FedRAMP-Schwachstellen-Scan-Anforderungen erklärt
Bundesbehörden können laufende Risiken nur beurteilen, wenn Sie ihnen zuverlässige Scandaten zur Verfügung stellen. Ohne sie beruht Ihr gesamtes FedRAMP-Anwendungspaket auf unvollständigen Informationen, und Sie laufen Gefahr, die Berechtigung zum Betrieb (ATO) zu verlieren. Das FedRAMP-Framework behandelt Schwachstellenscans als primären Input für seine Anforderungen an die kontinuierliche Überwachung (ConMon). ConMon erwartet wiederkehrende Beweise dafür, dass Systeme gepatcht und gehärtet sind und sich in Übereinstimmung mit der Dokumentation im Rest Ihres Compliance-Pakets verhalten, insbesondere mit dem System Security Plan (SSP).
Anforderungen an das Scannen sind in diesem Zusammenhang präskriptiv. Sie sagen Ihnen, wo Sie scannen müssen, wie oft, was Sie melden müssen und wie schnell Probleme gelöst werden müssen. Die Erwartungen sollen eindeutig sein, damit sich die Teams zuverlässig auf die betriebliche Belastung vorbereiten und damit umgehen können, die die FedRAMP-Compliance Monat für Monat mit sich bringt. Dieser Artikel bietet diese Aufschlüsselung auf einfache, benutzerfreundliche Weise. Wenn Sie mehr über die FedRAMP-Compliance erfahren möchten, können Sie mit unserem FedRAMP-Compliance-Übersichtsartikel beginnen.
Was ist FedRAMP-Schwachstellen-Scanning?
FedRAMP verwendet den Begriff „Vulnerability Scanning“ eng und präzise. Im Gegensatz zu einigen anderen Sicherheits-Compliance-Regelungen wird von Ihnen erwartet, dass Sie sich genau an die Struktur und Richtung halten. Wenn Sie nur Ihre Unternehmensrichtlinien und Best Practices aktualisieren, kommen Sie mit FedRAMP nicht sehr weit.
In diesem Zusammenhang bedeutet Schwachstellenscannen, dass Sie authentifizierte, wiederkehrende Scans jedes in den Geltungsbereich fallenden Systems durchführen, um bekannte häufige Schwachstellen und Gefährdungen (Common Vulnerabilities and Exposures, CVEs) und Konfigurationsprobleme zu identifizieren. Das ist alles im Umfang, einschließlich Container, Hosts, Registries, Images, VMs und unterstützende Komponenten. Diese Ergebnisse bilden die Evidenz für die kontinuierliche Überwachung, Aktionspläne und Meilensteine (POA&Ms) und Risikoüberprüfungen. Scandaten müssen kryptografisch und direkt an die in Ihrer Autorisierungsgrenze und Ihrem Inventar definierten Assets gebunden sein.
In der Praxis bedeutet dies, dass Ihr Scannen zu einer Betriebsdisziplin und nicht zu einem technischen Ad-hoc-Schritt werden muss. Jede Image-Version, Konfigurations-Baseline und Software-Komponente muss automatisiert, wiederholbar und vorhersehbar nachvollziehbar und scannbar sein. FedRAMP erwartet, dass dieser Prozess während der gesamten Laufzeit Ihrer Betriebsgenehmigung stabil bleibt.
Dieser Kontext hilft, die meisten expliziten Richtlinien des Programms zu erklären und zu formulieren, insbesondere die Betonung der Scanhäufigkeit, der strengen Fristen und der authentifizierten Ergebnisse.
Warum ist das Scannen von Schwachstellen wichtig?
FedRAMP legt so viel Gewicht auf das Scannen von Schwachstellen, weil es eines der am häufigsten wiederkehrenden Signale ist, die Agenturen über den tatsächlichen Zustand Ihres Systems erhalten. Sie werden wahrscheinlich mindestens monatlich (aber in der Regel häufiger) scannen; die meisten anderen Signale werden nur während Ihrer ersten ATO-Anwendung und dann jährlich überprüft. Scans überprüfen, ob Patches unter SLA angewendet wurden, ob Härtungsmaßnahmen wirksam sind und ob Komponenten von ihrer genehmigten Konfiguration abweichen.
