Verwaltung von Drittanbieter-Images in großem Maßstab
Container-Images von Drittanbietern sind die Grundlage moderner Cloud-Infrastrukturen. Sie unterstützen alles, von Basis-Runtimes bis hin zu kritischen Anwendungsabhängigkeiten. Sie stellen zudem eine der komplexesten und am wenigsten verstandenen Quellen für operationelle Risiken dar.
Auf der Chainguard Assemble 2026 habe ich erläutert, wie wir bei Appian die Verwaltung von Drittanbieter-Images in großem Maßstab angegangen sind und wie dieser Prozess unsere Sicherheit, Compliance und Entwicklerproduktivität verändert hat.
Dieser Beitrag spiegelt diese Sitzung wider. Sie können sich die vollständige Aufzeichnung unten eingebettet ansehen.
Die verborgene Komplexität von Drittanbieter-Images
Die meisten Unternehmen verlassen sich stark auf Drittanbieter-Images. Diese Abhängigkeit wächst schnell, wenn Plattformen skaliert werden. Zunächst scheint das Modell unkompliziert. Ein Basis-Image ziehen, darauf aufbauen, auf Schwachstellen scannen und bereitstellen. In großem Maßstab bricht dieses Modell jedoch zusammen.
Jedes Image bringt seine eigene Reihe von Abhängigkeiten, Schwachstellen und Wartungsanforderungen mit sich. Mit der Anzahl der Dienste wächst auch die Anzahl der Images und damit die Anzahl der Probleme, die bewertet und behoben werden müssen. Dies erzeugt einen verstärkenden Effekt. Ein einziges anfälliges Basis-Image kann Dutzende oder Hunderte von nachgelagerten Diensten beeinträchtigen. Jedes einzelne erfordert Untersuchung, Patching und Validierung.
Der operative Aufwand wächst schneller, als die meisten Teams erwarten.
Wenn Skalierung auf Compliance trifft
Für Unternehmen, die in regulierten Umgebungen tätig sind, wird die Herausforderung noch deutlicher.
Bei Appian unterstützen wir Kunden in verschiedenen Sektoren mit strengen Compliance-Anforderungen, einschließlich FedRAMP und anderen Umgebungen mit hohen Sicherheitsanforderungen. Das bedeutet, dass jedes Image strenge Standards für Patching, Härtung und Rückverfolgbarkeit erfüllen muss. Compliance ist keine einmalige Aufgabe. Sie ist ein kontinuierlicher Prozess.
Jeder Neuaufbau, jedes Abhängigkeits-Update und jede neu entdeckte Schwachstelle erzeugt zusätzliche Arbeit. Teams müssen nicht nur nachweisen, dass Systeme sicher sind, sondern auch, dass sie über die Zeit sicher bleiben. Ohne den richtigen Ansatz wird dies zu einem ständigen Kreislauf der Brandbekämpfung.
Die Kosten der Eigenverwaltung
Eine der wichtigsten Erkenntnisse für uns waren die tatsächlichen Kosten der internen Verwaltung von Drittanbieter-Images. Auf dem Papier mag das interne Erstellen und Warten gehärteter Images wie ein vernünftiger Ansatz erscheinen. In der Praxis erfordert es jedoch erhebliche und nachhaltige Investitionen.
Bei Appian schätzten wir, dass der Aufbau eines vollständigen internen Programms ein dediziertes Team von 15 bis 20 Ingenieuren erfordern würde, wobei die laufende Wartung einen permanenten Kostenfaktor darstellt. Selbst dann bliebe es eine Herausforderung, mit Schwachstellenmeldungen, Patch-Zyklen und Compliance-Anforderungen Schritt zu halten. Noch wichtiger ist: Jede Stunde, die mit der Wartung von Images verbracht wird, ist eine Stunde, die nicht für die Entwicklung von Produktfunktionen genutzt wird.
Wie ich während der Sitzung sagte: Der Overhead durch das Patchen und Warten von Drittanbieter-Komponenten beeinträchtigt direkt die Innovationsgeschwindigkeit.
Warum traditionelle Ansätze nicht skalieren
Der traditionelle Ansatz für das Image-Management spiegelt veraltete Praktiken des Schwachstellenmanagements wider. Teams ziehen Images aus öffentlichen Registries, scannen sie, bewerten die Ergebnisse, wenden Patches an und wiederholen den Vorgang. Dieser Ansatz geht davon aus, dass Teams mit dem Volumen an Schwachstellen und dem Tempo der Veränderungen Schritt halten können.
Diese Annahme hält in modernen Umgebungen nicht stand.
Images werden häufig neu erstellt. Abhängigkeiten ändern sich kontinuierlich. Neue Schwachstellen werden täglich bekannt. Statische Scans bieten nur eine Momentaufnahme, während sich das zugrunde liegende Risiko ständig weiterentwickelt. Infolgedessen verbringen Teams mehr Zeit mit Reagieren als mit Verbessern.
Das Modell verlagern
Um dies anzugehen, mussten wir das Modell ändern, anstatt das bestehende zu optimieren.
Der entscheidende Wandel bestand darin, sich von der direkten Nutzung und Wartung von Drittanbieter-Images zu lösen und sich stattdessen auf kuratierte, kontinuierlich gewartete Quellen zu verlassen. Dies verändert den Ort, an dem die Arbeit stattfindet. Anstatt dass jedes Team unabhängig Schwachstellen verwaltet, wird diese Verantwortung zentralisiert und vorgelagert behandelt. Images werden über ihren gesamten Lebenszyklus hinweg gepatcht, gehärtet und gewartet, bevor sie konsumiert werden.
