Kundengeschichten
Sicherheit ins Haus holen mit GitHub Advanced Security
Einführung
Ein führendes US-amerikanisches Einzelhandelsunternehmen mit Tausenden von Filialen im ganzen Land wollte die Sicherheit seiner Software verbessern und seine Entwickler in die Lage versetzen, die volle Verantwortung für ihre Codebasis zu übernehmen. Nach einer erfolgreichen Migration zu GitHub Enterprise Cloud mit Xebia war der nächste Schritt klar: GitHub Advanced Security (GHAS) sollte intern eingeführt und zu einem messbaren Treiber des Geschäftswerts werden.
Durch die Zusammenarbeit mit Xebia gewann das Unternehmen praktische Erfahrung, implementierte ein standardisiertes Sicherheitsmodell und gab seinen Entwicklungsteams das Wissen, die Werkzeuge und das Vertrauen, um GHAS unabhängig zu verwalten. Innerhalb eines Monats hat das Unternehmen seine Herangehensweise an die Softwaresicherheit geändert, neue Effizienzen erschlossen und eine Grundlage für kontinuierliche Verbesserungen geschaffen.
Auf einen Blick
Herausforderung
Begrenzter Einblick in Sicherheitsmetriken und Abhängigkeit von externen Partnern für die Verwaltung von GitHub Advanced Security.
Lösung
Das GHAS Adoption Framework von Xebia kombiniert Schulungen, Automatisierung, ein individuelles Playbook und Office Hours-Sitzungen zur Verinnerlichung von Fachwissen und Governance.
Ergebnisse
Fünf vollständig auf GHAS geschulte und zertifizierte Entwicklungsteams
Standardisiertes Sicherheitsbetriebsmodell eingeführt
Umfassendes GHAS Playbook für wiederholbare Rollouts erstellt
Produktivitätssteigerung durch Automatisierung und Befähigung der Entwickler
Die Herausforderung
Nach der Migration zu GitHub Enterprise Cloud wollte das Unternehmen mehr Transparenz und Kontrolle über seine Sicherheitsabläufe erlangen. GitHub Advanced Security wurde zwar bereits von einem externen Partner eingesetzt, aber den internen Teams fehlte es sowohl an direkter Verantwortung als auch an einem umfassenden Verständnis dafür, wie das Tool effektiv genutzt werden kann.
Das Unternehmen musste kritische Fragen beantworten, z. B. wie viele Schwachstellen gefunden und behoben wurden, welche Teams am aktivsten an der Behebung dieser Schwachstellen beteiligt waren und wie GHAS zur langfristigen Wertschöpfung beitragen konnte.
"Das Unternehmen nutzte GitHub Advanced Security bereits über einen externen Anbieter. Mit unserer Unterstützung wollten sie es intern einsetzen und die Entwickler in die Lage versetzen, das Tool direkt zu nutzen. Gleichzeitig wollten sie einen besseren Einblick in die Nutzung und die Auswirkungen des Tools erhalten", erklärt Matthew Olson, Consultant bei Xebia.
Die Lösung
Das Unternehmen erkannte, dass für den Erfolg sowohl praktisches Wissen als auch die Standardisierung von Prozessen erforderlich waren, und ging eine Partnerschaft mit Xebia ein, um das GitHub Advanced Security Adoption Framework zu implementieren. Ziel war es, die Verantwortung für GHAS von externen Anbietern auf interne Teams zu übertragen und gleichzeitig eine einheitliche Governance, Berichterstattung und Automatisierung zu gewährleisten.
Xebia lieferte ein umfassendes Befähigungsprogramm, das alle Aspekte der Einführung abdeckte, einschließlich Schulung, Prozessdokumentation und operative Unterstützung. Der Auftrag umfasste:
Maßgeschneiderte GHAS-Schulungen und Bootcamps
Innerhalb eines Monats konzipierte und lieferte Xebia vollständig angepasste GitHub Advanced Security-Schulungen für fünf Entwicklungsteams. Die Kurse kombinierten Standard-Lernmaterial mit kundenspezifischen Demos und Übungen, die reale Arbeitsabläufe und Schwachstellen widerspiegelten.
"Wir haben das hervorragende Basismaterial genommen, es mit unserem Wissen und unserer Erfahrung erweitert und dann unser eigenes Training erstellt, das komplett auf die Bedürfnisse des Kunden zugeschnitten ist", sagt Olson.
GitHub Advanced Security Playbook
Um die Nachhaltigkeit der Änderungen zu gewährleisten, entwickelte Xebia ein umfassendes GHAS Playbook. Das Dokument enthielt Best Practices für die Automatisierung, Eskalationspfade, RACI-Strukturen, Entscheidungsbäume und Vorlagen für zukünftige Einführungen.
