Dunelm „verschiebt die Sicherheit nach links“: Der britische Marktführer für Haushaltswaren rückt die Sicherheit in den Vordergrund des Entwicklungszyklus und treibt die Cloud-Bewegung voran.

Dunelm wurde 1979 gegründet und entwickelte sich zu einem der führenden Einzelhandelsunternehmen für Haushaltswaren im Vereinigten Königreich mit Vertriebszentren, 178 Ladengeschäften und einem robusten E-Commerce-Betrieb. Das Unternehmen verzeichnet über 12 Millionen Online-Transaktionen pro Jahr und führt gleichzeitig einen großen Online-Katalog mit Haushaltswaren und Einrichtungsgegenständen. Dunelm setzt mehr denn je auf innovatives Technologie-Engineering, um das Kundenerlebnis zu verbessern.

Dies geschieht in einem Einzelhandelsumfeld, das durch die digitale Transformation dramatisch verändert wurde. Kontinuierliche Integration und Bereitstellung (Continuous Integration and Deployment, CI/CD), garantierte Sicherheit, testgesteuerte Entwicklung, agile sprintbasierte Planung und fortschrittliche DevOps-Tools sind wichtige Bestandteile der Technologiekultur von Dunelm. Die Technologieteams des Unternehmens setzen auch auf serverlose Technologien, ereignisgesteuerte Architektur und Cloud-First-Entwicklung.

Als die Entwicklungsteams von Dunelm den Übergang zu ihrer Zielarchitektur aus serverlosen Technologien und der Cloud beschleunigten, stellten sie ernsthafte Lücken in ihren bestehenden CI/CD-Tools fest. Eine stärkere Automatisierung, verbesserte Governance, Sicherheit und Agilität waren erforderlich, um eine Vielzahl von Plug-ins zu integrieren und schnell belastbare Software-Pipelines zu erstellen. Bestehende Workflows, einschließlich solcher, die hauptsächlich auf Jenkins basieren, erforderten eine manuelle Verwaltung und ein unangemessenes Maß an Notfalllösungen für alle Fälle von fehlerhaftem Code, und es fehlte an Transparenz in den Pipelines.

Dies erwies sich als ständige und dringliche Belastung für das Verwaltungsmanagement von Dunelm. Die technische Führungsebene wünschte sich eine strategische, stabile und skalierbare Plattform. Ein wichtiger Punkt war, dass angesichts der globalen Cybersicherheitsbedrohungen bessere statische Anwendungssicherheitstests (SAST) und dynamische Anwendungssicherheitstests (DAST) erforderlich waren. Nach vergleichenden Bewertungen entschied sich die Führung von Dunelm für die Verwendung von GitLab CI/CD als DevOps-Plattform, um Technologieteams in die Lage zu versetzen, „die Sicherheit nach links zu verschieben“ – das heißt, Leistungs-, Test- und Sicherheitsprobleme zu Beginn und während des gesamten Softwareentwicklungszyklus anzugehen, so Chintan Parmar, Principal Platform Engineer bei Dunelm.

Die DevOps-Plattform von GitLab wird heute verwendet, um Builds, Integrationen und Bereitstellungen der Dienste von Dunelm effektiv und sicher zu verwalten. „Zuvor haben wir die Bibliotheken und Funktionen für unsere CI/CD-Pipelines intern erstellt. Bei allen Neuerungen mussten wir den Code selbst schreiben“, sagt Parmar. GitLab bietet alles, was wir uns wünschen, von der Sicherheit über die Leistung bis hin zu Tests und mehr. Wir können unsere Pipelines auf lesbare, modulare und konsistente Weise erstellen.“ Die Integrationsmöglichkeiten der Plattform haben sich bei der Erstellung von Pipelines auf AWS als besonders nützlich erwiesen. „Pipelines werden mit GitLab nahtlos in AWS bereitgestellt“, fügt Parmar hinzu.

Gleichzeitig bietet die GitLab-Plattform Dunelm weitere Vorteile.

