Trilliant和Sonatype生命週期幫助公用事業改善”智慧城市“Sonatype 可以在任何地方運作——自架、雲端或氣隙。Sonatype 的雲端產品可以在 AWS 上找到並託管。
開源元件管理對於能源技術平台至關重要
無論是幫助傳統公用事業公司實施智慧電錶和智慧電網,還是幫助城市實施智慧轉型計劃,Trilliant都擁有透過開放且安全的通訊平台為客戶提供無與倫比的服務的技術。這家位於北卡羅來納州卡里的公司能夠為下一代智慧電網和智慧城市解決方案實現無摩擦的資料交換。 Trilliant 的多技術平台支援能源分配自動化和即時分析,用於優化能源使用,同時在自然災害期間主動提供復原能力。
Trilliant 的先進通訊平台具有高度可擴展性,可協助公用事業公司獲得見解以改善能源分配和效率。客戶使用該平台來降低成本並創造新的收入來源。與大多數現代應用程式一樣,Trilliant 的通訊平台是使用大量開源 (OSS) 和第三方程式庫開發的,使他們能夠大規模開發新的創新。品質與風險管理副總裁Prem Ranganath 了解開源庫為第一線軟體開發人員帶來的難以置信的價值,但他也了解開源元件的不受管理的使用所帶來的隱藏風險。
為了充分利用第三方開源程式庫的力量,Prem 知道 Trilliant 需要一個完全自動化且精確的治理解決方案,該解決方案不是在SDLC 外部運行,而是透過與關鍵工具整合在 SDLC 內部運行。在對不同產品的初步嘗試未達到預期結果後,Prem 和 Trilliant 團隊轉向Sonatype Lifecycle。
「使用 Sonatype Lifecycle」,我們能夠在開發過程中比以往更早地識別風險,尤其是與六個月前相比。 Sonatype Lifecycle 在我們的 DevOps 實踐中運作良好。
PREM RANGANATH
品質與風險管理副總裁
挑戰:擴展開源漏洞監控以滿足不斷成長的客戶群的需求
隨著客戶網路上端點和智慧型裝置數量的增加,Trilliant 確保其平台的安全性和可擴展性非常重要。同事們向 Prem 保證,開源風險正在使用團隊多年前實施的工具在開發生命週期中解決。然而,他很快就意識到該產品存在一些缺陷。最重要的是 Trilliant 團隊需要對他們現有的工具產生的OSS 漏洞警報進行擴展的手動審查。
「我意識到,以前的工具會產生大量數據,但分析數據和對數據採取行動的流程並未整合到開發生命週期中。此解決方案對於威脅識別而言噪音太大。它不是自動化的,需要大量的手動工作才能及時實施更改。”此外,他還描述了“我們之前的解決方案被視為一個單獨的工具,而不是我們流程的一個整合部分。這意味著過度依賴人工和洞察力來識別威脅和漏洞。這反過來又導致問題的修復時間延長,並需要額外的努力來整理大量誤報。
Prem 評估了 Trilliant 的業務需求如何發展,以確保工程團隊能夠跟上高效能創新和安全性的需求。這種轉變的很大一部分是基於精實和敏捷實踐。對 Prem來說,DevOps 不只是工程實踐的集合。相反,它提供了一個框架來推動將安全性轉移到 SDLC 所需的文化變革。
這項轉變的關鍵部分是創建治理控制,以便Trilliant 可以自動調節在 SDLC 的不同階段使用哪些開源軟體元件。「我們意識到需要建立可重複的正式篩選機制,並在我們的軟體供應鏈中建立一套一致的控制措施,以促進開發,」Prem解釋道。
「我們受益於開源元件為我們的開發團隊提供的價值,讓我們的流程和工具與開發管道緊密整合以提供對使用第三方程式庫的潛在風險的按需視圖至關重要。可重複和自動化治理控制的整合代表了我們組織成熟度的變化,使 Trilliant能夠從 DevOps 發展到 DevSecOps,」Prem 指出。
“Sonatype 生命週期已成為我們正在做的事情中極其關鍵的一部分。"
PREM RANGANATH
品質與風險管理副總裁
解決方案:將 OSS 組件智慧無縫整合到開發人員的 IDE 中
Prem 需要找到一種新方法來輕鬆管理對 Trilliant 軟體供應鏈至關重要的開源元件的治理。為了支援 DevOps 轉型,他知道新的解決方案需要儘早整合到整個開發流程中。他也意識到,由於經常使用的元件數量很大,因此需要具有精確元件資訊的自動化解決方案來滿足 Trilliant 的規模要求。他希望確保有一種機制讓開發人員能夠在OSS 品質和安全問題出現時了解這些問題。最後,他希望確保可以指導開發人員採取補救措施,從而有效地消除未來的返工或編碼工作的延誤。