Als Cloud-Service-Provider (CSP) verlassen Sie sich wahrscheinlich sehr stark auf Partner, Cloud-Dienste von Drittanbietern und Open-Source-Software in einer dynamischen Mischung, in der Schwachstellen ein ständiger Bestandteil der Betriebsumgebung sind. Wenn die Signale Ihrer Scans schwach oder inkonsistent werden, gehen die Prüfer davon aus, dass die Risiken für Ihre Systeme zunehmen, und handeln proaktiv, um Bundesorganisationen zu schützen, bevor tatsächlich etwas „Schlimmes“ passiert. Dies kann zu einer Überprüfung bei zukünftigen Audits, zur Aussetzung Ihrer Betriebsbehörde (Authority to Operate, ATO) oder zu beidem führen.
Scan-Ergebnisse informieren und initiieren Updates für POA&Ms, monatliche ConMon-Berichte und letztendlich die Entscheidung, eine Autorisierung beizubehalten oder auszusetzen. Fehlende Scans, veraltete Befunde oder unvollständige Abdeckung gelten als Risikoindikatoren. Dies sind einige der Hauptgründe für die strikte Durchsetzung der Regeln des Programms in Bezug auf Umfang, Häufigkeit und Behebungsfenster.
Von dir wird erwartet, dass du reagierst, indem du das Scannen in eine fortlaufende betriebliche Anforderung umwandelst, die den offiziellen Regeln für die Durchführung des Scannens entspricht.
Offizielle FedRAMP-Schwachstellen-Scan-Anforderungen
FedRAMP veröffentlicht explizite Regeln für die Durchführung und Meldung von Schwachstellen-Scans. Diese Regeln knüpfen über die CA-7-Steuerung direkt an den ConMon-Zyklus an. In NIST SP 800-53, auf dem FedRAMP aufbaut, konzentriert sich die CA-Kontrollfamilie auf die Sicherheitsbewertung und -autorisierung. Sie werden sich mit CA-7 vertraut machen, da es die Steuerung ist, die das Scannen mit ConMon verbindet und den Behörden hilft, zu bestimmen, ob ein System wartbar und risikoarm ist. Jeder CSP muss diese Anforderungen konsequent befolgen und sie in allen Aspekten erfüllen, einschließlich Umfang, Kadenz, Authentifizierung, Behebung, Berichterstattung und Dokumentation.
Diese Anforderungen bilden die Grundlage, die Auditoren bei der Überprüfung monatlicher Einreichungen verwenden.
Der Umfang des Scannens
von FedRAMP erfordert eine vollständige Abdeckung aller Assets innerhalb der Autorisierungsgrenze, einschließlich Container-Images, Hosts, Registries, VMs und Anwendungskomponenten. Jedes Asset muss im Inventar dargestellt und klar und eindeutig abgebildet werden; Assets sollten nicht miteinander verwechselt werden. Kryptographie innerhalb der Grenze muss FIPS 140-2/140-3 validiert sein.
Scanfrequenz und -trittfrequenz
Erwarten Sie, dass Sie sehr häufig scannen. Monatliches Scannen ist obligatorisch. Zusätzlich zu den obligatorischen monatlichen Scans müssen Sie auch eine nach größeren Änderungen, neuen Bereitstellungen oder Updates durchführen, die sich auf Ihren Sicherheitsstatus auswirken.
Authentifizierte vs. nicht authentifizierte Scans
Authentifizierte Scans sind die Standarderwartung und zeigen, dass jeder Scan so tief wie technisch möglich gegangen ist. Erwarten Sie, dass Scanner uneingeschränkten Zugriff auf das gesamte System haben, das sie scannen sollen. Sie können als seltene Ausnahme einen Fall machen und ein nicht authentifiziertes Scannen rechtfertigen (z. B. wenn ein Zugriff mit Anmeldeinformationen überhaupt nicht möglich ist). Aber zählen Sie nicht darauf, dass es zulässig ist.
Behebungsfristen
Sie müssen die Feststellungen zu streng erzwungenen, auf der Schwere basierenden Fristen korrigieren: 30 Tage bei Problemen mit hohem Schweregrad, 90 Tage bei Problemen mit mittlerem Schweregrad und 180 Tage bei Problemen mit geringem Schweregrad. Die Uhr startet entweder, wenn ein Problem live in der Produktion ist oder wenn Sie zum ersten Mal darauf aufmerksam werden (z. B. durch Erhalt einer Benachrichtigung über ein CVE von einem Lieferanten), je nachdem, was zuerst eintritt. Die Uhr lässt sich problemlos starten, auch wenn Ihr Scanner noch nicht läuft.
