Das europäische Technologieunternehmen Cube treibt mit GitLab Duo sichere Software mit KI voran

Für Cube war die Entscheidung, GitLab Ultimate einzuführen, ein Wendepunkt, der das gesamte Unternehmen in Schwung brachte. Fast die gesamte Belegschaft arbeitet in einem DevSecOps-Framework und konzentriert sich auf die effiziente Erstellung, Sicherung und Bereitstellung von Produkten. Seit der Einführung von GitLab im Jahr 2019 hat Cube kontinuierlich nach Möglichkeiten gesucht, seine Prozesse zu optimieren. Im Frühjahr 2024 erweiterte Cube sein Toolkit mit GitLab Duo, einer KI-basierten Erweiterung des GitLab-Ultimate-Tarifs, um die Bereitstellung von Softwareanwendungen, Websites und die Verwaltung von Hintergrunddaten für seine Kund(inn)en zu verbessern.

Cube setzt bereits eine Vielzahl von Ultimate-Funktionen ein – von der Automatisierung über Sicherheitsscans bis hin zum Wertstrommanagement. Ein wichtiger Grund für das Unternehmen, Anfang des Jahres ein Upgrade durchzuführen, war die Möglichkeit, GitLab Duo zu nutzen. Mitglieder des DevSecOps-Teams hatten den Wunsch geäußert, künstliche Intelligenz einsetzen zu können, um bei der Codeerstellung Zeit zu sparen und einen Chat-Assistenten zu haben.

Zunächst probierte Cube das Copilot-Tool von GitHub und den KI-Assistenten von JetBrains aus. Beide boten nicht die nahtlose KI-Integration für den gesamten SDLC, die die Teams von Cube benötigten. Cube braucht eine einzige Plattform, auf der alle Teammitglieder – von den Entwickler(inne)n bis zu den Testingenieur(inn)en, Sicherheitsspezialist(inn)en und Projektmanager(inne)n – GitLab Duo nutzen können.

„Wir haben uns für GitLab Duo entschieden, weil es über Funktionen wie Codevorschläge, Testgenerierung und Zusammenfassungen verfügt, die uns sofort zu mehr Effizienz verhalfen“, sagt Mans Booijink, Operations Manager bei Cube. „Wir wollten ein ganzes Paket von KI-Funktionen auf einer einzigen Plattform nutzen.“

Cube begann im Frühjahr 2024 mit der Nutzung von GitLab Duo und begann seine KI-Reise zunächst mit dem Einsatz von Codevorschlägen und GitLab Duo Chat, einem KI-basierten Sprachassistenten. Von Anfang an sahen die Teams schnell die Vorteile, vor allem für junge Entwickler(innen), die mehr Hilfe bei der Entwicklung von Code und bei langen Listen von Anforderungen oder Kommentaren brauchen.

„Wir befinden uns noch in der Anfangsphase mit dem Einsatz von KI, wobei wir uns hauptsächlich auf Codevorschläge konzentrieren, aber die Mitarbeiter(innen) haben uns bereits mitgeteilt, dass sie sich freuen, wenn sie Verbesserungen sehen, wenn sie Aufgaben nicht mehr manuell erledigen müssen oder wenn sie Zeit sparen“, sagt Booijink. „Wenn ein(e) Entwickler(in) ein Ticket mit 20 oder 30 Kommentaren hat, kann es sehr anstrengend sein, sie alle durchzugehen. Aber mit Duo Chat kann man einfach fragen, was wichtig ist oder was erledigt werden muss. Dies verschafft den Entwickler(inne)n einen schnellen Überblick, zeigt ihnen die Richtung auf und spart ihnen Zeit.“

Cube steht zwar erst am Anfang des Einsatzes von künstlicher Intelligenz, aber es gibt bereits erste Ergebnisse.

Die Entwickler(innen) nutzten GitLab Duo, um eine mobile App für einen ihrer langjährigen Kunden zu verbessern und neue Funktionen hinzuzufügen. Mit der App können die Benutzer(innen) ihren täglichen Gas- oder Stromverbrauch analysieren und verwalten und sehen, wie viel Energie sie mit Solarzellen erzeugt haben.

