Der Dienst an der Verteidigung und stark regulierten Regierungskunden bedeutet, dass Sicherheit und Compliance nicht optional sind. Sie sind von grundlegender Bedeutung. Als GovSignals in hochsichere Bundesumgebungen expandierte, musste das Unternehmen seine Software-Lieferkette sichern, ohne ein kleines Ingenieurteam zu verlangsamen oder langfristige Sanierungsschulden zu übernehmen.

Die Herausforderung

Die Kernideologie von GovSignals ist Beschleunigung über Geschwindigkeit — heute schnell bewegen und sicherstellen, dass sie sich morgen noch schneller bewegen können. Wie Conner Aldrich, CTO und Mitbegründer, erklärte, spielt Open Source eine zentrale Rolle in dieser Strategie und bietet bewährte Grundlagen, auf denen das Team souverän aufbauen kann.

Schon früh wurden GovSignale vor allem in serverlosen Umgebungen eingesetzt. Als das Unternehmen jedoch auf FedRAMP High- und IL5-Bereitstellungen für benachbarte Kunden des Verteidigungsministeriums und des Verteidigungsministeriums (DoD) expandierte, wechselte es zu selbstverwalteten Kubernetes- und Docker-Umgebungen, und die Sicherheitsstandards änderten sich dramatisch.

Für FedRAMP High ist die Behebung von Schwachstellen auf den Betriebssystem- und Basis-Image-Ebenen nicht nur eine Best Practice - es geht um die Tabelle. Selbst eine kleine Anzahl kritischer oder hochgradiger CVEs kann Audits blockieren, Genehmigungen verzögern und Einnahmen zum Stillstand bringen.

Mit einem schlanken Team von weniger als 10 Ingenieuren stand GovSignals vor einem Kompromiss: knappe Engineering-Zeit für die Pflege von Container-Images und die Behebung von CVEs zu investieren oder einen vertrauenswürdigen Partner zu finden, der diese Arbeit kontinuierlich und in großem Maßstab erledigt.

"Technisch können Sie all diese Schwachstellen selbst beheben", erklärte Conner. Aber die Zeitkosten sind enorm, besonders für ein Startup. Diese Zeit wird viel besser damit verbracht, das Produkt zu entwickeln, das unseren Kunden tatsächlich am Herzen liegt.“

Die Lösung

Als GovSignals beschloss, Docker und Kubernetes für seine Hochsicherheitsumgebungen zu standardisieren, bewertete das Team den Markt und entschied sich sofort für Chainguard Container. „Wir haben Chainguard vom ersten Tag an verwendet, als wir uns entschieden haben, Container zu verwenden“, erklärte Conner.

Die Entscheidung wurde von Vertrauen und Erfahrung getrieben. Chainguard wurde von Partnern, die bereits in Bundes- und Verteidigungsumgebungen tätig sind, sehr empfohlen, und das Team erkannte es als einen der vertrauenswürdigsten Partner in diesem Bereich an. Genauso wichtig ist, dass Chainguards Ansatz mit der Art und Weise übereinstimmt, wie die Ingenieure von GovSignals arbeiten wollten. Die Container wurden klar in bestehende GitHub-Workflows, CI/CD-Pipelines und Kubernetes-Bereitstellungen integriert, ohne neue Reibungs- oder Betriebskosten einzuführen.

Das Onboarding war schnell. Am ersten Tag des Zugriffs war das Team in der Lage, Chainguard-Basisbilder auszutauschen und sie in der Inszenierung zu verwenden. Als Chainguard später die Self-Service-Funktion einführte, die es GovSignals ermöglichte, ihre eigenen Images bereitzustellen, beschleunigte sich die Einführung noch weiter, was es dem Team erleichterte, die Nutzung über Umgebungen hinweg zu skalieren und gleichzeitig eine konsistente Sicherheitsbasis aufrechtzuerhalten.

Heute dienen Chainguard-Container als Grundlage für fast alle containerisierten Workloads in den FedRAMP High- und IL5-Umgebungen von GovSignals. Als Kunde von Chainguard Catalog kann GovSignals von über 2.000 verschiedenen Open-Source-Projekten profitieren, die von Chainguard erstellt wurden, um sicherzustellen, dass jeder Anwendungsfall adressiert wird. Durch die Standardisierung auf vertrauenswürdige, minimale Basis-Images, die von Chainguard verwaltet werden, eliminierte das Team eine Hauptquelle für Schwachstellenrisiken und bewahrte gleichzeitig die Entwicklererfahrung, die erforderlich ist, um in stark regulierten Umgebungen schnell voranzukommen.

