Herausforderung: Automatisierung von Schwachstellen-Scans für eine Codebase massiven Umfangs
Das Software-Portfolio von Citrix umfasst rund 20 Lösungen mit einer Userbase von mindestens 400 Millionen Nutzern. Nicht weniger enorm ist also die Zahl der Codezeilen, die hinter der Software des Tech-Riesen steht – und entsprechend unabdingbar ein AppSec-Konzept, das Sicherheitsrisiken hier so gering wie möglich hält. So wurde dem Security-Team nach einer Bestandsaufnahme potenzieller Schwachstellen in seinem umfassenden Produktportfolio umso klarer: Um den Code wirklich effektiv absichern zu können, war Automatisierung gefragt. Für die Umsetzung entschied man sich für Snyk, denn damit ließen sich Schwachstellen-Scans gleich für eine ganze Reihe unterschiedlicher Programmiersprachen automatisieren.
„Mit Ausnahme von COBOL arbeiten unsere Entwickler buchstäblich mit jeder Programmiersprache, dies auf Cloud-Infrastruktur und On-Prem-Systemen gleichermaßen“, kommentiert Rob Hather, Security Product Manager bei Citrix. Citrix Security Engineer Valentin Potier führt hierzu weiter aus: „Snyk war jeder unserer Umgebungen bestens gewachsen, löste tatsächlich um ein Vielfaches mehr Probleme, als es alle anderen von uns evaluierten Tools vermochten.“
Lösung: Rollout von Snyk für tausende Entwickler
Gegenüber anderen Lösungen, die das Team ebenfalls evaluierte, konnte Snyk nicht nur durch die Abdeckung sämtlicher von seinen rund 2.000 Software-Entwicklern genutzten Programmiersprachen punkten.
Auch das Toolset für Open Source der Lösung erwies sich als herausragend. Mit ihm waren die Dev-Teams in der Lage, die Sicherheit entsprechender Abhängigkeiten ganz ohne Beeinträchtigung ihrer Workflows zu gewährleisten. Nicht zuletzt verweist das Security-Team von Citrix dabei auch auf die hohe Benutzerfreundlichkeit für Entwickler, durch die Snyk gegenüber anderen Lösungen punkten konnte.
Neben Snyk Open Source, das Citrix für Schwachstellen-Scans von Abhängigkeiten nutzt, hat das Unternehmen auch Snyk Container auf breiter Front im Einsatz: Zum Zeitpunkt der Veröffentlichung dieses Artikels hatte man damit bereits hunderttausende Scans von Container-Images durchgeführt. Um darüber hinaus starke Sicherheit in seine Infrastruktur-Konfigurationen zu bringen, setzt das Team außerdem auf Snyk Infrastructure as Code.
„Einige Tools sind so komplex, dass allenfalls versierte Fachexperten wirklich mit ihnen umgehen können“, erklärt Potier fest. „Snyk bietet dagegen eine für Entwickler und Leader gleichermaßen intuitive UI mit Dashboards, die sämtliche Daten für alle klar nachvollziehbar aufbereiten.“
Auch dies war ausschlaggebend für die Entscheidung für Snyk: Mit der Lösung war das Security-Team erstmals in der Lage, den Bestand an Schwachstellen in seiner Codebase nicht nur klar zu quantifizieren, sondern dank der Reporting-Features von Snyk auch die Behebung effektiv nach Prioritäten zu koordinieren. Für das Risikoprofil der Software-Produkte von Citrix war dies ein erheblicher Gewinn.
„Bei mehreren Millionen an Code-Zeilen werden Schwachstellen immer schwerer identifizierbar“, gibt Hather zu bedenken. „Wir wussten um unser Risiko in dieser Hinsicht, konnten es aber schlichtweg nicht messbar machen. Mit Snyk war uns das erstmals möglich. Von da an war uns klar: So einen Augenöffner brauchen wir in unserem Stack.“
Schwachstellen-Scans und -Fixing noch in der Dev-Pipeline
Die Implementierung von Snyk löst Citrix in einem mehrstufigen Modell. Dabei setzt das Unternehmen zunächst Code-Scans in seinen SIEM-Integrationen an, auf die innerhalb der Dev-Pipeline sowie bei Pull-Requests Schwachstellen-Scans folgen. Im letzten Schritt erfolgt dann noch ein finaler Check sämtlicher Code-Elemente, bevor sie zur Überführung in die Produktion freigegeben werden. Eine der wichtigsten Kernsäulen im Workflow bilden dabei die Scans von Abhängigkeiten, die Snyk in die Pipeline bringt.
„Scans direkt in der CI/CD-Pipeline vornehmen zu können, das war für uns ein echter Game Changer“, betont Hather. „Denn für unsere cloudbasierten Produkte stehen Code-Releases in täglicher Taktung an. Je früher wir diese also durchchecken können, desto geringer sind die Risiken, dass Sicherheitsprobleme ihren Weg bis in die Live-Umgebung finden.
Ergebnis: Erheblich gestärkter Health-Status des SDLC
In der Vergangenheit musste das Security-Team den Umfang an Schwachstellen in der Codebase des Unternehmens noch unter hohem Zeitaufwand auf manuellem Wege erfassen. Gleiches galt für die Bestimmung, welche Bibliotheken aktualisiert werden mussten. Mit Snyk dagegen hat das Security-Teams all dies detailliert im Blick. So macht es jetzt etwa auch veraltete Bibliotheken direkt aus, über die sich Schwachstellen in den Code einschleichen könnten – mit herausragenden Ergebnissen: Im Gesamtbild fällt der Security-Status von Citrix nun um ganze 50 % besser aus, dies bei einer Reduktion von noch offenen Schwachstellen mit kritischem Schweregrad um 10 %.
„In punkto Abhängigkeiten fahren wir dank Snyk nun viel vorausschauender, und auch insgesamt ist unser SDLC erheblich sicherer geworden“, freut sich Potier. „In der Regel haben Entwickler wenig Einblick dazu, inwieweit zu seltene oder auch zu häufige Upgrades die Risikoexposition ihrer Produkte beeinflussen. Genau hierzu erhalten sie mit Snyk präzise Metrics – und können entsprechend gezielt vorplanen, anstatt einfach in einem Zug Upgrades für alles einzuspielen.“
Zum Zeitpunkt der Veröffentlichung dieses Artikels hat Citrix innerhalb von 3 Monaten nicht weniger als 4,7 Millionen Security-Testings durchgeführt – eine Zunahme von 204 % gegenüber der Zeit vor der Implementierung von Snyk. Im 60-Tages-Durchschnitt lag die Fixing-Zeit für sämtliche erkannte Schwachstellen dabei um ganze 50 % unter dem Branchen-Benchmark.
„Die Zahl der in unserem Code festgestellten Sicherheitsprobleme fällt kontinuierlich“, resümiert Hather. „Sicher, auf null werden wir hier wohl nie kommen, da unser Code laufend an neue Kunden- und Security-Anforderungen angepasst werden muss. Dank Snyk können wir in diesem Kontext aber mit klarer Perspektive planen – und damit so nah ans Optimum herankommen wie möglich.“