Wir entwickeln sichere Software.
Rasante Veränderungen prägen das Versicherungs-Business. Damit Sie diesem Wandel gerecht werden können, entwickelt drei01 ihre innovative Software; sie passt sich unkompliziert neuen Produktideen und Strategien an. Wir entwickeln das ganze Spektrum – vom hoch effizienten Minimal Viable Product (MVP) bis hin zur ausgereiften „schlüsselfertigen“ Softwarelösung.
Zum selbstverständlichen Anspruch an Qualität und Sicherheit kommt das rasante Tempo, das unsere Entwickler vorlegen. Es spiegelt die Begeisterung wider, mit der sie arbeiten – sie „leben“ DevSecOps.
Typisch für unseren Arbeitsstil: Die Produktteams begleiten den gesamten Entwicklungs-Zyklus: vom Briefing über die Umsetzung bis zur Bewertung der Ergebnisse und der erneuten Anpassung. Unterstützt durch intelligent verknüpfte Entwicklungstools läuft dieser komplexe Prozess in mehreren Stufen und wird so oft wiederholt, bis das optimale Ergebnis erreicht ist.
Probleme, die über typische Fehler hinausgehen – also potenzielle Sicherheitsmängel, Designfehler und Code-Schwächen – können wir mit Hilfe von Continuous Delivery (CD) frühzeitig erkennen und aus der Welt schaffen.
"Eventuelle Schwachstellen unserer Software erkennen wir früher als üblich und beheben sie noch im Entwicklungsprozess - also lange, bevor sie den Kunden erreichen könnten."
- Mike, Technischer Direktor drei01
Die fünf Stufen unseres DevSecOps-Prozesses:
Ein kontinuierlicher Verbesserungsprozess
Die Planungsphase
Konkrete User-Stories aus der Anwendungs-Praxis helfen uns zu verstehen, welche Aufgaben eine neue Software lösen soll. Die User-Stories enthalten funktionale und nicht-funktionale Anforderungen, Akzeptanz-Kriterien sowie spezielle Design-Gesichtspunkte.
Die Entwicklungsphase
Safety first! Unser Anspruch ist die „absolut“ sichere Software – und darauf liegt auch von Anfang an unser Schwerpunkt. Sicherheits-Updates nach der Auslieferung sind bei unseren Entwicklungen deshalb höchst selten erforderlich. Gut zu wissen: Unsere Entwickler sind immer up-to-date; ein wesentlicher Teil ihrer Arbeit besteht darin, sich mit neuen Trends bei Programmier-Sprachen, Plattform-Technologien und aktuellen Sicherheitsrisiken vertraut zu machen.
Die Build-Phase
Automatische Build-Tools erstellen nicht nur den Source-Code.. Sie unterstützen uns auch bei der Etablierung von Standards für die Generierung von Release-Artefakten und gewährleisten durch statische Code-Analyse die Übereinstimmung mit Coding- und aktuellen Sicherheitsstandards.
Die Test-Phase
Unsere Prüfverfahren gehen weit über reine Oberflächentests hinaus. Ein Test-Framework arbeitet auf den Ebenen Unit, Front-End, Back-End, API und Datenbank. Darüber hinaus überprüft es die passive Sicherheit unserer Software – unterstützt von einem Security-Scanner im Proxy-Modus.
Die Sicherheits-Phase
Ergänzend zum komplexen Test-Framework bedienen wir uns auch konventioneller Sicherheits-Tests. Sollte das Security-Scanning Sicherheits-Lücken aufzeigen, kann dann im Gesamtkontext bewertet werden, ob tatsächlich ein Sicherheitsrisiko besteht oder ob es sich um ein False Positive handelt.
Sie möchten für Ihr Unternehmen Vorteile der DevSecOps-Methode voll ausschöpfen? Gute Idee! Mit Ihrer grundsätzlichen Bereitschaft, Prozesse, IT-Technik, ja, letztendlich Ihre ganze Unternehmenskultur auf den Prüfstand zu stellen und den Veränderungen des Marktes anzupassen, machen Sie den entscheidenden Schritt Richtung Zukunft. Selbst wenn Sie die folgenden Punkte vielleicht noch nicht komplett umsetzen können – dem Gros des Wettbewerb sind Sie auch damit schon ein gutes Stück voraus.
Deployment
Automatisierte Softwareverteilungs-Prozesse sichern die hohe Konsistenz Ihrer Datenbanken. Wir überprüfen Software-Eigenschaften und -Konfigurationen über die gesamte Infrastruktur.
Betrieb
Regelmäßige Wartung und Upgrades sind wichtige Bausteine Ihres Sicherheitskonzeptes. Ihre Betriebsumgebung unterstützt DevSecOps effektiv, wenn unsere Updates zügig und einheitlich auf der vollständigen Betriebsumgebung automatisch verteilt werden können.
Monitoring
Wir empfehlen, unsere Software an ein leistungsfähiges Monitoring-Programm anzubinden. So erhalten Sie in Echtzeit Informationen zur aktuellen System-Leistung und erkennen sofort eventuelle Anomalien.
Skalieren
Schnelle Anpassung ist eine Grundforderung an Ihre Infrastruktur. Virtuelle Systeme oder dedizierte Cloud-Umgebungen lassen Sie schnell auf neue Anforderungen reagieren und versetzen Sie in die Lage, aus Sicherheitsgründen erforderliche vollständige Systemwechsel in wenigen Minuten durchzuführen.
Erkennen & Verbessern
Alle DevSecOps-Leistungswerte – ob Benutzerführung, Sicherheit oder Performance - müssen laufend analysiert und bei Bedarf optimiert werden. Nur so kann das Potential voll ausgeschöpft werden.
Zeit für eine neue Herausforderung?
Sagen Sie uns, wo Sie hin wollen. Wir finden gemeinsam einen Weg.