Kundengeschichten

Stärkung der Sicherheit mit GitHub Advanced Security

Stärkere, schnellere und transparentere Sicherheitsprozesse, die es Entwicklern ermöglichen, Probleme in Echtzeit anzugehen.


Capabilities:

Partners:

Industries:

Einführung

Ein führender nordamerikanischer Vertriebshändler mit jahrzehntelanger Erfahrung wollte seine Verfahren zur Anwendungssicherheit modernisieren. Jahrelang verließ sich das Unternehmen bei der Codeanalyse auf SonarQube, aber das System hatte nur eine begrenzte Abdeckung und erforderte eine umfangreiche manuelle Konfiguration. Nur ein Bruchteil der Repositories wurde gescannt, so dass potenzielle Schwachstellen unentdeckt blieben.

In Zusammenarbeit mit Xebia wechselte das Unternehmen von SonarQube zu GitHub Advanced Security (GHAS). Innerhalb weniger Wochen half Xebia bei der Migration von über zweitausend Repositories, schulte die Teams in sicheren Entwicklungspraktiken und ermöglichte eine vollständige Abdeckung der gesamten GitHub-Umgebung des Unternehmens.

Auf einen Blick

Herausforderung

Begrenzte Sichtbarkeit und Abdeckung in SonarQube, hoher manueller Aufwand und ein Mangel an verwertbaren Sicherheitserkenntnissen

Lösung

Migration auf GitHub Advanced Security mit einem schrittweisen Ansatz, benutzerdefinierten Berichten und praktischer Schulung

Ergebnisse

2.000+ Repositories gesichert

100%ige Codeabdeckung erreicht

35.000+ umsetzbare Warnungen für Abhilfemaßnahmen generiert

Die Herausforderung

Als einer der größten Großhändler Nordamerikas betreibt der Kunde Tausende von Standorten und beschäftigt Zehntausende von Mitarbeitern. Die Verwaltung der Sicherheit in einem solchen Umfang erforderte robuste, automatisierte und integrierte Tools.

SonarQube war zwar eine vertrauenswürdige Lösung, aber die Kosten und die manuelle Einrichtung schränkten die Effektivität ein. Nur zwölf Prozent der Repositories des Unternehmens wurden gescannt, und der Prozess führte häufig zu falsch positiven Ergebnissen. Das Sicherheitsteam benötigte eine skalierbare Alternative, die sich nahtlos in die bestehenden Arbeitsabläufe der Entwickler integrieren ließ und Echtzeiteinblicke in Schwachstellen bot.

Die Lösung

Um die Umstellung zu validieren, entwickelte Xebia ein Proof of Concept, bei dem die Leistung von GHAS und SonarQube nebeneinander verglichen wurde. Die Ergebnisse zeigten deutlich die Vorteile von GHAS hinsichtlich Geschwindigkeit, Genauigkeit und einfacher Integration.

Aufbauend auf diesem Erfolg erstellte Xebia einen umfassenden Migrationsplan, der sich auf die Aktivierung von GitHub Advanced Security für alle in der GitHub Enterprise Cloud gehosteten Repositories konzentrierte. Die Implementierung umfasste:

Sandbox-Tests

Einrichtung einer sicheren Testumgebung mit bekannten Schwachstellen zur Überprüfung der Scan-Genauigkeit.

Schrittweise Einführung

Aktivieren Sie GHAS schrittweise, beginnend mit Secret Scanning, dann CodeQL-basiertes Code Scanning, gefolgt von Dependency Scanning mit Dependabot.

Prozessautomatisierung

Einführung von Regeln zum Schutz von Verzweigungen, die CodeQL-Statusprüfungen erforderten, um sicherzustellen, dass Schwachstellen vor der Zusammenführung behoben wurden.

Schulung und Wissenstransfer

Durchführung von Workshops für Entwickler und Sicherheitsspezialisten, um ihnen zu helfen, GHAS-Warnungen zu interpretieren und Abhilfemaßnahmen effizient anzuwenden.

Durch die Verwendung des OWASP Juice Shop als Benchmark für die Tests konnte Xebia sicherstellen, dass GHAS die häufigsten und kritischsten Schwachstellen abdeckt, die in realen Anwendungen auftreten.

Das Ergebnis

Der Wechsel zu GHAS veränderte die Sicherheitslage des Unternehmens. Es wurde eine vollständige Abdeckung des Repositorys erreicht, so dass Entwickler und Administratoren schneller und präziser auf Probleme reagieren können.


Die Plattform generierte mehr als 35.000 umsetzbare Warnungen und leitete die Entwickler zu gezielten Verbesserungen an. Die Sicherheitstransparenz des Unternehmens verbesserte sich drastisch, und die Arbeitsabläufe wurden schneller und weniger abhängig von manueller Überwachung.


Durch die Migration wurde auch die Skalierbarkeit verbessert. Da GHAS jetzt Hunderte von Lizenzen unterstützt, kann das System mühelos wachsen, wenn neue Entwickler zum Unternehmen stoßen.

Wichtigste Erkenntnisse

  • Zentralisierte CodeQL-Dateien vereinfachen die erweiterte Sicherheitskonfiguration.
  • Automatisierte Workflows beschleunigen die Erkennung und Behebung von Sicherheitslücken.
  • Um eine unternehmensweite Überprüfung zu ermöglichen, sind möglicherweise manuelle oder API-gesteuerte Aktionen erforderlich.
  • Engagement und Schulung der Entwickler sind der Schlüssel zum langfristigen Erfolg der Einführung.

Blick nach vorn

Nach der Migration wird das Unternehmen seine DevSecOps-Praktiken weiter ausbauen. Zu den zukünftigen Plänen gehören die Implementierung von GitHub Advanced Security für Entwickler und Sicherheitsspezialisten sowie GitHub Actions und Copilot-Schulungen, um die Codequalität weiter zu automatisieren und zu verbessern. Durch die Integration von Automatisierung, KI und proaktiven Sicherheitspraktiken ebnet das Unternehmen den Weg für eine sicherere, effizientere Entwicklungszukunft.

"Die Umstellung auf GHAS war schnell und effizient und fügte sich nahtlos in die bestehenden Arbeitsabläufe ein." Randy Pagels, DevOps Architekt und Trainer bei Xebia

Contact

Let’s discuss how we can support your journey.