Mithilfe von Codevorschlägen und Codeerläuterungen konnte das Entwicklerteam Zeit und Mühe sparen und einem geschätzten Kunden die angeforderten Verbesserungen schnell zur Verfügung stellen.

Cube plant bereits die Ausweitung des Einsatzes von KI auf alle Teams und den gesamten SDLC.

„Wir wollen alle in GitLab Duo verfügbaren KI-Funktionen nutzen, um schneller sichere Software zu entwickeln“, sagt Booijink. „Das ist wichtig für unser Geschäft. Wir müssen schnell und effizient sein, um auf dem Markt wettbewerbsfähig zu bleiben. Das bedeutet, dass wir KI-Funktionen wie Zusammenfassung von Merge Requests, Erläuterung von Sicherheitslücken und Zusammenfassung von Tickets über den gesamten SDLC hinweg nutzen. Dass alles in einem System zusammenläuft, gefällt uns.“

Er möchte, dass seine Teams sicherheitsrelevante KI-Funktionen nutzen, die potenzielle Risiken im Code erkennen und sofort Warnmeldungen ausgeben, noch bevor sie in Merge Requests aufgenommen werden. Booijink ist begeistert von der Roadmap von GitLab für selbst gehostete Funktionen und plant, KI auch für die Behebung von Sicherheitslücken einzusetzen.

„Ich begrüße die Pläne von GitLab, die selbst gehosteten Funktionen auszubauen“, sagt Booijink. „Wir wollen alles ausprobieren, sobald es fertig ist, denn das wird uns helfen, noch mehr Zeit zu sparen und noch effizienter zu werden.“

Da Cube immer mehr KI-Funktionen einsetzt, rechnet Booijink damit, dass auch die Zahl der Teammitglieder, die GitLab Duo nutzen, steigen wird. Er geht davon aus, dass im Juli 2024 60 % der DevSecOps-Teammitglieder KI nutzen werden und bis Ende des Jahres 100 %. Im Moment nutzen noch einige Entwickler(innen) Copilot, aber Booijink geht davon aus, dass sie – wie ihre Teamkolleg(inn)en – von sich aus auf GitLab Duo umsteigen werden, wenn sie sehen, dass sie KI nicht nur für Codevorschläge nutzen können.

„Ja, Vorschläge sind schön, aber DevSecOps-Entwickler(innen) haben so viel mehr zu tun, als nur Code zu schreiben oder zu überprüfen“, fügt er hinzu. „Der gesamte Lebenszyklus muss davon profitieren. Und genau dadurch wird die Effizienz wirklich gesteigert. Das wird der Grund sein, warum jeder zu GitLab Duo wechselt.“

Cube hat bereits Schulungen zu KI angeboten, aber die Verantwortlichen planen in Zukunft noch umfangreichere Fortbildungsmöglichkeiten. Da die Mitarbeiter(innen) des Unternehmens planen, den Einsatz von künstlicher Intelligenz sowohl in den Teams als auch im gesamten Entwicklungszyklus kontinuierlich zu steigern, müssen Schulungen angeboten werden, um mit der Entwicklung Schritt zu halten.

Dazu gehört auch, dass Teammitglieder mit mehr Erfahrung ermutigt werden, andere als Mentor(inn)en zu unterstützen und mit ihnen zusammenzuarbeiten.

„Wir wollen den Teams die Hilfe bieten, die sie brauchen, aber wir ermutigen die Leute auch, miteinander zu kommunizieren und sich gegenseitig zu unterstützen“, sagt Booijink und weist darauf hin, dass sie auch Kurse über das Programm GitLab University anbieten werden. „Wir haben bereits erlebt, dass unsere Mitarbeiter(innen) ihr Wissen über den Einsatz von KI in GitLab für Codevorschläge teilen. Jeden Freitag haben wir einen Erfahrungsaustausch, bei dem wir Beispiele auf einer großen Leinwand zeigen. Wir lernen gerne voneinander.“

Die Möglichkeit, GitLab Duo zu nutzen, war nur ein Grund, warum Cube von Premium zu Ultimate wechseln wollte. Einer der anderen Hauptgründe war, zusätzliche automatisierte Sicherheitsfunktionen wie die Abhängigkeitssuche, statische und dynamische Anwendungssicherheitstests und die Erkennung von Geheimnissen zu erhalten. Die DevSecOps-Teams begannen sofort mit der Implementierung der neuen Sicherheitsfunktionen, weil sie wussten, dass dies ihnen helfen würde, ihre ISO-27001-Zertifizierung, eine internationale Norm für Informationssicherheit, zu erreichen.