Für Entwicklungsteams wird die Erfahrung einfacher. Ein Image ziehen, verifizieren und bereitstellen. Für Sicherheitsteams verlagert sich der Fokus von ständiger Bewertung hin zur Validierung von Kontrollen und Überwachung der Ergebnisse.
Reduzierung operativer Reibungsverluste
Eine der unmittelbarsten Auswirkungen dieser Verschiebung ist eine Reduzierung der operativen Reibungsverluste. Entwickler müssen keine Zeit mehr damit verbringen, Basis-Images zu bewerten oder wiederholt dieselben Arten von Schwachstellen zu beheben. Sicherheitsteams sind nicht mehr von großen Mengen repetitiver Ergebnisse überwältigt.
Dies hat direkte Auswirkungen auf die Produktivität. Bei Appian ermöglichte die Reduzierung des Verwaltungsaufwands für Komponenten von Drittanbietern den Ingenieuren, sich wieder auf die Entwicklung neuer Funktionen und die Bereitstellung von Mehrwert für die Kunden zu konzentrieren. Dieser Wandel ist messbar. Mehr Zeit für Innovationen führt direkt zu besseren Produkten und einer schnelleren Bereitstellung.
Von der Sicherheitsbelastung zum Geschäftsvorteil
Es gibt auch umfassendere Auswirkungen darauf, wie Sicherheit innerhalb der Organisation wahrgenommen wird. Wenn die Verwaltung von Images von Drittanbietern zu einer ständigen Reibungsquelle wird, wird Sicherheit als Hindernis angesehen. Sie verlangsamt die Bereitstellung und erzeugt Spannungen zwischen den Teams. Wenn diese Belastung reduziert wird, ändert sich die Dynamik. Sicherheit wird zum Wegbereiter. Sie bietet eine stabile, vertrauenswürdige Grundlage, die es Teams ermöglicht, schneller und mit mehr Zuversicht zu arbeiten.
Dies hat auch Auswirkungen auf das Unternehmen. Eine verbesserte Sicherheitslage unterstützt eine schnellere Compliance, einfachere Audits und den Zugang zu regulierten Märkten. Bei Appian trug dieser Wandel dazu bei, die Zeitpläne für die Erfüllung strenger Akkreditierungsanforderungen zu beschleunigen und die Expansion in neue Märkte zu ermöglichen.
Gelernte Lektionen
Die Verwaltung von Images von Drittanbietern in großem Maßstab ist sowohl eine technische als auch eine organisatorische Herausforderung. Sie erfordert ein Umdenken bei der Verantwortlichkeit, eine Verlagerung der Arbeitsabläufe und die Anpassung der Sicherheitspraktiken an die Art und Weise, wie moderne Systeme gebaut werden.
Die wichtigste Lektion ist, dass Skalierung alles verändert. Was für eine kleine Anzahl von Diensten funktioniert, funktioniert nicht für Hunderte oder Tausende. Die zweite Lektion ist, dass der Versuch, das Problem innerhalb jedes Teams unabhängig zu lösen, zu Duplizierung, Inkonsistenz und unnötigen Kosten führt. Die dritte Lektion ist, dass die Verringerung von Reibungsverlusten genauso wichtig ist wie die Risikominimierung. Wenn der sichere Weg auch der einfachste ist, folgt die Akzeptanz ganz natürlich.
Ausblick
Images von Drittanbietern werden ein zentraler Bestandteil der Cloud-nativen Entwicklung bleiben. Die Frage ist nicht, ob man sie verwenden sollte, sondern wie man sie effektiv verwaltet. Organisationen, die das Image-Management als strategische Fähigkeit betrachten, werden besser in der Lage sein, sicher zu skalieren, Compliance-Anforderungen zu erfüllen und die Entwicklergeschwindigkeit aufrechtzuerhalten.
Das Ziel ist nicht, das Risiko vollständig zu eliminieren. Es geht darum, es so unter Kontrolle zu bringen, dass es das Geschäft unterstützt. Wenn dies gut gemacht wird, geht es bei der Verwaltung von Images von Drittanbietern weniger um ständige Nachbesserungen, sondern mehr um den Aufbau einer Grundlage, der die Teams vertrauen können.
Sehen Sie sich hier alle Sitzungen von Assemble on-demand an.
Share this article
Verwandte Artikel
- Maschinenbau
Building the business case for a secure open source supply chain
Adeel Saeed, SVP, CTO, Global Cyber Resilience and Technology Strategy and Execution, Kyndryl
- Maschinenbau
How we automatically test the world's most secure Linux distribution
Dustin Kirkland, SVP of Engineering
- Maschinenbau
Securing the next Moon Age: Automated compliance powers the next giant leap
Collin Estes, Technical Director - NASA's Mission Enabling Services Contract, MRI Technologies
- Maschinenbau
Ship and patch doesn't cut it in the AI era
Dan Lorenc, Co-founder and CEO
- Maschinenbau
Removing supply chain friction: How PeopleTec improved developer productivity with Chainguard
Brandon Heard, Technical Leader, Cloud and Infrastructure, PeopleTec
- Maschinenbau
Breaking the release monolith: How OutSystems platform engineering restored trust in delivery
Maria Chec, Technical Program Manager, OutSystems, and João Brandão, Release Engineering Director, OutSystems