Wie CI/CD und robuste Sicherheitsscans den SDLC von Hilti beschleunigen

Hilti ist weltweit führend in der Entwicklung und Fertigung von Spitzentechnologien, Software und Dienstleistungen für das Bauwesen. Ein Sektor von Hilti konzentriert sich speziell auf Tool-Lösungen für Geschäftsbereiche. Dieses Team erstellt Software für Kund(inn)en im Bereich Softwareentwicklungswerkzeuge, die Governance-, Risiko- und Konformitätsvorschriften erfüllt. Hilti stellt sicher, dass die richtigen Verfahren vorhanden sind, um die Einhaltung der Vorschriften in verschiedenen Regionen zu gewährleisten.

Vor etwa zwei Jahren suchte Hilti nach einer Softwareplattform, um seine Projekte neu aufzubauen. Das Unternehmen hatte zuvor eines seiner Softwareentwicklungsprojekte an einen externen Anbieter ausgelagert, da die Softwarefähigkeiten nicht vollständig intern verwaltet werden konnten. Der Quellcode war im Besitz eines Joint Ventures, das GitHub verwendete. Hilti war Mehrheitseigner des Joint Ventures, aber der Quellcode wurde nicht intern gehostet. Es gab kein internes CI/CD und die Teams führten auch keine Sicherheitstests nach den höchsten Standards durch. Diese Situation war schwierig, da sich die Softwareteams vollständige Transparenz und eine umfassende Verwaltung ihres Codes wünschten.

Das Ziel von Hilti war es, die Softwareentwicklung selbst zu übernehmen, damit die Entwicklungs- und Architekturteams ordnungsgemäße Überprüfungen durchführen, tatsächlich zusammenarbeiten und bewährte Methoden mit anderen Teams austauschen können. Da Hilti eine Lösung suchte, die den höchsten Standards entspricht, musste das ideale Tool einfach zu integrieren sowie intuitiv sein und eine nahtlose Integration bieten. „Wir wollten ein Tool unter unseres eigenes Dach bringen, damit wir es unter Kontrolle haben und in Echtzeit verwalten können. Das war wirklich ein großer Schritt nach vorne“, sagte Raphael Hauser, Head of Governance bei Hilti. Sicherheitsscans standen ganz oben auf der Prioritätenliste. Hilti verfügt über 10 bis 15 verteilte Teams, die weltweit parallel an großen Lösungen arbeiten. Die Sicherheit muss unter Kontrolle und aggregiert sein, damit Schwachstellen im Voraus sichtbar sind, wenn ein Software-Release fertiggestellt wird. Hilti benötigte ein Tool mit leistungsstarken und zuverlässigen Sicherheitsfunktionen.

Entwicklungs- und Testteams befanden sich zuvor bei der Fehlerbehebung im „Reaktionsmodus“. Ein Tool, das eine Möglichkeit bietet, Schwachstellen in der Pipeline zu finden, wäre effizienter, würde die Workflow-Geschwindigkeit erhöhen und Entwickler(innen) bei ihrer Arbeit unterstützen. „Ich möchte sicherstellen, dass wir nach der Freigabe eines Pakets für die Produktion keine Codepakete einführen, die letztendlich ein Risiko für Hilti darstellen. Die Offenlegung von Quellcode ist ein Problem der Zugriffssicherheit und kein Problem beim Scannen von Code“, fügte Hauser hinzu.

Nach einer Überprüfung und der Arbeit mit verschiedenen Tools wurde GitLab aufgrund seiner einfachen Integration, seiner SCM-Funktionen und seiner umfassenden Sicherheitsscans eingeführt. GitLab bietet die Funktionen, um hohe Standards bezüglich der Softwareleistung aufrechtzuerhalten und schnell verschiedene Arten von detaillierten Scans bereitzustellen. Hilti verwendet die statischen und dynamischen Anwendungssicherheitstests von GitLab (SAST bzw. DAST) sowie Container-Scans, die Abhängigkeitssuche, die Erkennung von Geheimnissen und die Lizenzkonformität. „GitLab ist der Konkurrenz weit voraus und bietet ein Produkt, das einfach einzurichten und zu nutzen ist und über alle nötigen Funktionen verfügt“, erläuterte Daniel Widerin, Head of Software Delivery.