Berichtspflichten
Jeden Monat müssen CSPs die Scan-Ergebnisse den zuständigen Auditoren - d. h. Ihrer Autorisierungsbehörde (AO) und/oder dem Joint Authorization Board (JAB) - über ihre dedizierten ConMon-Kanäle übermitteln. Stellen Sie sicher, dass Sie Scan-Ergebnisse, Systemdeltas und POA&M-Updates einschließen. Berichte müssen alle Assets und alle Ergebnisse ohne Filterung widerspiegeln.
Asset-Identifikation
Jeder gescannte Artikel muss direkt einer eindeutigen Kennung in der FedRAMP-Steuerung für den Asset-Inventar, bekannt als CM-8, zugeordnet werden. (Es ist Teil der NIST SP 800-53-Kontrollen von FedRAMP in den Anforderungen.) Es enthält eine maßgebliche Liste aller Assets, die für die FedRAMP-Genehmigungsgrenze relevant sind. Bei Containern umfasst dies Bildfamilien, Übersichten und Versionslinien.
Dokumentation und Nachweise
CSPs müssen Scan-Ausgaben, SBOMs, Korrekturnachweise und Nachweise aufbewahren, die jede feste CVE mit dem entsprechenden Asset verknüpfen.
Häufige Herausforderungen bei der Erfüllung der FedRAMP-Scananforderungen
Auf dem Papier sind die Scanregeln von FedRAMP klar. In der Praxis stoßen Teams jeden Monat auf die gleichen betrieblichen Hindernisse. Große Umgebungen, inkonsistente Lagerbestände und die Zersiedelung von Containern erschweren die termingerechte Erstellung vollständiger, authentifizierter Scans. Viele Teams haben auch Schwierigkeiten, die Scan-Outputs mit dem CM-8-Inventar in Einklang zu bringen, was zu sofortigen Audit-Reibungen führt.
Große CVE-Backlogs und Alert Fatigue
Container-Bilder ziehen oft Hunderte von vererbten CVEs an. Wenn sich diese Ergebnisse ansammeln, wachsen POA&Ms schneller, als Teams sie reduzieren können, und es wird schwierig, die SLAs für Abhilfemaßnahmen einzuhalten.
Tool-Sprawl und Integrationslücken
Verschiedene Scanner führen zu inkonsistenten Ergebnissen, insbesondere bei Registrierungs-, Host- und Laufzeitscans. Diese Diskrepanzen verlangsamen die monatliche Berichterstattung und erzwingen einen manuellen Abgleich.
Compliance-Verzögerungen und Prüfungsvorbereitungsaufwand
Unvollständige Beweise, nicht übereinstimmende Asset-Identifikatoren und Versionsdrift verlängern die Zeit, die für die ConMon-Überprüfungen benötigt wird. Teams versuchen oft, Korrekturnachweise, Artefaktüberlieferungen und Konfigurationsbasislinien zusammenzustellen.
Bestandsinkongruenzen und CM-8-Drift
Viele Teams haben Schwierigkeiten, ihre Scan-Ergebnisse mit dem CM-8-Asset-Inventar in Einklang zu bringen, insbesondere in containerisierten Umgebungen, in denen Bilder häufig neu erstellt oder neu bereitgestellt werden. Kennungen können fehlende Assets sein, doppelte Einträge enthalten oder veraltete Bildlinien aufweisen. Dies würde zu einer Nichtübereinstimmung mit dem Inventar führen, und die Prüfer werden die Scans als unvollständig behandeln. Unvollständige Scans verursachen Rescan-Zyklen, POA&M-Erweiterung und erweiterte ConMon-Überprüfung. Es ist eine der häufigsten Ursachen für Scanfehler.
Härtung und Konfigurationsdrift
FedRAMP erwartet, dass Scans bestätigen, dass gehärtete Basislinien, Scannereinstellungen und Konfigurationen mit den im SSP beschriebenen übereinstimmen und die DISA-Stig-Härtungs-Benchmarks erfüllen oder übertreffen. Diese Basislinien driften in realen Umgebungen schnell. Kleine Änderungen können die Ausrichtung durchbrechen und neue Sicherheitsergebnisse einführen. Auditoren kennzeichnen diese Unstimmigkeiten sofort und verlagern so den Aufwand für die Behebung, da jede Abweichung vor der Einreichung begründet oder korrigiert werden muss.
