CERN: Zentralisierte Plattform für Softwareentwicklung

Dafür nutzen die CERN-Teams unter anderem GitLab dafür, Software zu entwickeln, die Forschern dabei hilft, Phänomene wie dunkle Materie und das Higgs-Boson zu untersuchen. Unter anderem nutzen sie GitLab, für den sicheren und effizienten Betrieb des größten und leistungsfähigsten Teilchenbeschleuniger der Welt und die Verrbeitung der riesigen Datenmengen, die dabei entstehen. Wissenschaftler aus Universitäten und Forschungsinstituten auf der ganzen Welt nutzen die GitLab-Plattform auch, um an gemeinsamen Projekten zusammenzuarbeiten.

Im Interview beschreiben Ismael Posada Trobo, Technischer Leiter and Engineering Manager des CERN, und André Braun, Director, DACH Enterprise Sales bei GitLab, wie das CERN die GitLab-Plattform nutzt, die Sicherheit im Software-Entwicklungsprozess sowie die Effizienz und Bereitstellungsgeschwindigkeit zu erhöhen.

Was waren die größten Herausforderungen für die Softwareentwicklung bei CERN im Zusammenhang mit dem Management umfangreicher Forschungsprojekte?

Ismael Posada Trobo: Tatsächlich bestand eine unserer größten Herausforderungen darin, dass unsere Softwareentwicklung über viele Jahre hinweg auf eine Vielzahl von isolierten Tools verteilt war. Unsere Toolchain bestand aus unterschiedlichen Lösungen, darunter auch GitLab. Aber bei einem Forschungsbetrieb wie dem unseren, mit tausenden beteiligten Wissenschaftlern und hochkomplexen Projekten, stößt so eine fragmentierte Infrastruktur schnell an ihre Grenzen.

Diese Fragmentierung führte zu Ineffizienzen in unseren Softwareentwicklungs- und bereitstellungsprozessen und erhöhte den Aufwand für die Aktualisierung, Verwaltung und Bezahlung mehrerer Tools. Durch die Umstellung auf GitLab im Jahr 2015 und die Konsolidierung unserer Entwicklungsabläufe auf einer einheitlichen End-to-End-Plattform konnten wir die Effizienz und Bereitstellungsgeschwindigkeit steigern und gleichzeitig die Sicherheit in unseren gesamten Softwareentwicklungszyklus gewährleisten. Diese Entscheidung markierte den Beginn einer umfassenden Modernisierung unserer gesamten Software-Landschaft. 

André Braun: CERN zeigt, wie Organisationen mit höchsten Anforderungen an Sicherheit, Transparenz und operative Effizienz eine einheitliche DevSecOps-Plattform nutzen können, um ihren gesamten Software-Lebenszyklus von der Entwicklung und dem Testen bis hin zu Bereitstellung und Sicherheit zu optimieren.

Der Schritt weg von einer Vielzahl isolierter Einzellösungen hin zu einer vollständig integrierten Plattform brachte klare und messbare Vorteile mit sich, darunter weniger Systemgrenzen, geringere Komplexität und deutlich mehr Kontrolle, insbesondere in Bezug auf die Sicherheit entlang des gesamten Entwicklungszyklus.

An globalen Forschungsvorhaben, wie den Large Hadron Collider-Experimenten, sind Tausende von Wissenschaftler über Kontinente hinweg beteiligt. Welche technischen Voraussetzungen sind entscheidend für eine reibungslose Koordination?

Ismael Posada Trobo: Wenn man mit 6.000 Forschenden aus über 182 Institutionen in 42 Ländern zusammenarbeitet, braucht man mehr als nur E-Mail und File-Sharing. Große wissenschaftliche Communities benötigen eine robuste, zentralisierte Plattform, die Echtzeit-Zusammenarbeit, Wissensaustausch und kontinuierliche Weiterentwicklung ermöglicht. Konkret bedeutet das: transparente Versionskontrolle, gemeinsamer Zugriff auf Pipelines, klar definierte Rollen und Berechtigungen, integrierte CI/CD-Workflows sowie eine skalierbare Infrastruktur, die parallele Entwicklungsprozesse unterstützt.

GitLab ist für uns längst nicht mehr nur ein Entwicklungswerkzeug. Tatsächlich nutzen wir es auch dazu, Forschende aus Universitäten, Laboren und anderen Forschungseinrichtungen weltweit miteinander zu vernetzen. Ein besonders bemerkenswertes Beispiel ist das ATLAS-Experiment, eines unserer größten und komplexesten Projekte, das der Erforschung der fundamentalen Bausteine der Materie dient. Die wissenschaftliche Gemeinschaft von ATLAS nutzt die GitLab-Plattform für ihre Athena-Software, wodurch Nutzende die Arbeiten ihrer Kolleg:innen direkt einsehen, Feedback geben und in Echtzeit gemeinsam an Herausforderungen arbeiten können.

