Onebrief entwickelt geschäftskritische Kollaborationssoftware für das US-Verteidigungsministerium (DoD), auch als Kriegsministerium (DoW) bezeichnet, und andere Bundeskunden, die ein Höchstmaß an Sicherheit gewährleisten müssen. Mit einer technischen Umgebung, die in getrennten, luftgetrennten Systemen betrieben werden muss, und einem Kundenstamm, der strenge Compliance erfordert, steht das Team von Onebrief vor einigen der komplexesten Infrastrukturherausforderungen.

Der leitende Infrastrukturingenieur Nick Wade fasste es so zusammen: „Aufgrund der DoW-Kunden, die wir bedienen, sind Compliance und Sicherheit nicht nur Lippenbekenntnisse. Sie stehen im Mittelpunkt unserer Arbeit.“

Die Herausforderung

Die Software von Onebrief muss die kompromisslosen Standards des DoD erfüllen. Jede Bereitstellung muss strenge Compliance-Frameworks wie DoD IL5, NIST 800-53 und FedRAMP erfüllen, die alle strenge SLAs für die Behebung von Schwachstellen und die Durchsetzung von FIPS-validierter Kryptographie erfordern.

Für Ingenieure bedeutet dies, jede Abhängigkeit anhand der FIPS-Anforderungen zu validieren, SBOMs zu generieren, saubere Sicherheitsscans zu erstellen und monatliche Überprüfungen mit autorisierenden Beamten durchzuführen. Diese Anforderungen sind keine gelegentlichen Kontrollkästchen; sie sind eine ständige Präsenz in der täglichen Arbeit des Infrastrukturteams.

Gleichzeitig muss die Plattform von Onebrief in geschäftskritischen, luftgetrennten Umgebungen betrieben werden, in denen externe Konnektivität keine Option ist. Das bedeutet, dass das Team einen weitläufigen Open-Source-Stack selbst verwalten muss, ohne auf externe Dienste angewiesen zu sein. All diese Software gepatched, konform und konsistent über segmentierte Kundenbereitstellungen hinweg zu halten, führte zu erheblicher Komplexität und verbrauchte wertvolle Engineering-Stunden.

Vor der Einführung von Chainguard könnte sogar ein einziger CVE die Dynamik des Teams entgleisen lassen und Ingenieure zwingen, nach Patches zu suchen, Overlays anzubringen und Container wieder aufzubauen, nur um eine Reparatur durch die Tür zu bekommen. „Wir haben viel mentalen Aufwand für den Patching-Prozess selbst aufgewendet, anstatt uns auf das zu konzentrieren, was wirklich wichtig ist: die Lieferung der Reparatur, damit unsere Kunden weiterarbeiten können“, erklärte Nick.

Anstatt sich auf das zu konzentrieren, was sie am besten können, und Kollaborationssoftware für militärische Befehle zu entwickeln, wurde das Team durch Compliance-Overhead, Open-Source-Ausdehnung und ständiges Schwachstellenmanagement gebremst.

Die Lösung

Nach einem ersten Versuch wandte sich Onebrief an Chainguard Containers, um die Komplexität zu reduzieren und den Overhead und die technische Arbeit auszulagern.

Was als einmaliger Kauf begann, wurde schnell zu einem Muster. „Wann immer wir ein neues Bild brauchten, hatte Chainguard es bereits gehärtet. Chainguard liefert schnelle, zeitnahe Patches, daher war es einfach sinnvoll, sich mit ihren Container-Bildern einzulassen, damit wir uns auf unsere Kernkompetenzen konzentrieren konnten “, erinnerte sich Nick.

Dieses Muster veranlasste Onebrief, von einmaligen Bildimplementierungen auf den vollständigen Zugriff auf den Chainguard-Container-Katalog zu erweitern und dem Team so ohne Verzögerung jedes sichere, vorab gepatchte Bild zu geben, das sie brauchten. Wie Nick es ausdrückte: „Melden Sie mich an. Wir werden alles bewegen."

Die Annahme war unkompliziert: „Für die meisten Abhängigkeiten war es ein einfacher Tausch, in unserem Image-Repo auf cgr.dev zu zeigen, und die meisten Dinge funktionierten einfach“, sagte Nick. Die Migration zu den FIPS-konformen Bildern und Helm-Diagrammen von Chainguard erforderte nur geringfügige Anpassungen.

Die Ergebnisse

Durch die Umstellung von manuell gepatchten Open-Source-Containerbildern auf die kontinuierlich aktualisierten Secure-by-Design-Bilder von Chainguard hat das Infrastrukturteam von Onebrief die sichere Bereitstellung von Software für hochkarätige Bundeskunden grundlegend geändert.

Schnelleres Patchen und geringerer Betriebsaufwand

Mit Chainguard verliert das Engineering-Team von Onebrief keine Tage mehr, um Patches zu jagen und Container wieder aufzubauen. Wichtige Schwachstellen, die früher drei bis fünf Tage brauchten, um behoben zu werden, werden jetzt innerhalb von Stunden, oft in etwas mehr als sechs bis zwölf, behoben. Nick merkte an, dass Chainguard konsequent gepatchte Gebäude schnell versendet und das, was früher "Bleistift-Down" -Feuerübungen waren, in einen vorhersehbaren, stressarmen Prozess verwandelt.

Reduzierte Compliance und Audit-Belastung

Chainguards gehärtete, minimale Bilder vereinfachen SBOMs und Audits, so dass es einfach ist, genau zu erklären, was sich in jedem Container befindet und warum. Diese sauberere Software-Lieferkette macht monatliche Überprüfungen und regelmäßige Sicherheitsscans effizienter und gibt gleichzeitig DoD-Kunden und genehmigenden Beamten mehr Vertrauen in die Fähigkeit von Onebrief, eine gehärtete Umgebung aufrechtzuerhalten. Nick merkte an, dass Chainguards effiziente Patch-Bereitstellung das Team auf eine starke Basis stellt, wenn es um die kontinuierliche Bereitstellung oder Zero Trust-Initiativen mit Beamten geht.

Mehr Zeit für geschäftskritische Innovationen

Chainguard befreite auch die Ingenieure von Onebrief von einem ständigen Zyklus von Patching und Schwachstellenmanagement. Nick schätzte, dass es vier Vollzeit-Entwickler benötigen würde, um das Maß an Sicherheit und Reaktionsfähigkeit zu replizieren, das Chainguard bietet, Ressourcen, die das Unternehmen jetzt auf seinen wahren Wert umleiten kann: die Bereitstellung grundlegender Kollaborationssoftware für militärische Workflows und Entscheidungsfindung.

Wie Nick es ausdrückte, ist der kulturelle Wandel klar: Ingenieure fragen nicht mehr "Wie beheben wir das?", sondern konzentrieren sich stattdessen auf "Wie können wir das einsetzen?" Da Compliance und Sicherheit optimiert sind, verbringt das Team mehr Zeit mit Innovationen und weniger Zeit mit der Brandbekämpfung.

Ein strategischer Wandel

Chainguard hat nicht nur die Sicherheitslage von Onebrief verbessert, sondern auch die Art und Weise verändert, wie das Team über die Produktentwicklung denkt. "Hat Chainguard eine FIPS-Version?" ist fast zum Slogan des Infrastrukturteams geworden ", sagte Nick. "Wenn ja, können wir weitermachen."