Anduril ist führend bei KI-gestützten Verteidigungslösungen und entwickelt unbemannte Systeme wie Drohnen und U-Boote, um das Leben von Amerikanern zu schützen, die an vorderster Front dienen. Diese geschäftskritischen Lösungen sind auf die sichere, zuverlässige und schnelle Bereitstellung proprietärer Software angewiesen.

Um die höchsten Sicherheits- und Zuverlässigkeitsstandards zu erfüllen, wandte sich Anduril an Chainguard, um seine Software-Lieferkette zu schützen. Jedes Container-Image, das Anduril verwendet, musste frei von bekannten Schwachstellen und bereit für eine schnelle Bereitstellung sein, um missionskritische Verteidigungssysteme zu betreiben, ohne die Innovation zu verlangsamen.

Die Herausforderung

Vor Chainguard war Anduril in einem nie endenden Zyklus der Schwachstellensuche gefangen, um ein Null-CVE-Mandat aufrechtzuerhalten. Die Erfüllung strenger Anforderungen des Kriegsministeriums und der Kundensicherheit bedeutete das Patchen von CVEs in einem schnell wachsenden Bestand an Container-Images. Dieser Aufwand hätte den Aufbau und die Aufrechterhaltung eines umfangreichen Teams erfordert, das sich der Bildhärtung und -sanierung widmet – sowohl für die Vorarbeiten als auch für die laufende Wartung.

Joe McCaffrey, CISO von Anduril, erklärte: „Unsere Fähigkeit, die Sicherheitsanforderungen von DoW und Kunden zu erfüllen, war sehr schwierig, da wir CVEs in großem Maßstab patchen mussten. Und mit der Menge an Software, die wir erstellen, ist es fast unmöglich, dies über alle unsere Container-Images hinweg zu tun, oder wir hätten ein großes Team aufbauen und warten müssen, um dies zu tun. Und daran waren wir nicht interessiert.“

Andurils Hyperwachstum verschärfte die Herausforderung. Amanda Huey, Software Engineer bei Anduril, erklärte: „Da wir so schnell gewachsen sind und unsere Geschäftsbereiche so schnell gewachsen sind, wurde viel Open-Source-Code eingebracht, der vorher nicht auf Schwachstellen überprüft wurde. Das führte nur dazu, dass wir nach der Behebung und dem Patchen weiterhin technische Schulden hatten.“

Was sich mit einer Handvoll Bereitstellungen überschaubar anfühlte, wurde in großem Maßstab unhaltbar: Die Entwicklungszeit für die Produktentwicklung floss in die Schwachstellenarbeit ein, verlangsamte die Bereitstellung von Funktionen und bremste die Dynamik. JP Ratliff, Software Engineering Manager bei Anduril, erklärte: „Das Engineering-Team war so stark belastet, dass wir keine neuen Funktionen liefern konnten.“ Das Team benötigte einen Partner, der sichere Zero-CVE-Container zum Standard machen konnte, damit Entwickler wieder geschäftskritische Funktionen ausliefern konnten.

Die Lösung

Anduril erkannte die Belastung und die Risiken, die mit ihrer einheimischen Image-Pipeline verbunden sind, und wandte sich an Chainguard Containers, um das schwere Heben durchzuführen. Die Time-to-Value für Anduril war immens.

Wie Amanda erklärte: „Mit Chainguard auf die Beine zu kommen, war eigentlich wirklich einfach. Wir konnten nur die zur Verfügung gestellten Unterlagen verwenden. Die Einrichtung dauerte etwa einen Tag und wir konnten Chainguard-Bilder schnell nutzen.“

Die Ergebnisse

Die Partnerschaft mit Chainguard lieferte transformative Ergebnisse für die Sicherheits- und Engineering-Teams von Anduril und veränderte sowohl den Betrieb als auch die Kultur.

Sichere Software mit Geschwindigkeit skalieren

Mit vertrauenswürdigem Open Source von Chainguard haben die Anwendungssicherheits- und Plattformteams von Anduril die technische Arbeit drastisch reduziert. Die Zeit, die zuvor für die CVE-Sanierung, ATO-Prozesse und das Triaging von Kundenscan-Ergebnissen aufgewendet wurde, wurde zurückgewonnen, so dass sich die Ingenieure auf Plattforminnovationen und fortschrittliche Verteidigungstechnologie konzentrieren konnten, anstatt maßgeschneiderte Image-Pipelines zu pflegen.

„Mein Leben hat sich seit der Einführung von Chainguard drastisch verändert. Ich konnte mich mehr auf die Entwicklung von Funktionen und das Entwerfen neuer Funktionen für Anduril konzentrieren als auf das Patchen von Schwachstellen ",sagte Amanda.

Auch die Kultur rund um Open Source hat sich verändert. JP erklärte: „Vor Chainguard waren wir sehr vorsichtig bei der Einführung neuer Open-Source-Container, weil Sie einfach nicht wissen, was Sie bekommen werden. Wenn es jetzt unter dem Chainguard-Schirm versteckt ist, bringen wir es einfach rein. Wir müssen uns darüber keine Sorgen machen, es ist großartig."

Das Build-vs-Buy-Urteil

Das Mitnehmen war klar. Der Versuch, das, was JP als interne "Software-Fabrik" bezeichnete, aufrechtzuerhalten, hätte unzählige Ingenieurstunden für einen marginalen Gewinn verbrannt. Chainguard hat bereits das gebaut, was wir die Chainguard-Fabrik nennen. Intern ist es notorisch schwierig, diese Art von sicherer Software-Pipeline aufrechtzuerhalten, aber mit der Chainguard Factory müssen Unternehmen wie Anduril das Rad nicht neu erfinden und sich auf geschäftskritische Innovationen statt auf Schwachstellen-Triage konzentrieren.

Wie JP es zusammenfasste: „Mach es nicht selbst. Denk nicht einmal darüber nach. Du wirst so viele Ingenieurstunden verlieren, wenn du versuchst, eine Softwarefabrik zu bauen, um damit umzugehen, wenn sie bereits mit Chainguard existiert."