Best Practices für das Bestehen von FedRAMP-Schwachstellenscans
Die Kernherausforderung in FedRAMP ergibt sich aus der Anforderung, jeden Monat konsistent prüfungsreife Ergebnisse zu erzielen. Teams, die ihre Arbeitsabläufe standardisieren, die Erfassung von Beweisen automatisieren und die Anzahl der Probleme minimieren, die überhaupt auftreten, haben die besten Erfolgsaussichten. Diese Praktiken reduzieren die Audit-Reibung und halten die Sanierungsfenster überschaubar.
Automatisieren Sie Scans und die Sammlung von Beweisen
Integrieren Sie Registry-, CI- und Host-Scans, um Ergebnisse nach einem vorhersehbaren Zeitplan zu erzielen. Erfassen Sie automatisch Scanprotokolle, SBOMs und Zeitstempel, damit ConMon-Übermittlungen nicht auf manuelle Erfassung angewiesen sind.
Priorisieren Sie die Behebung nach Schweregrad und Fristen
Verfolgen Sie die Ergebnisse innerhalb der 30-, 90- und 180-Tage-Fenster und stellen Sie sicher, dass schwerwiegende Probleme umgehend behoben werden. Dies reduziert das POA&M-Wachstum und richtet die Sanierungsarbeiten an den FedRAMP-Erwartungen aus.
Kontinuierliche Überwachung von Containern und Registern
Verwenden Sie unveränderliche Übersichten und automatisierte Neuerstellungen, um sicherzustellen, dass jede Image-Version nachvollziehbar ist. Die kontinuierliche Überwachung verkürzt die Erkennungszeit und verhindert, dass Schwachstellen unbemerkt altern.
Verwenden Sie standardmäßig sichere Komponenten, um die Exposition zu reduzieren
Minimale "goldene" Bilder, die explizit auf konforme Weise gehärtet werden, sind eine branchenübliche Lösung für viele dieser Probleme. Sie reduzieren die Anzahl der vererbten CVEs und minimieren das Scannerrauschen. Solche standardmäßig sicheren Komponenten beschleunigen die monatlichen Überprüfungen und verbessern die Chancen, die Sanierungs-SLAs zu erfüllen.
Vereinfachen Sie das FedRAMP-Schwachstellenmanagement mit Chainguard
Die Einhaltung von FedRAMP beginnt damit, dass Schwachstellenscans jeden Monat sauber, vollständig und authentifiziert bleiben. Es kann eine echte Belastung sein, die mit der Zersiedelung von Werkzeugen, widersprüchlichen Scanpfaden, Behebungsfristen, Konfigurationsabweichungen und der für ConMon erforderlichen Dokumentation Schritt hält. Wenn Scans Hunderte von vererbten Problemen aufdecken oder nicht mit dem Inventar übereinstimmen, verlangsamt sich der gesamte Compliance-Zyklus.
Chainguard reduziert diese Belastung, indem es gehärtete, geräuscharme Komponenten liefert, die sauberere Scan-Ergebnisse, kleinere POA&Ms und vorhersehbare Beweise liefern.
Minimale Bilder, die täglich neu erstellt werden, mit 97 % weniger CVEs
Patch-SLAs, die die FedRAMP-Sanierungsfenster überschreiten (7 Tage kritisch, 14 Tage alle anderen)
SBOMs, Signaturen und Provenienz sind in jedem Artefakt enthalten
FIPS-validierte Krypto (wie innerhalb der FedRAMP-Grenze erforderlich) und STIG-fähige Konfigurationen (Systeme werden anhand von DISA Stig-Härte-Benchmarks bewertet)
Entwicklerfreundliche Integrationen mit bestehenden Pipelines, Registern und verwandten Tools
Einheitliche Abdeckung, die Container, Bibliotheken und VMs abdeckt und dazu beiträgt, sich an die von FedRAMP vorgeschriebenen RA-5-Scan- und verwandten Kontrollen anzupassen, wie CM-8 (Asset-Inventar) und CA-7 (ConMon)
In der Produktion mit FedRAMP-gebundenen Führungskräften wie Snowflake, GitLab und Domino Data Lab
Wenn Sie nach einer Container-Image-Lösung suchen, die Ihre FedRAMP-Akkreditierung vereinfacht und beschleunigt und gleichzeitig Ihrem Team Zeit und Mühe spart, wenden Sie sich noch heute an uns.
