Die Herausforderung

CVE-Triage ist keine glamouröse Arbeit. Vor Chainguard beanspruchte sie zudem einen unverhältnismäßig großen Teil der Zeit des Sicherheitsteams von Sublime Security. Jeder neue Schwachstellenbericht löste dieselben Fragen aus: Ist dies in unserer Umgebung erreichbar? Ist es tatsächlich ausnutzbar? Die Antworten erforderten echte Untersuchungen, und das Volumen wuchs stetig.

Als Sicherheitsunternehmen legt Sublime intern die Messlatte höher – der Standard, den sie für ihre eigene Produktionsumgebung setzen, spiegelt denselben Standard wider, den sie ihren Kunden versprechen. Und Unternehmenskunden drängten stark auf Schwachstellenmanagement, forderten SBOMs und Nachweise über aktive Behebungen – das bloße Abhaken einer SOC-2-Anforderung reichte nicht aus.

Andrew Becherer, CISO bei Sublime, erklärte: „Vor Chainguard hatten wir erhebliche Probleme mit der Anzahl der CVEs in unseren Produktionsumgebungen. Mit ihnen Schritt zu halten, war sehr schwierig. Nicht jedes Problem ist gleich, daher mussten wir uns häufig mit allen möglichen Analysen befassen.“

Jonathon Klobucar, Security Engineer bei Sublime, stieß auf das logische Ende dieses Problems: Um Schwachstellen ordnungsgemäß im Griff zu behalten, hätte das Team zu seiner eigenen „Image-Bäckerei“ werden müssen – Open-Source-Images scannen, Upstream-Fixes aufspüren und manchmal Pakete aus dem Quellcode neu erstellen, wenn kein Fix existierte. Das ist eine Vollzeitaufgabe, und Sublime hatte angesichts der Größe ihres Teams nicht das Personal dafür.

Die Lösung

Das Team prüfte den internen Aufbau sowie andere Anbieter, aber beides war nicht die richtige Lösung für Sublime.

Andere Anbieter zogen Images aus dem Upstream, ohne sie zu patchen, was keine große Verbesserung gegenüber dem darstellte, was das Sublime-Team bereits tun konnte. Der interne Aufbau war etwas, das Andrew zuvor in gut ausgestatteten Organisationen unternommen hatte, und er wusste genau, was es an Zeit, Aufwand und Geld kostete.

„Wir suchten nach etwas, das unsere Angriffsfläche minimiert, die Anzahl der Probleme so gering wie möglich hält und für unsere Engineering-Organisation wirklich einfach zu implementieren ist“, erklärte Andrew. „Und genau das haben wir in den Container-Images von Chainguard gefunden.“

Die Einführung von Chainguard-Containern in die Produktion dauerte nur wenige Wochen. Heute läuft die Integration über OpenID Connect (OIDC) und GitHub Actions. Sublime-Ingenieure wählen Basis-Images aus dem Katalog aus, ohne für die Genehmigung den Umweg über die Sicherheit zu gehen.

Die Ergebnisse

Nahezu null CVEs, gewonnene StundenNahezu null CVEs, gewonnene Stunden

Sublime verwaltet die wöchentliche Triage durch rotierende „Runner“, die neue eingehende Aufgaben übernehmen, den Umfang bewerten und Schwachstellen mithilfe interner Tools bewerten. Vor Chainguard beanspruchten Schwachstellen in Container-Images einen erheblichen Teil jeder Triage-Rotation. Die Arbeit war konstant und verdrängte alles andere.

Wie Andrew erklärte: „Das messbarste Ergebnis war eine nahezu 100-prozentige Reduzierung der CVEs in Basis-Images für Teams, die Chainguard intern eingeführt haben.“ Das führt direkt zu einer drastischen Reduzierung des Arbeitsaufwands für Triage, Patching und das Rollout neuer Images.

Jonathon drückt die Zeitersparnis konkret aus:

„Chainguard hat eine große, mühsame Aufgabe, die früher den Großteil der Triage-Schicht einer Person in Anspruch nahm, eliminiert und mindestens 50 % ihrer Zeit für wertvollere Dinge freigesetzt. Es war eine enorme Verbesserung bei der Triage neuer Aufgaben für uns.“

Andrew betont, dass dieses Ergebnis ohne einen Partner wie Chainguard nicht möglich gewesen wäre.

Sicherheitsarbeit, die zählt

Die gewonnene Zeit floss in Sicherheitsarbeit auf Anwendungsebene, die zuvor liegen geblieben war. Da Distroless-Images eine kleinere Software-Oberfläche haben, sind Fehlalarme zurückgegangen, und Scans generieren weniger Warnungen, die sich als irrelevant erweisen.

„Seit der Implementierung von Chainguard“, erklärte Jonathon, „haben wir sowohl einen Rückgang der Fehlalarmberichte gesehen, da unsere Container aufgrund der Distroless-Natur jetzt eine viel kleinere Software-Oberfläche haben.“

Weniger Lärm, weniger Papierkram

Schwachstellenmanagement bringt Sicherheits- und Engineering-Teams oft gegeneinander auf. Die Sicherheit deckt CVEs auf, und das Engineering muss sie beheben, während es alles andere auf dem Tisch hat. Dieses Hin und Her erzeugt oft Lärm und Reibung, aber wenn die Anzahl der Probleme sinkt, ändert sich die Beziehung.

Andrew erklärte: „Wenn diese Probleme in der Produktion nicht existieren, müssen wir nicht darüber sprechen. Und da wir diese Probleme nicht bei unseren Partnern im Engineering ansprechen müssen, reduziert das die Reibung und stärkt wirklich die Botschaften, die wir an sie herantragen, weil wir viel weniger Lärm verursachen.“ Ein Team, das weniger Zeit damit verbringt, auf Lärm zu reagieren, genießt mehr Glaubwürdigkeit, wenn es tatsächlich etwas eskalieren muss, und diese Glaubwürdigkeit wächst mit der Zeit.

Die dynamische Verschiebung erstreckt sich auch auf die Compliance. Wenn kein Fix im Upstream existiert, schreibt Chainguard die Ausnahmedokumentation – eine Aufgabe, die zuvor auf Jonathons Team fiel. SBOM-Daten und Herkunftsnachweise stehen auch Compliance-Teams zur Verfügung, ohne dass sie etwas von der Sicherheit anfordern müssen, was kundenorientierte Audit-Workflows ohne die üblichen Engpässe am Laufen hält.

Für Andrew summieren sich die individuellen Erfolge zu etwas Größerem: ein Sicherheitsteam, das über seinem Gewicht boxt, weil es nicht mehr in Arbeit begraben ist, die seine Aufmerksamkeit nicht erfordern sollte.