Üzleti probléma

A wizzair.com weboldalon zajlik a Wizz Air jegyértékesítéseinek jelentős része. A rendkívül magas tranzakciószám, a szigorú szabályozási követelmények és az integrált fizetési megoldások miatt kiemelten fontos a biztonság és a stabil működés biztosítása.

A hagyományos biztonsági gyakorlatok ugyanakkor gyakran lelassítják a fejlesztést, és akadályozzák az új verziók kiadását. Az ügyfél ezért olyan megoldást keresett, amely teljes körű biztonsági lefedettséget nyújt a forráskód, a függőségek és a konténerek szintjén, miközben nem gátolja a fejlesztési sebességet.

Megoldás

Az Abesse egy rétegzett DevSecOps stratégiát vezet be, amely a meglévő fejlesztési és üzemeltetési folyamatok, biztonsági kontrollok és üzleti igények átfogó értékelésére és elemzésére épül.

A megoldás az alábbi kulcsfontosságú biztonsági pillérekre épül:

• SCA és licence-ellenőrzés – a fejlesztési folyamat során használt külső függőségek automatikus vizsgálata, a sebezhetőségek és jogi kockázatok korai azonosítása érdekében.

• SAST – testre szabható szabályokon alapuló statikus kódelemzés, amely a kód hibáit és a biztonsági mintázatokat már a build előtt képes felismerni.

• Secret-detektálás – érzékeny adatok (pl. jelszavak, tokenek) kiszivárgásának megelőzése a forráskódban, konfigurációkban és infrastruktúra leírásokban.

• IaC biztonság – az infrastruktúra-mint-kód állományok vizsgálata a hibás konfigurációk és biztonsági hiányosságok korai észlelése érdekében.

• Konténerbiztonság – az alkalmazásokat futtató képfájlok folyamatos ellenőrzése ismert sérülékenységek, rossz konfigurációk és nem megfelelő komponensek szűrése céljából.

A fejlesztési folyamatokat egy sablon alapú, paraméterezhető pipeline támogatja, ahol a biztonsági adatbázisok, a vizsgálati szabályok és konfigurációk központi repository-ból kerülnek betöltésre. Ez biztosítja az egységes biztonsági szintet a különböző repository-k és környezetek között, valamint lehetővé teszi a sebezhetőségek automatikus detektálását és kezelését már a fejlesztési ciklus korai szakaszában.

Eredmények

A bevezetett megoldások teljes körűen lefedik a modern szoftverfejlesztésben alkalmazott legkorszerűbb biztonsági kontrollokat, ideértve a kódelemzést, a függőségek vizsgálatát, a titkok detektálását, a konfigurációs hibák feltárását és a konténersebezhetőségek kezelését.

A biztonsági ellenőrzések teljes mértékben integrálva vannak a CI/CD folyamatokba, ezáltal a fejlesztési ciklus korai szakaszában automatikus visszajelzést adnak, és támogatják a gyors hibajavítást anélkül, hogy lassítanák a fejlesztési ütemet.

Az alkalmazott szoftverkomponensek költséghatékony megoldást nyújtanak nagy kódbázisok esetén is.

A fejlesztők és üzleti szereplők számára a kialakított eszközrendszer és riporting átlátható, jól értelmezhető kimenetet biztosít, ami elősegíti a gyors visszajelzési ciklusokat.

Fontos szempont, hogy a biztonsági ellenőrzések során keletkező adatok kizárólag a vállalaton belül maradnak, és nem kerülnek továbbításra harmadik fél felé, ezáltal megfelelve a szigorú adatbiztonsági és megfelelőségi követelményeknek.