Häufig gestellte Fragen
Wie können Unternehmen die Anzahl der in FedRAMP-Scans markierten Schwachstellen reduzieren?
Der beste Weg, um Befunde zu reduzieren, ist, mit einer sicheren Grundlage zu beginnen. Herkömmliche Basisbilder werden mit einer großen Anzahl von vererbten CVEs ausgeliefert, die POA&Ms und die Behebungsarbeitslast aufblähen. Chainguard-Bilder werden täglich neu erstellt und verhärtet, wodurch vererbte CVEs um etwa 97 % reduziert werden. Scans zeigen daher nur Probleme auf, die auf Arbeiten zurückzuführen sind, die Sie direkt besitzen. Dies reduziert den Rückstand und hält die Behebung innerhalb der SLA-Fenster.
Welche Tools helfen bei der Automatisierung der FedRAMP-Schwachstellenbehebung?
Automatisierung ist unerlässlich, um die strengen Fristen von FedRAMP einzuhalten (und wird mit dem 20-fachen Update erforderlich). Viele Teams implementieren Pipelines, die Arbeitslasten automatisch neu aufbauen, wenn Upstream-Patches landen. Chainguard bietet SLA-gestützte Rebuilds (7 Tage für kritische Probleme, 14 Tage für alle anderen), sodass Sie keine manuellen Triage- oder Backport-Fixes durchführen müssen und die Behebung über ConMon-Zyklen hinweg vorhersehbar bleibt.
Wie unterstützen SBOMs das FedRAMP-Schwachstellenmanagement?
SBOMs bieten Auditoren eine Karte auf Komponentenebene mit dem, was gescannt wurde und worauf sich jeder Befund bezieht. FedRAMP erfordert eine saubere, explizite Ablaufverfolgung, die eine Schwachstelle, das betroffene Asset und das in der Produktion bereitgestellte Artefakt verbindet. Automatisch generierte SBOMs, die an jedes Bild gebunden sind, ermöglichen es, die Scanabdeckung anzuzeigen, die Korrektur zu bestätigen und POA&M-Einträge ohne Rekonstruktionsarbeiten zu rechtfertigen.
Können standardmäßig sichere Container-Images oder VMs die FedRAMP-Autorisierung beschleunigen?
Ja. Vorgehärtete, Null-CVE-Komponenten schrumpfen die Sanierungsarbeiten vor dem Audit erheblich. Viele Verzögerungen bei ATO-Paketen (Authorization to Operate) kommen von vererbten Schwachstellen in OS-Schichten oder Basis-Images. Durch die Verwendung gehärteter, FIPS-validierter, STIG-ausgerichteter Komponenten werden diese Ergebnisse vor Beginn des Scannens eliminiert, Bewertungszyklen verkürzt und Nacharbeiten reduziert.
Wie stimmen die Anforderungen an das Scannen von Schwachstellen mit anderen FedRAMP-Kontrollen überein?
Das Scannen ist direkt mit der Bestandsaufnahme und der kontinuierlichen Überwachung verbunden. Jeder Befund muss einer eindeutigen CM-8-Asset-ID zugeordnet werden, und die monatlichen Scan-Ergebnisse werden Teil der CA-7-Berichterstattung. Dies bedeutet, dass Bestände, Scan-Zeitpläne und POA&M-Updates synchronisiert bleiben müssen. Wenn diese Drift, ConMon Einreichungen werden zum Stillstand kommen oder abgelehnt werden.
Warum haben Unternehmen Probleme mit der Einhaltung von FedRAMP-Scans?
Die meisten Probleme ergeben sich aus vererbten CVEs, inkonsistenten Scan-Tools, widersprüchlichen Ergebnissen und Schwierigkeiten bei der Einhaltung von Behebungsfristen. Scanner beheben nichts - sie melden nur. Ohne gehärtete Komponenten und automatisierte Neuaufbauten fallen Teams zurück und POA&Ms expandieren schneller, als sie geschlossen werden können. Hochgradige Schwachstellen überschreiten häufig die 30-Tage-SLA in Umgebungen ohne automatisiertes Patching.