Zum Beispiel dauert das vollständige Onboarding neuer Entwickler(innen) in den Technologie-Stack von Dunelm jetzt Stunden statt Tage. Darüber hinaus bringen die vollständig dokumentierten Workflows von GitLab die Mitglieder mehrerer Teams bei allen Problemen, die in den Pipelines von Dunelm auftreten, schnell auf den neuesten Stand. GitLab erleichtert die effektive Zusammenarbeit mit Funktionen wie dem Merge-Request-Prozess. Infolgedessen können Entwickler(innen), Quality Engineers, Site Reliability Engineers und andere bei der Lösung von Problemen mit Pipelines zusammenarbeiten. Die GitLab Technologieteams waren hilfreich und haben bei der Implementierung der Plattform mit uns zusammen gearbeitet“, so Parmar.

GitLab unterstützt effektiv das Ziel von Dunelm, die Sicherheit im Rahmen seiner DevSecOps-Strategie „nach links zu bewegen“. Dunelm-Teams können in GitLab-Pipelines häufigere und automatisierte Scans durchführen. Mit SAST/DAST-Scans, der Erkennung von Geheimnissen, der Abhängigkeitssuche und mehr in frühen Phasen werden Sicherheitslücken viel früher im Prozess erkannt und folglich viel früher im Softwareentwicklungszyklus behoben. Die Vorteile werden an Kund(inn)en weitergegeben, die die E-Commerce-Plattform von Dunelm nutzen, da auf diese Weise viel Sicherheitsarbeit weit vor der Softwarebereitstellung geleistet wird.

Die Plattform unterstützt auch eine erhöhte Anzahl von Bereitstellungen durch Automatisierungen, ohne dass zusätzlicher Aufwand für die Entwickler(innen) und Administrator(inn)en anfällt. Inzwischen hat die GitLab-Plattform eine bessere Zusammenarbeit zwischen Teams ermöglicht und sie unterstützt echte DevOps-Partnerschaften zwischen den verschiedenen Teams und Gruppen. Die Software bietet Einblick in die Pipeline-Arbeit, die für die Verwaltung des Gesamtbetriebs nützlich ist. Auf diese Weise können sich Teams auch auf Code-Audits vorbereiten. Mit GitLab Ultimate SaaS konnte Dunelm eine Open-Source-Toolchain mit einem praktischen Self-Service-Modell verwalten. Die Plug-and-Play-Integrationen von GitLab mit Tools von Drittanbietern wie Jira, Datadog, Terraform, Slack und anderen bedeuten, dass Teams nicht länger „blind“ sind.

„Wir waren auf der Suche nach einer Plattform, mit der wir nahtlos Pipelines aufbauen können und die von Anfang an über integrierte Sicherheitsfunktionen verfügt“, so Parmar. Das bedeutete, dass die Plattform mit unseren technischen Prinzipien übereinstimmen musste – eine schnelle Feedback-Schleife, kontinuierliche Verbesserung sowie rasche und sichere Bereitstellung von funktionierender Software für unsere Kund(inn)en.“

„Die Benutzeroberfläche von GitLab ist so konzipiert und aufgebaut, dass sie eine End-to-End-Stack-Ansicht bietet. Projekte in GitLab haben eine größere Sichtbarkeit. Ich kann also viel leichter sehen, was passiert, aber wenn ich möchte, kann ich mir nach wie vor die Hände schmutzig machen und mir ansehen, welcher Code produziert wird. Wir veröffentlichen im Allgemeinen mehr qualitativ hochwertige Software mit GitLab“, fügt Parmar hinzu. Er weist auch auf die regelmäßig veröffentlichten Technologie-Roadmaps von GitLab und seinen monatlichen Veröffentlichungszyklus als wichtige Faktoren hin, um sicherzustellen, dass Dunelm an der Spitze der Spitzentechnologie bleibt.

Schließlich hat GitLab noch zu einem hoch geschätzten Vorteil beigetragen: der Zufriedenheit der Entwickler(innen).

„Eine Sache, auf die man hinweisen sollte, ist, dass es Entwicklungsteams glücklicher macht, was wir schon immer erreichen wollten“, sagt Parmar. „Wenn man gute Tools und gute Produkte verwendet, hilft das immer. Wenn Techies es gern verwenden, arbeiten sie glücklicher, intelligenter und effizienter.“