André Braun: Und genau hier liegt die Stärke eines integrierten DevSecOps-Ansatzes. Indem Entwicklungsplattformen ehemals fragmentierte Tools und Workflows in einem System vereinen, ermöglichen sie durchgängige Transparenz über alle Aktivitäten hinweg, von Merge Requests über Issues bis hin zu Code Reviews. Für Projekte wie ATLAS heißt das: Jeder Beitrag, jede Änderung, jede Entscheidung ist nachvollziehbar. Außerdem muss man sich die Skalierung vorstellen: Es geht nicht nur darum, dass 6.000 Menschen Zugang haben, sondern dass sie gleichzeitig, effizient und in konsistenten Workflows zusammenarbeiten können, durch automatisierte Abläufe, zentrale Rechtemodelle, strukturierte Review-Prozesse und ein skalierbares Runner-System, das selbst komplexeste Jobs zuverlässig abbildet.

Welche Leistungsverbesserungen waren für Ihre Forschungsteams am bedeutendsten, seit Sie Ihre Softwarebereitstellungsprozesse optimiert haben? 

Ismael Posada Trobo: Einer der bedeutendsten Leistungsgewinne resultierte aus der Skalierung unserer CI/CD-Funktionalitäten. Noch vor wenigen Jahren investierten die Mitglieder des DevSecOps-Teams bei CERN viel Zeit in den Aufbau eigener Runner, die Builds innerhalb der Pipelines ausführen. Damals standen lediglich rund 40 Runner zur Verfügung, die bis zu 80 gleichzeitige Jobs im gesamten Ökosystem abwickelten. Mit der Zeit wurde jedoch deutlich, dass dieses Setup weder effizient noch skalierbar war.

Heute verfügen wir über drei Mal so viele Runner wie früher. Wir können jetzt neue Instanzen der leichtgewichtigen, skalierbaren Agenten, die CI/CD-Jobs ausführen, direkt innerhalb der DevSecOps-Plattform starten, anstatt eigene Runner aufzubauen und diese zu warten. Diese Automatisierung zeigt bei CERN bereits spürbare Wirkung. Erste Ergebnisse sind unter anderem:

90-fach schnellere Job-Startzeiten mit GitLab-Runnern, was die Build- und Test-Feedbackschleifen deutlich beschleunigt.

60-fach schnellere Identifikation und Behebung von Problemen, was die Reaktionsfähigkeit und Systemverfügbarkeit erheblich verbessert.

Dreifache Steigerung der Kapazität für gleichzeitige Jobs, sodass mehr Teams ihre Pipelines ohne Engpässe ausführen können.

Dank der automatisierten Workflows können wir heute neue Cloud-Images generieren, mehrere virtuelle und physische Maschinen bereitstellen und diese mit unterschiedlichen Konfigurationen testen. Werden alle Tests bestanden, wird das neue Image automatisch für den produktiven Einsatz freigegeben und das mit nur einem Klick. Noch vor wenigen Jahren wäre ein derart reibungsloser Ablauf unvorstellbar gewesen.

Angesichts der besonderen Sicherheits- und Compliance-Anforderungen bei CERN: Wie schützen Sie Ihre Forschungsinfrastruktur und welche Rolle spielen dabei die Sicherheitsfunktionen von GitLab?

Ismael Posada Trobo: Sicherheit hat für uns oberste Priorität und das nicht nur, weil wir mit hochsensiblen wissenschaftlichen Daten arbeiten. Als offene und international anerkannte Forschungseinrichtung bewegt sich CERN in einem besonderen und dynamischen Cybersicherheitsumfeld. Aufgrund unserer kollaborativen Struktur und globalen Sichtbarkeit müssen wir unsere Sicherheitsstrategie proaktiv weiterentwickeln. Dies muss zudem im Einklang mit unserem akademischen Auftrag und gleichzeitig mit einem hohen Maß an Schutz einhergehen.