Was zählt als authentifizierter Scan unter FedRAMP?
Ein authentifizierter Scan verwendet Anmeldeinformationen, um sich bei dem zu scannenden Asset anzumelden. FedRAMP erwartet einen Zugriff mit Anmeldeinformationen für Hosts, Container, Registries und Images, da es Schwachstellen aufdeckt, die nicht authentifizierte Oberflächenprüfungen nicht erkennen können. Nicht authentifizierte Scans sind nur in engen Fällen zulässig und müssen gegenüber der 3PAO begründet werden.
Wann beginnt die Behebungsuhr für eine Schwachstelle?
Das Fenster beginnt, wenn die Sicherheitsanfälligkeit zum ersten Mal in Ihrer Umgebung vorhanden ist und nicht, wenn der Scanner sie meldet. Dazu gehört der Moment, in dem Sie eine anfällige Bibliothek importieren, ein Basis-Image abrufen oder eine von Ihnen verwendete Komponente von einem Anbieter empfohlen wird. Die Uhr startet vor dem nächsten geplanten monatlichen Scan.
Was muss in einer POA&M für FedRAMP enthalten sein?
Jeder POA&M-Eintrag muss die Schwachstelle, das betroffene Asset (mit CM-8-Kennung), den Schweregrad, die Begründung, die geplanten Abhilfemaßnahmen und das erwartete Behebungsdatum auflisten. FedRAMP erfordert POA&Ms für alle offenen Befunde - keine Filterung ist zulässig.
Was passiert, wenn ein Asset im CM-8-Inventar fehlt?
Jeder Befund, der mit einem nicht gelisteten Asset verbunden ist, macht einen Scan unvollständig. Die Prüfer fordern eine erneute Einreichung oder einen neuen Scan-Zyklus an. Fehlende Asset-Listings sind eine der häufigsten Ursachen für ConMon-Verzögerungen.
Benötigen Container-Images eindeutige Asset-Identifikatoren?
Ja. FedRAMP erfordert eine eindeutige Kennung für jede Image-Familie und Version, die in der Produktion bereitgestellt wird. Dies ist für die Rückverfolgbarkeit zwischen Scans, SBOMs und POA&M-Einträgen erforderlich. Die offizielle Anleitung zum Scannen von Containern macht dies explizit.
Dürfen Teams Ergebnisse filtern oder unterdrücken, bevor sie Scan-Ergebnisse einreichen?
Nein. FedRAMP erfordert eine vollständige, ungefilterte Scanausgabe. Jede Filterung - wie das Unterdrücken von CVEs mit „geringem Risiko“ - ist nicht konform und kann zu Anforderungen an das erneute Scannen oder zu Verzögerungen bei der Überprüfung führen.
Wie oft müssen Containerbilder gescannt werden?
Mindestens monatlich, plus nach jeder wesentlichen Änderung oder Bereitstellung. FedRAMP behandelt Image-Updates, Abhängigkeits-Bumps und Rebuilds als Trigger, die einen neuen Scan-Zyklus erfordern.
Zählen Fremdkomponenten als In-Scope für das Scannen?
Ja. Alles, was sich innerhalb der Autorisierungsgrenze befindet - einschließlich OSS-Abhängigkeiten, Bibliotheken, Basis-Images und eingebettete Dienste - muss gescannt und in das Asset-Inventar aufgenommen werden.
Share this article
Related articles
- security
Going deep: Upstream distros and hidden CVEs
Chainguard Research
- security
Chainguard + Second Front: A faster, more secure path into government markets
Ben Prouty, Principal Partner Sales Manager, Chainguard, and Veronica Lusetti, Senior Manager of Partnerships, Second Front
- security
This Shit is Hard: The life and death of a CVE in the Chainguard Factory
Patrick Smyth, Principal Developer Relations Enginee
- security
npm’s update to harden their supply chain, and points to consider
Adam La Morre, Senior Solutions Engineer
- security
Protect your AI workloads from supply chain attacks
Anushka Iyer, Product Marketing Manager
- security
Applying SOC 2 with Chainguard: A practical guide for DevOps and engineering leaders
Sam Katzen, Staff Product Marketing Manager