Über das Produkt selbst hinaus trägt das Chainguard-Team aktiv zum Erfolg der GovSignals-Teams bei. Vom Onboarding bis hin zu alltäglichen Fragen arbeiten Conner und das Team eng mit ihren Chainguard-Account- und Support-Teams zusammen und kombinieren starke technische Anleitung mit einer intensiven, reaktionsschnellen Partnerschaft.

Die Ergebnisse

Von über10.000 CVEs zu einer sauberen Sicherheitsbasis

Die Auswirkungen waren sofort und messbar. Über die Basisbilder von GovSignals hinweg reduzierte das Team mehr als 10.000 CVEs auf Null, hauptsächlich durch die Standardisierung auf Chainguard-Container. Alle verbleibenden Schwachstellen waren mit Abhängigkeiten auf Anwendungsebene verbunden, nicht mit dem zugrunde liegenden Betriebssystem, erklärte Conner.

Diese saubere Grundlage ermöglichte es GovSignals, einen hochautomatisierten Sicherheitsworkflow aufzubauen, ohne im Lärm zu ertrinken. Das Scannen von Schwachstellen wurde sinnvoll statt überwältigend, so dass sich das Team auf das tatsächliche Risiko konzentrieren konnte, anstatt endlosen Behebungsaufgaben nachzugehen. Chainguard wurde sauber in die benutzerdefinierte CI/CD-Pipeline von GovSignals integriert, unterstützt automatisierte Scans bei jeder Pull-Anforderung und ermöglichte eine schnellere, sicherere Behebung, wenn Probleme auftraten.

FedRAMP High als Umsatztreiber

Diese verbesserte Sicherheitslage spielte eine entscheidende Rolle bei der Erreichung der FedRAMP High Authorization von GovSignals, die eine völlig neue Klasse von Kunden erschloss, darunter Organisationen, die ausschließlich mit dem DoD arbeiten und mit Controlled Unclassified Information (CUI) umgehen. Mit FedRAMP High war GovSignals in der Lage, sowohl bestehende Geschäftsbeziehungen zu erweitern als auch neue Kunden zu gewinnen, die in großem Umfang auf Bundesebene tätig waren.

Wie Conner erklärte, hat Sicherheit nicht nur Reibung beseitigt; es hat aktiv Geschäfte abgeschlossen. „Ein Fortune-500-Verteidigungsunternehmen ging davon aus, dass ein Startup seine Sicherheitsanforderungen nicht erfüllen konnte. Als sie sahen, dass wir auf dem richtigen Weg zum FedRAMP High waren, wurde es zum entscheidenden Faktor. Dieser Deal wurde aus Sicherheitsgründen geschlossen."

Für GovSignals war Sicherheit keine Risikominderung mehr, sondern ein Wachstumsmotor mit einem klaren Return on Investment. "Sicherheit blockierte keine Deals; es war die Freischaltung für ein ganzes Marktsegment, das wir sonst nicht anfassen konnten", sagte Conner.

Heute arbeitet GovSignals mit großen Unternehmen zusammen, die Milliarden von Dollar an Bundesvertragseinnahmen verwalten. Das Erreichen von FedRAMP High verwandelte Compliance von einem Gating-Faktor in einen Wachstumshebel und ermöglichte es dem Unternehmen, einige der sicherheitssensibelsten Kunden in der Regierung zu bedienen.

Mehr Innovation, weniger Sanierung

Das Erreichen dieses Sicherheits- und Compliance-Niveaus ging nicht auf Kosten der Engineering-Geschwindigkeit. GovSignals vermied es, knappe technische Ressourcen für die fortlaufende Containerhärtung und die Behebung von Schwachstellen aufzuwenden. Stattdessen konzentriert sich das Team weiterhin darauf, Produkte zu entwickeln, die Automatisierung zu verbessern und die Plattformfunktionen für seine Kunden zu erweitern.

Chainguard hat auch das Denken des Teams über Open Source in großem Maßstab neu gestaltet. GovSignals hat das Vertrauen gewonnen, dass Open-Source-Software in Kombination mit einer sicheren, gut gewarteten Grundlage die anspruchsvollsten Sicherheitsanforderungen des Bundes erfüllen kann, ohne die Innovation zu verlangsamen.

Gemeinsam ermöglichten die Ergebnisse es GovSignals, schneller zu wachsen, stärker regulierte Kunden zu bedienen und die Startup-Dynamik aufrechtzuerhalten, während gleichzeitig der von der US-Bundesregierung geforderte Sicherheitsstandard eingehalten wurde.