Hilti muss Compliance-Vorschriften befolgen, einschließlich Lizenzprüfung, Anwendungstests und Quellcodezugriff. Hilti hat sich für GitLab Ultimate entschieden, um Compliance- und Sicherheitsscans nutzen zu können. „In Bezug auf die Risikoverwaltung bestand der Schlüsselfaktor darin, dass wir jetzt viel enger und detaillierter kontrollieren können, wer wirklich Zugriff auf den Quellcode hat und wer den Quellcode verwaltet, und wir haben Einblick in den aktuellen Stand in Bezug auf Sicherheit und IP-Compliance“, so Hauser.

Mit GitLab hat Hilti jetzt vollen Zugriff auf seinen Quellcode und kann ihn ordnungsgemäß verwalten. Dass Hilti selbst der Codeeigentümer ist, senkt das Risiko von Quellcode-Leaks und ermöglicht Codeänderungen. „Ich habe nun einen besseren Einblick, was tatsächlich innerhalb des Codes passiert – und das in Echtzeit. Darüber hinaus kann ich nun Genehmigungen in Bezug auf Sicherheit, Codesicherheit und IP-Compliance schneller erteilen, um dem schnelleren Bereitstellungstempo weiterhin gerecht zu werden“, sagte Hauser.

Die Engineering- und Architekturteams von Hilti verwenden GitLab jetzt für SCM, CI/CD sowie Sicherheitsdashboards, die mit ihrem Technologie-Stack kompatibel sind. Mit GitLab konnten sie Software intern erstellen, und dies schneller, als wenn sie ein kompliziertes Toolset verwendet hätten. Dank der unkomplizierten Integration sind Teams in der Lage, mit Jira, Docker und Amazon Web Services (AWS) zu arbeiten. Alle in GitLab integrierten Dienste, einschließlich Build-Artefakte und Runner, werden auf AWS ausgeführt und in einem Kubernetes-Cluster bereitgestellt.

„GitLab hat mit dem Quellcode wirklich großartige Arbeit geleistet, um direkt nach dem Öffnen des Merge Requests oder nach einem Kommentar oder Push Feedback zu geben“, sagte Widerin. „Damit meine ich, dass man all dies im Grunde nicht selbst entwickeln muss. GitLab ist wie eine Suite gebündelt und wird mit einem sehr ausgeklügelten Installationsprogramm ausgeliefert. Und dann funktioniert es einfach wie von Zauberhand. Das ist sehr schön für Unternehmen, die Software einfach nur zum Laufen bringen möchten.“ Mit GitLab haben sich die Feedbackschleifen um 50 % von 6 auf 3 Tage verkürzt, was zu mehr Effizienz und Zusammenarbeit beiträgt.

Die Teammitglieder wissen zu schätzen, dass die Pipeline direkt in den Quellcode integriert ist und sie sofortiges Feedback aus dem Merge Request erhalten können, einschließlich der Ergebnisse von Sicherheitsscans. „Den Benutzer(innen) gefällt es wirklich, dass es einen zentralen Ort gibt, an dem sie sich anmelden und all die verschiedenen Microservices und Komponenten sehen können, während sie arbeiten, selbst in mobilen Apps und in der Web-Bedienoberfläche“, fügte Widerin hinzu. Die Codeüberprüfungen wurden deutlich von sechs Mal alle drei Monate auf zweimal pro Woche gesteigert, wodurch die hohe Qualität erhalten bleibt.

Die Bereitstellungsgeschwindigkeit hat sich erhöht, da Entwicklungs- und Testteams jetzt die Code-Eigentümer sind und im Voraus erkennen können, ob Schwachstellen vorhanden sind. Die Bereitstellungszeiten sind mit GitLab von durchschnittlich drei Stunden auf nur 15 Minuten gesunken. Benutzer(innen) wissen jetzt genau, was sie für jede Version in Bezug auf den Schweregrad der Schwachstellen innerhalb des Codes akzeptieren. „Wir können kritische Punkte schneller beheben und die Teams gewinnen etwas mehr Stabilität, da sie vor dem Release keine Brände löschen müssen … Dies hilft uns dabei, ihnen einen Überblick darüber zu geben, wo sie stehen, damit sie nach dem Sprint nicht nacharbeiten müssen“, erläuterte Hauser.