Appian ist ein KI-gestütztes Prozessautomatisierungsunternehmen, das Unternehmen dabei unterstützt, komplexe Geschäftsabläufe schnell zu entwerfen, zu automatisieren und zu modernisieren. Ihre Low-Code-Plattform ermöglicht es Kunden aus allen Branchen, einschließlich stark regulierter Sektoren wie dem öffentlichen Sektor, Banken und Finanzdienstleistungen, Unternehmensanwendungen mit der Geschwindigkeit von Ideen zu erstellen.

Die Herausforderung: Komplexität von Open Source im großen Maßstab

Wie die meisten modernen Softwareunternehmen setzt Appian stark auf Open-Source-Komponenten. Mit der Skalierung ihrer Plattform nahm auch die Komplexität ihres Open-Source-Footprints zu und führte zu neuen Herausforderungen beim Management, Triaging, Patchen und Härten von Schwachstellen.

Andrew Cunje, CISO von Appian, drückte es unverblümt aus: „Komplexität im großen Maßstab ohne Lösungen ist Anti-Muster. Die Sicherung einer wachsenden Liste von Open Source hat wertvolle Zyklen unserer Entwickler aufgefressen.“

Für Ingenieure bedeutete diese Belastung weniger Zeitaufwand für die Entwicklung neuer, innovativer Produkte und Funktionen. Abdullah Munawar, Director of Product Security, erklärte: „Die Geschwindigkeit der Innovation wird durch all die Gemeinkosten beeinflusst, die wir aufwenden mussten, um uns die Zeit zu nehmen, diese Komponenten von Drittanbietern zu patchen und zu warten. Die Entwickler waren nicht in der Lage, sich diese Zeit zu nehmen und sie zu nutzen, um durch zukünftige Arbeit Innovationen zu schaffen.“

Das Gewicht der Compliance-Anforderungen, die der Belastung hinzugefügt wurden. Da viele Kunden in stark regulierten Sektoren tätig sind, musste Appian die FedRAMP- und IL5-Standards erfüllen. Abdullah beschrieb die Herausforderung: „Neben allen regulären Sicherheitsanforderungen müssen wir uns auch mit Compliance-Anforderungen befassen, insbesondere mit FedRAMP- und IL-Umgebungen. In diesen Umgebungen wird viel Wert darauf gelegt, diese Bilder rechtzeitig zu patchen und zu härten. Ohne Chainguard zu nutzen, ist es eine schwierige Aufgabe, sie alleine zu erledigen.“

Letztendlich bedeutete dies, dass die Produktinnovation ins Stocken geriet, während sich die Entwicklungsteams auf dringende Sicherheits- und Compliance-Anforderungen konzentrierten.

Die Lösung: Chainguard Container

Angesichts der zunehmenden Komplexität beim Aufbau seiner Produktionsumgebung mit Open-Source-Software (und der hohen Compliance-Belastung) wandte sich Appian an Chainguard Container, um das Risikomanagement zu vereinfachen und Innovationen voranzutreiben. Die Entscheidung, eher eine Partnerschaft einzugehen als ein Golden-Image-Programm im eigenen Haus aufzubauen, war pragmatisch.

Andrew erklärte: „Bei der Entscheidung, ob wir bauen oder kaufen mussten, war die Mathematik einfach. Wir wollten unsere Funktionen nur so schnell wie möglich in die Hände unserer Kunden geben.“

Nachdem er die Open-Source-Sicherheit intern bei einem früheren Arbeitgeber verwaltet hatte, wusste Andrew, was es braucht, um von Grund auf neu zu bauen. Nach seiner Berechnung hätte dieser Aufwand 15-20 Vollzeitingenieure erfordert, und selbst dann hätte Appian Schwierigkeiten gehabt, die Akkreditierungsfristen einzuhalten. Wie er es ausdrückte: "Wenn du diese Art von Zeit widmest und es nicht etwas ist, das du verkaufen wirst, ist das wirklich nur eine Dummheit."

Stattdessen war der Einstieg mit Chainguard Containern schnell und unkompliziert. Abdullah erinnerte sich: „Das Team war äußerst hilfsbereit und bot eine Menge Unterstützung an. Es war so einfach, dass wir Bilder und Versionen anforderten und diese dann herunterholten und in der Lage waren, sie zu verifizieren und in unserer Umgebung bereitzustellen.“

Die Ergebnisse: Mehr Zeit für Innovationen, schnellere Wege zur Compliance

Innovation freigeschaltet

Mit Chainguard reduzierte Appian den Betriebsaufwand drastisch und gab den Ingenieuren die Zeit und den Fokus, wieder innovative Produkte und Funktionen zu entwickeln, die den Umsatz von Appian steigern würden.

Diese Verschiebung hat es dem Unternehmen ermöglicht, schneller neue Märkte zu erschließen. Andrew erklärte: „Als CISO konzentriere ich mich auf Risiken und Einnahmen. Aus Risikosicht sind wir in der Lage, die Wasserlinie anzuheben und schnell neue Märkte zu erschließen. Aus Umsatzsicht gilt: Je mehr Märkte wir erschließen, desto mehr Umsatz können wir erzielen.“

Die Auszahlung ist klar: „Jede Stunde, die wir für Innovationen aufwenden, anstatt sie zu reparieren, sind Einnahmen. Und für mich ist das ein doppelter Sieg."

Compliance ohne Belastung

Chainguard hat Appian auch dabei geholfen, die strengen Standards seiner stark regulierten Kunden mit größerer Leichtigkeit und Zuversicht zu erfüllen.

"Chainguard bietet uns ein erhebliches Maß an Komfort", erklärte Abdullah. „Wir wissen, dass, wenn wir Komponenten von Drittanbietern über Chainguard nutzen, diese gepatcht und gehärtet werden. Und so sind alle unsere IL5- und FedRAMP-Anforderungen erfüllt.“

Heute verfügt Appian über mehr als 30 Compliance-Zertifizierungen, wobei Chainguard diesen Fortschritt und letztendlich den Umsatz beschleunigt. Die Partnerschaft verkürzte auch den Zeitplan für die FedRAMP-Akkreditierung von Appian drastisch, die das Team ursprünglich für mehr als ein Jahr, aber letztendlich nur für ein paar Monate schätzte.

Andrew erklärte: „Bei Appian glauben wir, dass das, was aus Sicherheitsgründen für einen Kunden gut ist, auch für den nächsten gut ist. Und mit Chainguard helfen sie uns, Compliance von einem Blocker in einen Geschäftsvorteil zu verwandeln."

Wie Andrew abschließend feststellte: