Kundengeschichten
Mehr Sicherheit in einem Umfeld, in dem viel auf dem Spiel steht
Skalierung von GitHub Advanced Security bei einem führenden europäischen Energienetzbetreiber, um 1.000 Entwickler zu unterstützen und kritische Infrastrukturen zu schützen.
Einführung
Diese Fallstudie zeigt, wie Xebia es Hunderten von Mitarbeitern eines führenden europäischen Energienetzbetreibers ermöglicht, GitHub Advanced Security (GHAS) effektiv zu nutzen.
In Zusammenarbeit mit Xebia startete das Unternehmen ein vielversprechendes GHAS-Train-the-Trainer-Programm. Aus dieser Initiative gingen 12 interne GHAS-Experten hervor, die etwa 1.000 Softwareentwickler intern schulen werden. Darüber hinaus hat das Unternehmen 20 kritische Anwendungen identifiziert, die für die Einführung von GHAS priorisiert werden sollen.
Auf einen Blick
Herausforderung
Ein führender europäischer Energienetzbetreiber musste kritische Strom- und Gasinfrastrukturen schützen, aber die frühe Einführung von GitHub Advanced Security verzögerte sich aufgrund der begrenzten Anleitung für Tausende von Entwicklern
Lösung
Xebia führte ein GitHub Scaled Enablement-Programm ein, in dem 12 interne GHAS-Champions geschult, 20 kritische Anwendungen priorisiert und Sicherheitspraktiken durch einen strukturierten Train-the-Trainer-Ansatz in den Entwicklungslebenszyklus eingebettet wurden
Ergebnisse
Das Unternehmen gewann einen tieferen Einblick in GHAS, baute internes Sicherheitswissen auf und richtete eine skalierbare Einführung ein, die 1.000 GHAS-Lizenzen unterstützt und die fortlaufende sichere Entwicklung in 200 Teams fördert.
Business Herausforderung
Mit Tausenden von Mitarbeitern und Millionen von Kundenanschlüssen verwaltet dieser Energienetzbetreiber wichtige Strom- und Gasinfrastrukturen in mehreren Regionen. Als Unternehmen für kritische Infrastrukturen, das in einer Hochsicherheitsumgebung arbeitet, muss es sensible Daten schützen, eine zuverlässige Energieversorgung gewährleisten und sich vor Cyber-Bedrohungen schützen, die wichtige Dienste unterbrechen könnten.
Da Millionen von Kunden auf die Dienste des Unternehmens angewiesen sind, müssen externe Anwendungen jederzeit einsatzbereit sein. Die Integration der Sicherheit in den Entwicklungszyklus ist von entscheidender Bedeutung - die Entwickler benötigen Tools, um Schwachstellen schnell zu scannen, zu melden und zu beheben. Um dies zu erreichen, entschied sich das Unternehmen für GHAS wegen seiner Secret Scanning-Funktion und der Konsolidierung mehrerer Funktionen in einer einzigen Plattform.
Bei der ersten Einführung von GHAS stieß die Organisation jedoch auf einen häufigen Fallstrick: eine breite Verfügbarkeit des Tools ohne ausreichende Anleitung oder Schulung. Infolgedessen verzögerte sich die Akzeptanz und die Investition wurde nicht voll ausgeschöpft. Das Unternehmen erkannte dies und beauftragte Xebia, 1.000 Entwicklern dabei zu helfen, GHAS vollständig zu nutzen und die allgemeine Codesicherheit zu verbessern.
Lösung
Die Aufgabe von Xebia bestand darin, das interne Sicherheitsteam mit allen Aspekten von GHAS vertraut zu machen - insbesondere mit seiner Rolle bei der Verbesserung des Lebenszyklus der Softwareentwicklung -, kritische Anwendungen zu identifizieren, auf die man sich sofort konzentrieren sollte, und interne Experten zu schulen.