 Die DevSecOps-Plattform ermöglicht es uns, Sicherheitsrichtlinien und Compliance-Frameworks zentral zu definieren und konsistent über alle Entwicklungsteams bei CERN hinweg durchzusetzen. Das stellt eine spürbare Verbesserung unserer organisatorischen Arbeitsweise dar. Ein besonders großer Vorteil für uns ist die Möglichkeit, den Sicherheitsstatus unserer Anwendungen transparent zu visualisieren. Die integrierten Dashboards liefern uns einen sofortigen Überblick über Schwachstellen, Richtlinienverstöße und notwendige Freigaben und das vollständig automatisiert, ganz ohne manuellen Aufwand. Wir haben in Echtzeit Einblick in alle Projekte und können mit nur einem Klick Maßnahmen ergreifen, um die Sicherheit und Widerstandsfähigkeit jedes einzelnen Projekts zu erhöhen.

André Braun:CERN verfolgt einen proaktiven Sicherheitsansatz und setzt dabei auf eine zentralisierte Umgebung, die konsistente und systematische Sicherheitsmaßnahmen unterstützt. Die Fähigkeit, Risiken und Schwachstellen kontinuierlich im gesamten Entwicklungsprozess zu erkennen, verändert hierbei grundlegend das Sicherheitsmanagement. Für eine Institution wie CERN geht es dabei nicht nur um den Schutz sensibler Daten, sondern auch um die Wahrung der Integrität und Glaubwürdigkeit weltweiter Spitzenforschung.

Wie trägt die Softwareumgebung bei CERN zum Betrieb des Large Hadron Colliders und zur Analyse der dabei entstehenden Daten bei, und wie sind DevSecOps-Tools in diese Prozesse integriert?

Ismael Posada Trobo: Der Large Hadron Collider (LHC) ist das Herzstück unserer Einrichtung. Seit 2008 betreiben wir diese 27 Kilometer lange, unterirdische Anlage, um fundamentale Fragen über das Universum zu erforschen: vom Urknall über dunkle Materie bis hin zum Higgs-Boson. Was viele nicht sehen: Der LHC funktioniert nicht ohne Software. Alle Systeme, von der Steuerung über die Datenerfassung bis zur Auswertung, sind softwaregesteuert. Und all diese Software wird mithilfe kollaborativer Plattformen entwickelt, ausgeführt und kontinuierlich verbessert. Wir simulieren Teilchenkollisionen, analysieren reale Daten und koordinieren hochkomplexe Arbeitsabläufe in einer einzigen integrierten Umgebung.

Was dabei besonders wichtig ist: Unsere Entwicklungsprozesse sind vollständig DevSecOps-basiert. Das heißt, Sicherheit, Qualitätssicherung und Continuous Delivery sind nicht nachgelagert, sondern integraler Bestandteil jedes Projekts. Durch die tiefe Integration einer DevSecOps-Plattform in unsere Toolchain können wir Builds automatisieren, Tests direkt in Pipelines einbetten und Sicherheitsprüfungen parallel zum Entwicklungsprozess durchführen. Das ist für uns entscheidend, weil die Menge und Komplexität der Daten keine Fehler verzeiht.

Mit Blick nach vorn, welches Potenzial sehen Sie in KI-gestützter Softwareentwicklung?

André Braun: Künstliche Intelligenz ist schon heute ein konkreter Treiber für Produktivität, Sicherheit und Codequalität. Unser KI-gestütztes Toolset GitLab Duo wurde entwickelt, um Entwickler im Arbeitsalltag zu unterstützen, beispielsweise durch die Automatisierung wiederkehrender Aufgaben wie Testgenerierung, Code-Erklärung oder Behebung von Sicherheitslücken. Die Vorstellung, dass Physiker, die an bahnbrechenden Entdeckungen im Bereich Dunkle Materie oder Antimaterie arbeiten, mithilfe von KI noch schneller zu relevanten Ergebnissen gelangen könnten, ist überaus inspirierend.

Ismael Posada Trobo: Wenn wir über wissenschaftliche Softwareentwicklung in unserem Maßstab sprechen, geht es nicht um einfachen Code. Wir arbeiten mit hochkomplexen Systemen und einer Vielzahl an Abhängigkeiten. Künstliche Intelligenz kann uns dabei unterstützen, Muster zu erkennen, automatisierte Optimierungen vorzuschlagen oder Sicherheitslücken zu identifizieren, bevor sie in produktive Systeme gelangen. Das spart nicht nur Zeit und Ressourcen, sondern stärkt auch die wissenschaftliche Integrität unserer Arbeit. Dabei ist entscheidend: Wir müssen KI intelligent integrieren, nicht als zusätzliches Feature, sondern als festen Bestandteil unserer DevSecOps-Prozesse.

Ismael Posada Trobo

ist Technischer Leiter and Engineering Manager des CERN.

André Braun

ist Director DACH Enterprise Sales bei GitLab.