Prem 向工程同事尋求建議。工程部門與Opticca Security有著長期的合作關係,該公司理解該團隊在將外部數據合併到 IDE 時遇到的挫折。 Opticca 推薦了市場上的一些解決方案,包括 Sonatype Lifecycle,用於自動化開源治理。Sonatype Lifecycle 脫穎而出有幾個原因。 Prem 和他的工程同事非常欣賞Sonatype Lifecycle 如何將 OSS 元件智慧無縫整合到開發人員的 IDE 以及Trilliant 開發流程中的其他整合點中。
另一個優點是團隊可以與安全、法律和治理利害關係人合作制定策略以滿足內部和外部要求。透過跨業務工作,Trilliant 可以定義自訂 OSS 策略,以呈現最高品質的元件。實施後,如果在開發人員最初的選擇中發現問題,這些策略可以快速幫助識別替代庫。
Opticca Security 也示範了 Sonatype Lifecycle 如何融入 DevOps 實踐,幫助Trilliant 的團隊以更高的開發速度交付安全程式碼。有了關於每個組件的更準確的報,Sonatype Lifecycle 如何提供團隊需要關注的精確、可操作的信息,就立即引人注目 -消除了所有導致浪費精力的組件噪音。在對 Sonatype、Veracode 和 Synopsys 進行廣泛比較後,很明顯 Sonatype Lifecycle 最適合Trilliant 的 DevOps 轉型。
我喜歡 Sonatype Lifecycle 的一點是它與其他工具整我們已經使用 SonarQube 多年了。但是,將靜態程式碼分析與我們先前的主動威脅識別解決方案整合起來並不是一件容易的事。Sonatype Lifecycle 可與我們已經使用的所有工具配合使用,以創建一流的管道。
結果:快速識別和修復應用程式安全風險
「我認為衡量成功的最簡單標準是我們能夠快速識別和修復應用程式安全風險,以便我們能夠為客戶和監管機構提供客觀的保證,」Prem 在談到Sonatype Lifecycle 時說道。
使用 Sonatype Lifecycle,我們能夠比以往更早地在開發過程中識別風險。透過在開發過程的早期緩解問題,它在 DevOps 實踐中非常有效。借助 Sonatype Lifecycle,我們降低了開發成本並提高了軟體品質。」Prem 繼續說道。 「我認為 Sonatype Lifecycle 是我們正在做的事情中極其關鍵的一部分,因為品質不再是應用程式的功能按預期工作。安全性和性能是定義我們為客戶提供的整體體驗的不可或缺的元素。
最佳的 DevOps 實踐依賴並行工作並整合到交付管道中的多個解決方案。「透過將 SonarQube 與 Sonatype Lifecycle 整合到我們的解決方案交付生命週期中,我們確保有護欄可以快速指導我們的團隊檢查有關其程式碼品質和安全性的情報。護欄與世界一流的情報相結合,使他們能夠及時採取行動,」普雷姆說。「當開發團隊在護欄內操作時,管道會高速運作。當違反政策的情況出現時,團隊會被引導進行更能符合政策的變革,然後工作才能向前邁進。我認為這對我們的客戶來說是最大的好處——我們程式碼的可靠性和安全性從一開始就內建了。
「降低風險是我的業務案例中最重要的部分,其次是 Sonatype Lifecycle 透過減少返工和技術債務來長期節省成本。我不想僅僅因為成本而做出決定。我真的希望 C 級人員以及工程團隊的人員能夠了解,我們將顯著降低風險並提高客戶信心」透過深入的開源治理,Sonatype Lifecycle 幫助 Trilliant 更有效地管理我們的軟體供應鏈。圍繞安全開發和 DevSecOps 提高我們的組織成熟度,引起了各級利益相關者的共鳴。
Sonatype Lifecycle 向我們的組織表明,我們處理的任何非功能性需求(包括安全性)都必須內建。安全性不是您可以附加的東西。為了取得成功,它必須是內建的,從架構到設計,再到編碼和測試。必須考慮 Trilliant 開發管道中、此流程中內建的任何內容,以便有人不必繞道而後退兩步來解決風險。”
他總結道:“只有當工具和 SDLC 集成,並且工具使查看數據、形成見解和及時採取行動的能力民主化時,構建安全性的好處才會顯現出來。”
如今,Sonatype Lifecycle 在整個 Trilliant 的 SDLC 中無縫運行。主動的風險管理方法正在帶來紅利。 Trilliant 能夠更好地優化開發成本、提高彈性並簡化OSS 治理,而不會對創新和敏捷性產生任何影響。Sonatype Lifecycle 與 SDLC無縫集成,並透過嚴格的治理提供客觀保證。這確保了 Trilliant 的軟體平台始終僅由最好的開源程式庫提供支援。