Angesichts des Umfangs der Einführung schlug Xebia seinen GitHub Scaled Enablement Plan vor, um das Wissen innerhalb der Organisation zu verankern. Der Ansatz begann mit der Rekrutierung und Schulung interner Champions, die mit GHAS-Fachwissen und pädagogischen Fähigkeiten ausgestattet wurden. Diese Champions sollten dann die Schulung an andere Entwickler weitergeben, um eine unternehmensweite Akzeptanz sicherzustellen. Darüber hinaus half Xebia bei der Einrichtung einer Community of Practice, um laufende Updates, Erkenntnisse und bewährte Verfahren auszutauschen.
Implementierung
Als Xebia hinzukam, war Secret Scanning bereits für alle Anwendungen aktiviert worden. Daher wurden Dependency Scanning und Code Scanning zu den Schwerpunkten der Train-the-Trainer-Sitzungen.
Die Sitzungen umfassten:
- Eine benutzerdefinierte Folienkarte
- Live-Demos zur Unterstützung der Schulung
- Ein anfälliges Repository für praktische GHAS-Demonstrationen
- Trainerentwicklung zur Verbesserung der Lehrfähigkeiten
Die Champions zeigten ein ausgeprägtes Verständnis von GitHub und GHAS, so dass Xebia sich mehr auf die Entwicklung der Rollout-Strategie konzentrieren und das Sicherheitsteam als wichtige Triebkraft für die Einführung von GHAS positionieren konnte.
Ergebnisse
Tieferer Einblick
Verbessertes Verständnis von GHAS und seiner Rolle bei der Erstellung sicherer Software.
Kritischer Fokus
Identifizierung von 20 Anwendungen mit hoher Priorität für die Verbesserung von GHAS.
Eingebettete Sicherheit
Sicherheitspraktiken, die in den gesamten Lebenszyklus der Anwendungsentwicklung integriert sind.
Hausinternes Fachwissen
12 Fachleute dienen jetzt als interne GHAS-Ausbilder.
Weitverbreitete Akzeptanz
Interne Befürworter sind in der Lage, die kontinuierliche Einführung von GHAS zu unterstützen.
Einfluss des Anbieters
Der Rollout unterstützt 1.000 GHAS-Lizenzen und trägt damit zum weiteren Erfolg von GitHub bei.
Gelernte Lektionen
Xebia hat gelernt, dass interne Sicherheitsteams der Implementierung von Tools oft Vorrang vor der Verbesserung der Arbeitsabläufe von Entwicklern einräumen. Eine klare Darstellung, warum Sicherheitstools wichtig sind und wie sie die Produktivität der Entwickler unterstützen, ist unerlässlich.
Eine weitere Herausforderung waren organisatorische Silos - die Entwickler arbeiteten in getrennten Gruppen mit eingeschränkter Kommunikation. Der Aufbau einer teamübergreifenden Entwicklergemeinschaft erwies sich als entscheidend für den Wissensaustausch und die Akzeptanz.
Schließlich war die Zustimmung der Entwickler von grundlegender Bedeutung. Der Erfolg von Xebia hing weitgehend davon ab, dass der interne Projektmanager des Kunden das Engagement und den Enthusiasmus förderte.
Zukunft
Die Organisation hat bereits Vorteile aus GHAS gezogen, insbesondere beim Secret Scanning und Dependency Scanning. In der nächsten Phase wird das Code-Scanning auf alle Anwendungen ausgeweitet.
Ziel ist es, GHAS zu einem Standardwerkzeug für alle 200 Entwicklungsteams zu machen. GHAS wird für die 20 wichtigsten Anwendungen verpflichtend sein, und es ist geplant, es weiter auszuweiten. Jedes Team wird den Fortschritt der Einführung in vierteljährlichen Überprüfungen verfolgen, um die Verantwortlichkeit sicherzustellen.
"Um mit GHAS erfolgreich zu sein, müssen Sie den Entwicklern den Mehrwert demonstrieren und ihnen helfen, die Funktionen Schritt für Schritt zu implementieren, damit die Teams die Verantwortung für die Einführung übernehmen. Rob Bos, Berater bei Xebia
Contact