumfänglich liefern – darin waren sich bei uns alle einig.“

Ein wichtiger Faktor war dabei auch die Erfüllung der Anforderungen des Visma Cloud Delivery Model (VCDM), in dessen Rahmen das Unternehmen Governance-Strukturen unter anderem auch für sein Security-Programm definiert. Ermittelt wird in diesem Kontext auch ein Reifegrad-Index, unter dem Visma diverse Metrics zu seinen verschiedenen Gesellschaften zusammenfasst. So auch den Onboarding-Fortschritt bei Security-Tools und den Backlog bestehender Schwachstellen. Die hierzu nötigen Daten ruft Visma so einfach wie übergreifend für sämtliche Code-Projekte über die Snyk API ab.

Integration in Plug-and-Play-Manier

Gerade auch angesichts der starken Diversifizierung seines Tech-Stacks war es für Visma entscheidend, dass sich die Lösung flexibel integrieren ließ. Denn bei der Wahl ihrer bevorzugten Tools haben die Entwicklerteams zwar grundsätzlich freie Wahl. In punkto Security-Testings sind allerdings die Vorgaben des Security-Teams obligatorisch. Dank seinem umfangreichen Ökosystem an Plug-ins und Integrationen ließ sich Snyk hier mühelos einpassen – und Entwicklern damit auch weiterhin die Flexibilität einräumen, ihr Dev-Tooling selbst zu bestimmen.

Bei vielen Security-Testing-Tools ist gleich so viel Background erforderlich, dass man vom Idealzustand à la Plug & Play wirklich weit entfernt ist. Ganz anders mit Snyk, das für Entwickler den Einstieg ganz direkt und alle Features leicht einsetzbar gestaltet.“

Ergebnis: Schwachstellen-Radar für 20.000 Projekte

Zum Zeitpunkt der Veröffentlichung dieses Artikels hatte Visma mit Snyk mehr als 600.000 Testings über rund 20.000 Code-Projekte hinweg ausgeführt – den größten Teil davon automatisch und direkt im Dev-Prozess. Nicht weniger beeindruckend: Schwachstellen mit hohem Schweregrad konnte das Unternehmen so um 65 % reduzieren, solche kritischer Art um 39 %.

Noch mehr spannende Insights zu seiner Story bot Visma im Rahmen einer Präsentation bei der SnykCon 2021 . Zentrales Thema darin: wichtige Erkenntnisse und Stationen auf dem Weg zu einem AppSec-Programm mit Developer-Fokus.

Über Snyk Visma

Visma gehört in Skandinavien und anderen Regionen Europas zu den führenden Anbietern von Software und Services zur Optimierung von Geschäftsprozessen, die von Finanzen, HR und Payroll bis hin zu ERP und Business-Management reichen. Im Zuge zahlreicher Fusionen und Übernahmen ist das Unternehmen zu einem Zusammenschluss verschiedenster Gesellschaften mit mehr als 14.500 Mitarbeitern herangewachsen, darunter rund 6.500 in der Software-Entwicklung. Entsprechend breit ist das Portfolio von Visma gefächert, zugleich aber auch die Auswahl der diesem zugrunde liegenden Technologien.

Patch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo Segment

Snyk ist eine Developer Security Plattform. Integrieren Sie Snyk in Ihre Tools, Workflows und Pipelines im Dev-Prozess – und Ihre Teams identifizieren, priorisieren und beheben Schwachstellen in Code, Abhängigkeiten, Containern, Cloud-Ressourcen und IaC nahtlos. Snyk bringt branchenführende Application & Security Intelligence in jede IDE.

Kostenlos startenLive-Demo buchen