Dirac ist an der Schnittstelle von Cloud-Software und Schwerindustrie tätig. Seine Kunden bauen Flugzeuge, schwere Ausrüstung und andere geschäftskritische Systeme, bei denen Zuverlässigkeit und Sicherheit von entscheidender Bedeutung sind. BuildOS, das Flaggschiffprodukt von Dirac, muss zuverlässig über verwaltete Cloud-Umgebungen, Kunden-Clouds und streng kontrollierte Netzwerke neben Betriebstechnologiesystemen laufen.

Die Herausforderung

Wie viele schnelllebige Startups setzt Dirac stark auf Open Source, von Basis-Images für Sprachlaufzeiten bis hin zu Anwendungen von Drittanbietern für Datenbanken und Observability-Tools. Und während Open Source Dirac befähigt, sich schnell zu bewegen, ohne das Rad neu zu erfinden, war diese Geschwindigkeit mit Kosten verbunden. Im Laufe der Zeit begann die wachsende Anzahl von Schwachstellen in Container-Images und Abhängigkeiten das Team der 20er Jahre zu überholen, um sie zu verwalten, was die Sicherheitswartung zu einer anhaltenden Betriebsbelastung machte.

Für Dirac sind diese Probleme nicht nur interne technische Geräusche. Wie Matthew McSpadden, Security, es ausdrückte: "Für ein Produkt, das in Fertigungsumgebungen läuft, manchmal neben ITAR/CUI-sensiblen Daten oder sicherheitskritischen Prozessen, war das nicht nachhaltig." Schwachstellen und Risiken in der Lieferkette hatten echte Auswirkungen auf Sicherheit und Compliance, insbesondere mit zunehmender Kundenbetrachtung.

Jede Stunde, die damit verbracht wurde, CVEs zu verfolgen, war eine Stunde, die nicht damit verbracht wurde, BuildOS zu verbessern, und reaktive Sicherheitsarbeiten begannen, die Release-Geschwindigkeit und die Auditbereitschaft zu gefährden, als Dirac mit größeren Herstellern zusammenarbeitete. Das Team brauchte einen Weg, um die Schwachstellenoberfläche seiner Bilder standardmäßig zu reduzieren und die Sicherheitsbasis seiner Open-Source-Lieferkette zu erhöhen, damit Sicherheit nicht etwas war, um das sie ständig kämpfen mussten.

Die Lösung

Dirac wählte Chainguard, um die Sicherheitsbasis seiner Software-Lieferkette zu erhöhen, ohne die Entwicklung zu verlangsamen. Das Team benötigte einen Partner, dessen einziger Fokus auf der sicheren Open-Source- und Supply-Chain-Härtung lag, sodass sich die Ingenieure auf den Aufbau und die Verbesserung von BuildOS konzentrieren konnten, anstatt ständig Schwachstellen zu beheben.

Die Breite des Bildkatalogs von Chainguard ermöglichte es Dirac, dienstübergreifend auf gehärtete Bilder mit niedrigem CVE zu standardisieren, wodurch die Schwachstellenoberfläche standardmäßig und nicht durch ständigen manuellen Aufwand reduziert wurde.

Die Einführung war unkompliziert und reibungsarm. „Das Onboarding verlief sehr reibungslos“, erklärte McSpadden. „Da wir bereits weitgehend alpenbasierte Bilder verwendeten, verlief der Übergang unkompliziert und reibungsarm. Darüber hinaus bot das Chainguard-Team einen hervorragenden Onboarding-Support, der uns dabei half, die Plattform schnell und sicher einzuführen.“

Die Ergebnisse

Standardmäßig eine höhere Sicherheitsbasis

Seit der Einführung von Chainguard Containern beginnen die BuildOS-Dienste von Dirac jetzt mit gehärteten, minimalen Bildern, die die Anzahl der bekannten Schwachstellen in seiner Umgebung drastisch reduzieren. Die Sicherheitsarbeit verlagerte sich früher im Lebenszyklus, wodurch die reaktive Behebung reduziert und die Konsistenz über alle Dienste hinweg verbessert wurde.

Die Ergebnisse waren weniger Überraschungen, schnellere Audits und eine viel sauberere Realität für Kunden und Auditoren in Bezug darauf, wie Dirac seinen Open-Source-Stack sichert und kontinuierlich verbessert.

Mehr Zeit für den Bau, weniger Zeit für die Brandbekämpfung

Mit einer stärkeren Grundlage verbringen Ingenieure weniger Zeit mit der Jagd nach CVEs und mehr Zeit mit dem Bau von Funktionen, die den Kunden direkt zugute kommen.

Wie Fil Aronshtein, Mitbegründer und CEO, bemerkte: „Wir verbringen weniger Zeit mit der Brandbekämpfung von CVEs und mehr Zeit mit dem Aufbau von Funktionen, von denen unsere Kunden direkt profitieren.“ Diese Verschiebung führte direkt zu einer schnelleren Iteration und mehr Kapazität, in das zu investieren, was BuildOS einzigartig macht: automatisierte, 3D-Arbeitsanweisungen, modellbasierte Workflows und die Unterstützung von Herstellern bei der Einführung neuer Produkte mit weniger Risiko.

Gestärktes Vertrauen bei Kunden und Auditoren

Chainguard half Dirac auch, das Vertrauen bei Herstellern zu stärken, die in regulierten, sicherheitskritischen Umgebungen tätig sind, und eröffnete neue Einnahmequellen für das Startup. In der Lage zu sein, klar zu artikulieren, wie seine Software-Lieferkette gesichert ist, hat den Ton der Sicherheitsgespräche mit Interessenten im stark regulierten Fertigungsbereich verändert.

Diese Sorgfalt half Dirac, Sicherheitsüberprüfungen zu klären und Geschäftszyklen zu beschleunigen, und stärkte seine Position als seriöser, langfristiger Partner für seine Kunden.

Sicherheit als Innovationsmotor

Vielleicht am wichtigsten ist, dass Chainguard die Art und Weise verändert hat, wie Dirac über Open Source denkt. Anstelle von etwas, das im Nachhinein abgeschlossen werden sollte, wurde es zu einer sicheren, überprüfbaren Grundlage für Innovationen.

Fil fasste zusammen: „Chainguard bietet uns sichere, produktionsbereite Open-Source-Bausteine, damit wir uns auf das konzentrieren können, was wir am besten können: Hersteller dabei zu unterstützen, komplexe Produkte schneller und mit weniger Risiko zu entwickeln. Es ist, als hätte man ein dediziertes Sicherheitsteam für unsere Basis-Images und unsere Lieferkette, ohne dass wir sie intern besetzen müssen.“