Finfare Financial Inc. ist ein Finanztechnologieunternehmen, das Unternehmen und Verbrauchern hilft, ihr Geld zu vermehren, ihre Ausgaben zu verwalten und die Kontrolle über ihre finanzielle Zukunft zu übernehmen. Da Finfare mit persönlichen Identitäts- und Finanzinformationen umgeht, arbeiten sie in einem stark regulierten Umfeld. Hier sind Sicherheit und Compliance nicht nur Kontrollkästchen, sondern von grundlegender Bedeutung für das Vertrauen der Kunden. Durch die Einführung von Chainguard war Finfare in der Lage, die Compliance aufrechtzuerhalten und gleichzeitig ein neues Maß an Effizienz zu erreichen.

Herausforderung: Reifung von Sicherheit und Compliance bei gleichzeitiger Beibehaltung der Geschwindigkeit

Für Chad Brustin, Vice President of Information Security bei Finfare, bestand die Herausforderung für sein Team in zweierlei Hinsicht: Effiziente Priorisierung von Sicherheitsfixes bei gleichzeitiger Gewährleistung der Entwicklungsgeschwindigkeit. Mit einer hohen Anzahl von Schwachstellen in ihren Container-Images und begrenzten technischen Ressourcen war es für Finfare schwierig, diese beiden Prioritäten ohne erhebliche Kompromisse umzusetzen.

Darüber hinaus war die Erfüllung strenger Compliance-Anforderungen wie PCI, SOC 2 Typ 2 und ISO 27001 entscheidend für die Aufrechterhaltung des Kundenvertrauens und der behördlichen Genehmigung, und Finfare wollte den Auditoren quantifizierbare Sicherheitsverbesserungen präsentieren können.

Lösung: Ein standardmäßig sicherer Ansatz mit Chainguard-Containern

Als Chad Chainguard von seinem DevOps-Team vorgestellt wurde, sah er eine unmittelbare Gelegenheit, seine Auswirkungen zu validieren. Sein Ansatz war einfach: Chainguard Container auf die Probe zu stellen. "Selbst in einem einfachen Proof of Concept können Sie den Wert sofort sehen - führen Sie ihn einfach neben jedem statischen Scan-Tool aus und beobachten Sie, wie viele Schwachstellen dadurch beseitigt werden", sagte Chad.

Juan Diaz, Senior DevOps Engineer, brachte die Lösung schnell zum Laufen. "Der Einsatz von Chainguard-Containern war schnell und unkompliziert", sagte Juan. „Wir haben die Bilder in AWS ECR gepusht, unsere Dockerfiles aktualisiert und ein paar kleinere Änderungen an den Berechtigungen vorgenommen. Das war's — eine aufwandsarme Änderung mit wirkungsvollen Ergebnissen.“

Die Ergebnisse sprechen für sich. Nach der Auswertung der Anzahl der Schwachstellen vor und nach der Bereitstellung führte das Team schnell Chainguard-Container für Node und JDK in 12 Repositories ein. Innerhalb einer Woche war die Transformation unbestreitbar:

Glaubwürdigkeit aufbauen

Sowohl für die Sicherheitsauditoren des Tschad als auch für Finfare war der Wert klar. Mit Chainguard Containers konnte Finfare ihre Sicherheitsverbesserungen auf greifbare, datengesteuerte Weise präsentieren, Compliance-Diskussionen rationalisieren und ihre Sicherheitsreife stärken. Wie Chad sagte: „Ein Auditor wird mich nicht beim Wort nehmen, er möchte die tatsächlichen Daten sehen. Mit Chainguard können wir Tag-über-Tag- und Woche-über-Woche-Scans anzeigen.“ Selbst für diejenigen ohne technischen Hintergrund stellte Chad fest, dass es eine einfache Geschichte war, ihnen die von ihnen vorgenommenen Sicherheitsverbesserungen zu erklären.

Effizienzsteigerung und Kosteneinsparungen

Finfare stellte auch fest, dass das Team den Zeit- und Arbeitsaufwand für das Schwachstellenmanagement reduzieren konnte. Sicherheitsdiskussionen in der Sprintplanung wurden fokussierter, so dass Teams effektiv Prioritäten setzen konnten, anstatt sich von Problemen mit niedriger Priorität verzetteln zu müssen. Chad bemerkte: „Ich kann weniger Zeit mit der Sprintplanung verbringen und über all unsere Schwachstellen sprechen. Chainguard-Container sind eine schnelle Möglichkeit, Boden gut zu machen und Verbesserungen zu zeigen.“

Und während sich Chad wieder auf andere Sicherheitsaufgaben konzentrieren kann, können sich die Softwareentwickler von Finfare auf das konzentrieren, was sie am besten können - Software auszuliefern. Wie Chad sagte: "Chainguard lässt mich mich auf meine Rolle konzentrieren und lässt Entwickler das tun, was sie am besten können."

Zeit- und Arbeitseinsparungen führen direkt zu Kosteneinsparungen. „Wenn man ein komplettes Team von 25 Mitarbeitern, die Sprintplanung für das Schwachstellenmanagement mit 100 $ pro Stunde durchführen, mit der Chainguard-Lizenzgebühr vergleicht, ist der Wert ziemlich einfach“, sagte Chad.

Für Finfare war die Integration von Chainguard in ihre Sicherheitsstrategie ein Wendepunkt. Wie Chad es ausdrückt: "Selbst wenn du zwei Wochen in Folge damit verbracht hast, Schwachstellen zu beheben, wirst du mit Chainguard nicht so viele Siege erzielen wie mit Chainguard." Da Chainguard das schwere Heben übernahm, war Finfare in der Lage, die Compliance-Bemühungen zu rationalisieren, den Auditoren greifbare, datengesteuerte Sicherheitsverbesserungen zu präsentieren und erhebliche Zeit und Ressourcen zu sparen. Wie Chad hinzufügt: "Wenn es Ihr Ziel ist, schnell und sicher nach links zu schalten, ohne die Dinge kaputt zu machen, ist Chainguard ein bewährter Weg, dies zu tun."