„Es ist einfacher, sichere Software zu entwickeln, ohne bei der Entwicklung oder Bereitstellung an Geschwindigkeit zu verlieren“, sagt Booijink. „Wir haben automatische Scanner, die jeden neuen Code überprüfen, und wir haben genehmigte Regeln aufgestellt, die sicherstellen, dass jede Sicherheitslücke angemessen behandelt wird, unabhängig davon, wer an diesem Code arbeitet. Das macht die Sicherung unserer Software für uns einfacher, aber auch für unsere Kund(inn)en ist es besser, weil sie sicher sein können, dass jedes Problem immer auf die richtige Weise behandelt wird.“

Im Kern geht es bei DevSecOps um Zusammenarbeit. Es ist ein Teamsport. Und eine einzige, durchgängige Plattform fördert diese Zusammenarbeit.

Booijink stellt fest, dass die Teams durch die Verwendung von Epics, Tickets, Meilensteinen und Iterationen in GitLab auf dem gleichen Stand bleiben, ständig über den Status der Projekte informiert sind und sich gegenseitig helfen können. „Unsere Mitarbeiter(innen) nutzen GitLab bereits bei der Planung eines Projekts“, sagt er. „Sie kommunizieren in Tickets darüber, was getan werden muss. Und unsere Kund(inn)en und andere Beteiligte können als Gastnutzer(innen) in GitLab mitarbeiten und Fragen stellen und beantworten. Das ist viel effizienter, als E-Mails hin und her zu schicken.“

Die Kund(inn)en können sogar ihre eigenen Tickets erstellen, um Bedenken zu äußern oder Anforderungen zu formulieren. „Es ist großartig, mit Kund(inn)en in Kontakt zu treten, ihnen zu zeigen, was wir tun und warum wir es tun, sie über den Stand des Prozesses zu informieren und dann umgehend ihre Meinung dazu einzuholen“, fügt Booijink hinzu. „Das ist so viel kooperativer.“

Das Wertstrommanagement, das auf die Verbesserung der Sicherheits- und DevSecOps-Prozesse abzielt, war den Teams bei Cube wichtig. Mit Hilfe der GitLab-Plattform haben sie ein Wertstrom-Dashboard erstellt, das aufzeigt, wo es zu Hindernissen und Verzögerungen kommt. Wenn die Teams sehen können, was passiert und wann es im Prozess passiert, ist es viel einfacher und schneller, das Problem zu beheben.

Durch diese schnelle Reaktion kann Cube den Erwartungen seiner Kund(inn)en gerecht werden.

„So können wir die Reaktionszeit unserer Service Level Agreements einhalten“, erklärt Booijink. „Wenn unsere Kund(inn)en ein neues Ticket für ein Projekt erstellen, ist unsere Reaktionszeit Teil des Vertrags. Durch die Überwachung dieser Dashboards können wir sehen, wo wir mit der erwarteten Markteinführungszeit stehen. Wir müssen unsere Kund(inn)en regelmäßig über unsere Reaktionszeit informieren. Die Dashboards geben uns die Informationen, die wir brauchen, um Engpässe zu beheben und unser Timing zu verbessern.“

Die Erstellung dieser wichtigen Dashboards war einfacher, weil sie Teil der Plattform war. „Ohne GitLab wäre es viel schwieriger gewesen“, sagt Booijink. „Es war benutzerfreundlich und jetzt haben wir ein klares Verständnis von Prozessen, Zahlen und dem, was hinter all diesen Daten steckt. Und es funktioniert bei jedem Projekt auf die gleiche Weise.“

Er fügt hinzu, dass alle Funktionen von Ultimate – ob KI-Funktionen, automatische Sicherheitsüberprüfung oder Wertstrommanagement – Teil einer einzigen Plattform sind und den Mitarbeiter(inne)n von Cube die Arbeit mit GitLab erleichtern.