Die Herausforderung

Für die Kunden von x-RD in den Bereichen Verteidigung und Regierung sind Sicherheit, Vertrauen und Compliance nicht verhandelbar. Container-Images sind ein entscheidender Bestandteil ihrer sicheren Entwicklungsplattform (secd3v), doch das Ingenieurteam von x-RD verließ sich bisher auf Upstream-Images und verwaltete Patching sowie Wartung intern, was zu operativem Mehraufwand und Inkonsistenz führte.

Wie Daniel Riedel, Gründer und Geschäftsführer bei x-RD, über den Prozess sagte: „Es war sehr ad hoc zwischen verschiedenen Images. Wir haben wo möglich auf Python Slim oder Alpine aufgebaut und eine Reihe verschiedener Ansätze angewandt, um die Schwachstellen zu reduzieren.“

Der Start mit allgemeinen Basis-Images bedeutete, dass das Team Container manuell patchen, abspecken und neu erstellen musste, um strenge Sicherheitsanforderungen zu erfüllen. Dies schuf eine ständige Wartungsbelastung, die zeitaufwendig, inkonsistent und schwer zu skalieren war.

Die Herausforderung war bei KI-Workloads noch ausgeprägter, da komplexere Abhängigkeiten es erschwerten, Sicherheitsanforderungen mit minimalen Basis-Images zu erfüllen. Für das kleine Team von x-RD stellte die Verwaltung der Sicherheitsanforderungen sowohl für allgemeine als auch für KI-spezifische Container, die jeweils ihre eigenen Patching- und Kompatibilitätsherausforderungen mit sich brachten, eine erhebliche operative Belastung dar.

Gleichzeitig führten behördliche Anforderungen zu Einschränkungen: x-RD musste einen minimalen Schwachstellen-Footprint beibehalten und detaillierte Artefakte wie SBOMs, Schwachstellenberichte und Build-Provenienz bereitstellen, um die Zusicherung und Systemakkreditierung zu unterstützen. Dies ist besonders kritisch in Umgebungen, die auf das Infosec Registered Assessors Program (IRAP) ausgerichtet sind, wo Nachweise, Wiederholbarkeit und Kontrollrückverfolgbarkeit für eine formelle Bewertung unerlässlich sind.

Obwohl das Team von x-RD die Container selbst härten konnte, erforderte dies wiederholten manuellen Aufwand und war schwer über Umgebungen hinweg zu standardisieren, insbesondere da die Workloads komplexer wurden.

Die Lösung

x-RD implementierte Chainguard Containers, um die Sicherheit seiner Plattformen für stark regulierte Kunden zu stärken. Durch die Einführung minimaler, kontinuierlich gepatchter Container-Images mit integrierten SBOMs und Provenienz reduzierte x-RD Schwachstellen erheblich und verbesserte gleichzeitig die Ausrichtung an strengen Compliance-Anforderungen, wie IRAP, dem Security of Critical Infrastructure Act (SOCI), den Kontrollen des Information Security Manual (ISM), Essential Eight Maturity Level 2 und höher sowie den Kryptografie-Standards der Australian Signals Directorate (ASD).

Die Ergebnisse

Schnellere Entwicklungszyklen mit einer „Secure-by-Default“-Grundlage

Für x-RD war die Erfüllung minimaler Sicherheitsbenchmarks schon immer für Anwendungen erforderlich, die in Regierungs- und Hochsicherheitsumgebungen eingesetzt werden – ein Prozess, der zuvor ein bis zwei Wochen dedizierten Aufwand erfordern konnte. Obwohl das Team schon lange auf DevSecOps und Shift-Left-Praktiken setzte, waren viele Open-Source-Images nicht von Haus aus sicher (secure-by-default), was zu fortlaufender Nachbesserungsarbeit führte.

Mit Chainguard ändert sich diese Dynamik. Nachdem x-RD mit vertrauenswürdigen, minimalen und kontinuierlich gewarteten Container-Images begonnen hatte, konnte das Unternehmen die Sicherheit noch weiter nach vorne verlagern (shift-left), wodurch Nachbesserungsaufwände reduziert wurden und die Notwendigkeit entfiel, wochenlang Bibliotheken neu zu kompilieren und Schwachstellen zu beheben. Teams wählen einen Container aus dem Katalog aus, testen ihn mit der Anwendung und machen weiter, ohne Wochen mit dem Neukompilieren von Bibliotheken oder dem Beheben von Problemen zu verbringen. Dies führt zu schnelleren Entwicklungszyklen und mehr Zeit, die in die Erstellung statt in die Härtung von Software investiert wird. Dies ist besonders wirkungsvoll in Umgebungen mit hoher Compliance wie Regierung und Verteidigung, wo grundlegende Sicherheit und Rückverfolgbarkeit entscheidend sind.

Reduzierte Betriebs- und Plattformkosten

Für x-RD ist ein wesentlicher Vorteil der Zusammenarbeit mit Chainguard der Wegfall des ständigen Scan-Fix-Rescan-Zyklus, der früher Teil des Ansatzes zur Container-Härtung war. Über die Entwicklerzeit hinaus verursacht dieser Prozess auch erhebliche und oft übersehene Plattformkosten, da Pipelines Images wiederholt im großen Maßstab neu erstellen und scannen.

Durch den Start mit sicheren Images vermeidet x-RD einen Großteil dieser Nacharbeit und die damit verbundenen Plattformkosten.

Rückversicherung für Kunden und ein schnellerer Weg zur staatlichen Compliance

Durch den Einsatz von Chainguard hat x-RD die Zusammenarbeit mit den Assurance-Teams der australischen Regierung und Verteidigung vereinfacht. Da CVE-Daten und unterstützende Nachweise leicht verfügbar sind, können Assurance-Teams den Sicherheitsstatus der Software schnell verstehen und validieren, was den Weg zur Compliance beschleunigt.

Eine echte Partnerschaft

Was als Kunden-Anbieter-Beziehung begann, hat sich zu einer formellen Partnerschaft entwickelt, in der x-RD und Chainguard nun zusammenarbeiten, um die Verteidigungs- und Regierungskunden von x-RD zu unterstützen, für die Sicherheit grundlegend ist.

„Für uns war es eine klare Sache. Nicht nur Chainguard zu nutzen, sondern mit ihnen zusammenzuarbeiten, um die Kundenbedürfnisse zu erfüllen.“