Skip to main content

Segment setzt Open-Source-Sicherheit mit Snyk auf breiter Front um

Impulsgeber

Leif Dreizler

Security Engineering

Branche: Technologie
Location: San Francisco, USA

Products Featured

Snyk Open Source

Highlights:

Snyk Schwachstellen-Datenbank mit deutlich breiterer Abdeckung zur Erkennung von Anfälligkeiten als andere Plattformen

Schneller Rollout dank Github-Integration – Monitoring für 1.200 Repositories bereits nach 2 Tagen ab Implementierung

Nahtloses Fixing von Schwachstellen anhand der intuitiven Empfehlungen der Snyk Plattform – proaktiv und ganz ohne Initiierung durch das Security-Team

API-gestützte Integration von Snyk mit wichtigstem unternehmensinternem Tool bei Segment zum Monitoring des AppSec-Status im Rahmen des Kern-Workflows

Herausforderung

Hinter der Customer Data Platform von Segment steht eine Vielzahl von Open-Source-Paketen, für die es ein höchstmögliches Sicherheitsniveau zu gewährleisten galt. GitHub, das Segment bis dato zur Erkennung von Schwachstellen im Einsatz hatte, konnte dem nicht gerecht werden. Denn innerhalb der Entwicklerteams nutzte man die Plattform einfach nicht, um erkannte Schwachstellen auch zu beheben. Zudem erwies sich GitHub in punkto Security-Abdeckung als relativ eingeschränkt, ebenso wie bei der Unterstützung von Programmiersprachen.

Breiter aufgestellt mit Snyk

Für Snyk entschied man sich schließlich aufgrund folgender Vorteile:

  1. Neben seiner breiteren Security-Abdeckung überzeugte Snyk gegenüber anderen evaluierten Lösungen durch die Erkennung von mehr Schwachstellen.

  2. Ob seiner intuitiv umsetzbaren Fixing-Empfehlungen für Schwachstellen stieß die Snyk Plattform direkt auf äußerst positive Resonanz bei den Entwicklern.

  3. Die Plattform bietet Unterstützung für eine Vielzahl an Programmiersprachen, darunter auch Go, die in der Dev-Infrastruktur von Segment besonders ausgedehnt genutzt wird.

„In der Evaluierungsphase hatten wir bereits Bedenken, dass andere Lösungen in punkto Security-Abdeckung nicht breit genug aufgestellt sein könnten. Als dann die eslint-scope-Schwachstelle bekannt wurde, spielte Snyk seine Stärken voll aus: Mit der Plattform konnten wir mühelos feststellen, welche Repositories dafür anfällig waren, und so auch direkt ein Upgrade einspielen oder die betroffene Abhängigkeit ganz ausrangieren.“

Neben den wenig überzeugenden Features zur Erkennung von Schwachstellen fehlte es bei den anderen Kandidaten zudem an der für Segment so wichtigen Möglichkeit zur Integration mit GitHub.

„Snyk ließ sich mit GitHub ebenso mühelos integrieren, wie wir mit der Lösung startklar waren: Gerade einmal 2 Tage nach Abwicklung des Kaufs hatten wir bereits Monitoring für 1.200 Repositories eingerichtet.“

Developer-First als neues Credo im Entwicklerteam

Wie tiefgreifend Snyk Security-Themen in die Dev-Kultur bringt, bewies eines der Mitglieder aus dem Entwicklerteam von Segment eindrucksvoll, als es sämtliche mithilfe der Plattform erkannten Schwachstellen direkt selbst behob – ganz ohne jedwede Anfrage oder Aufforderung seitens des Security-Teams. Hinzu kam, dass man gerade einmal einen Tag benötigte, um sämtliche anfälligen Abhängigkeiten entweder zu entfernen oder Upgrades für diese zu implementieren.

The cleanup iterations are presented on Snyk’s UI, where each row presents the issues known at that time. All issues were quickly fixed and resolved within 19 hours.

Unkomplizierte Integration mit internen Monitoring-Tools via Snyk API

Eine zentrale Rolle nahm bei Segment die API von Snyk ein, mittels derer sich die Plattform nahtlos in die bestehenden SCM-Workflows des Unternehmens einbinden und so durchgängig Bestand und Status von Schwachstellen erfassen ließ. Und auch im Snyk Ökosystem hat die API eine zentrale Rolle inne. Denn neue Features werden bei Snyk allesamt zunächst über die API ausgerollt, bevor sie innerhalb der UI verfügbar werden. (Mehr dazu lesen Sie hier.)

Intern hat Segment das hier gezeigte Monitoring-Tool Directory im Einsatz. Über die Snyk API ergänzte das Unternehmen darin einen eigenen Tab für Schwachstellen-Scans und Fixing-Empfehlungen von Snyk.

Offenheit und Agilität des Snyk Teams als großes Plus

Punkten konnte Snyk nicht zuletzt auch durch seinen enormen Kundenfokus: Anfragen und Anliegen nimmt das Team stets offen auf und setzt diese wenn nötig auch schnellstmöglich anhand von neuen Features um. Im engen Austausch zwischen dem Kunden und Snyk werden Problemstellungen ebenso wie alle Anforderungen anderer Art auf agile Weise adressiert.

„Bei der Wahl des Anbieters war gerade auch die Beziehung zu dessen Support-Team ein entscheidendes Kriterium für uns – das Snyk mit Bravour erfüllte: Bietet die Plattform etwas nicht direkt out of the box, setzt das Team alles Nötige in Gang, um die Lücke zu schließen. Die Offenheit von Snyk, Feedback von seinen Kunden in seiner Produkt-Roadmap umzusetzen, hat uns wirklich beeindruckt.“

Über Snyk Segment

Segment gibt Unternehmen eine Infrastruktur für Kundendaten an die Hand, in die sich mehr als 200 Tools für verschiedenste Team-Anforderungen API-gestützt integrieren lassen. Wo Entwickler Datenintegrationen bislang in kosten- und zeitaufwändigem Stückwerk umsetzen mussten, können sie mit Segment beliebige Anwendungen nahtlos in ein umfassendes Dashboard einbinden und Business-Nutzern so ohne Umschweife Insights vermitteln.

Jetzt starten mit Sicherheit für KI-generierten Code

Sie möchten Code aus KI-gestützten Tools in Minutenschnelle sicher machen? Dann registrieren Sie sich direkt für ein kostenloses Snyk Konto oder besprechen Sie in einer Demo mit unseren Experten, was die Lösung für Ihre Use Cases im Bereich Dev-Security möglich macht.

Unverbindlich und ohne Kreditkarte.

Kostenlos starten mit GitHubKostenlos starten mit Google

Mit Ihrer Registrierung bzw. Anmeldung stimmen Sie automatisch unseren Richtlinien zu, so etwa unseren Nutzungsbedingungen und unserer Datenschutzerklärung.