"Wir haben die Teams mit praktischen Schulungen auf den neuesten Stand gebracht und alles in einem Handbuch festgehalten, so dass sie bei Bedarf einen wiederholbaren Leitfaden zur Hand haben", fügt Olson hinzu.
Sprechstunden und kontinuierliche Förderung
Xebia veranstaltete mehrere Office Hours für die Sicherheits- und Entwicklungsteams. Diese Sitzungen boten ein offenes Forum, in dem Entwickler Fragen stellen, fortgeschrittene Funktionen erkunden und Herausforderungen in Echtzeit lösen konnten. Zu den Themen gehörten die Verwendung der GitHub-API, die Integration von GHAS-Ergebnissen in interne Dashboards und die Ermittlung wichtiger Kennzahlen für die Berichterstattung über Erkennung und Behebung von Problemen.
Das Ergebnis
Zu Beginn des Jahres 2025 hatte die Zusammenarbeit messbare Auswirkungen. Das Unternehmen war erfolgreich von der Abhängigkeit von externen Partnern zur internen Verwaltung seiner eigenen GitHub Advanced Security-Umgebung übergegangen.
Zu den wichtigsten Errungenschaften gehören:
- Ein standardisiertes Betriebsmodell für die Verwaltung von GHAS in der gesamten Organisation.
- Vollständig geschulte interne Teams, die über die nötige Erfahrung verfügen, um Konfiguration, Scans und Abhilfemaßnahmen eigenständig durchzuführen.
- Ein robustes Playbook, um zukünftige Einführungen zu leiten und Wiederholbarkeit zu gewährleisten.
- Verbesserter Einblick in Schwachstellen, Metriken und Abhilfemaßnahmen.
- Automatisierungsskripte, die Sicherheitsabläufe rationalisieren und die Produktivität verbessern.
"Wir haben es den Teams ermöglicht, ihre Sicherheit ins Haus zu holen und ihnen gleichzeitig die Tools und das Wissen zur Verfügung gestellt, das sie brauchen, um die Dynamik auch lange nach dem Einsatz aufrechtzuerhalten", sagt Olson.
Die Zusammenarbeit führte auch zu einem proprietären Migrationsbeschleuniger, der von Xebia in früheren Phasen der Partnerschaft entwickelt wurde. Dieses Tool wurde seitdem bei zahlreichen Unternehmensmigrationen weltweit wiederverwendet.
Wichtigste Erkenntnisse
Starke Partnerschaften sorgen für mehr Wirkung
Die langjährige Partnerschaft zwischen dem Einzelhändler und Xebia begann mit einer GitHub-Migration und weitete sich organisch auf erweiterte Sicherheitsfunktionen aus. Das durch die Zusammenarbeit aufgebaute Vertrauen bildete die Grundlage für kontinuierliche Innovation und Erfolg.
Kontextorientiertes Enablement liefert mehr Wert
Dies war eines der ersten Projekte von Xebia, bei dem offene Sprechstunden den Vorrang vor vorgeschriebenen Schulungen hatten. Der interaktive, fragebasierte Ansatz erwies sich als wertvoller, da er es den Entwicklern ermöglichte, echte Herausforderungen in ihrer Umgebung zu erkunden und Lösungen sofort anzuwenden.
Die erweiterte Sicherheit von GitHub ist umfangreicher als erwartet
Eine der wichtigsten Erkenntnisse für den Kunden war die Erkenntnis, wie anpassungsfähig GHAS sein kann. Von der Integration von Ergebnissen in Dashboards bis hin zur Anpassung von Workflows über APIs - die Entwickler lernten die Flexibilität der Plattform neu zu schätzen.
"Diese Erkenntnis hat sie wirklich beeindruckt. Sie verdient viel mehr Aufmerksamkeit", sagt Olson.
Blick nach vorn
Da GHAS nun vollständig intern verwaltet wird, hat das Unternehmen ein wiederholbares und skalierbares Modell für die sichere Entwicklung eingeführt. Für die Zukunft ist geplant, die GHAS-Funktionen auf weitere Teams auszuweiten, die Automatisierung zu vertiefen und fortschrittliche Metriken zu integrieren, um den laufenden ROI zu verfolgen.
Indem das Unternehmen seine Entwickler befähigt, die Verantwortung für die Sicherheit zu übernehmen, hat es GitHub Advanced Security sowohl zu einem technischen Schutz als auch zu einem strategischen Geschäftsfaktor gemacht.
Contact