Em resumo
- Consolida SCA, SAST e varredura de Container em uma única plataforma
- Integrado em 100 repositórios em poucas semanas com um engenheiro
- Suporta 100 desenvolvedores em GitLab, GitHub e Azure DevOps
- Oferece suporte AppSec multilíngue para F#, Rust, C++, C#, Python, React/Typescript
- Permite correções mais cedo através de fluxos de trabalho de merge request
- Avança o ciclo de vida de desenvolvimento de software seguro (SSDLC) da AutoStore com insights acionáveis
- Selecionou Aikido Security em vez de Black Duck e Endor Labs
Desafio
A organização de engenharia da AutoStore havia crescido e se diversificado, com cerca de 100 desenvolvedores trabalhando em diversas linguagens, bases de código e escritórios em todo o mundo. Enquanto algumas equipes tinham fortes hábitos de segurança, outras dependiam de processos inconsistentes ou fluxos de trabalho legados, o que criava uma cobertura desigual. À medida que a empresa se expandia para um desenvolvimento mais Cloud-native, essas lacunas se tornaram mais difíceis de gerenciar.
O gerente de engenharia e o CISO se propuseram a fortalecer o ciclo de vida de desenvolvimento de software seguro (SSDLC) da AutoStore e trazer clareza e consistência para a forma como a segurança era tratada em toda a empresa.
A AutoStore precisava de uma plataforma que pudesse fornecer visibilidade total de AppSec em repositórios legados e cloud-native, suportar sua pilha de tecnologia diversificada e integrar-se diretamente com GitHub, GitLab e Azure DevOps.
“É claro que, quando 100 desenvolvedores ou 10 equipes fazem as coisas por conta própria, haverá algumas práticas boas e outras nem tanto”, disse Vegard Syre Aaker, engenheiro de software de segurança na AutoStore.
Enquanto isso, os processos de risco de código aberto que historicamente haviam sido construídos em torno de sistemas C++ não conseguiam escalar para suportar ambientes de desenvolvimento modernos.
“Estávamos procurando uma ferramenta de segurança que pudesse lidar com todas as nossas linguagens de programação e funcionar com GitHub, GitLab e outros sistemas. Nossos repositórios são muito diferentes, então isso não foi fácil. O Aikido foi uma das poucas ferramentas que conseguiu suportar tudo o que precisávamos.”
Uma seleção liderada por desenvolvedores
A experiência anterior de Vegard como desenvolvedor moldou a avaliação da AutoStore. A equipe precisava de uma plataforma AppSec que os desenvolvedores realmente usassem e que se integrasse aos fluxos de trabalho existentes sem atrito.
“Eu estava tentando encontrar uma ferramenta que eu sabia que poderia capacitar os desenvolvedores. Algo que eles realmente adotassem e que se integrasse bem aos nossos processos.”
Este requisito focado no desenvolvedor alinhou-se fortemente com a abordagem do Aikido.
Solução
A AutoStore avaliou o Aikido juntamente com Endor Labs, Black Duck e ferramentas de código aberto. O Aikido destacou-se por sua experiência intuitiva, suporte AppSec multilíngue e capacidade de unificar múltiplas capacidades de segurança em uma única plataforma.
“Durante a prova de conceito, gostamos da interface simples e intuitiva. Também escolhemos o Aikido porque era fácil de integrar e incluía muitas ferramentas de segurança em uma única suíte com um único dashboard.”
O Aikido suportava todas as principais linguagens em uso e fornecia tanto integrações diretas quanto varredura local para bibliotecas C++ complexas. Embora GitHub e Azure DevOps tenham sido integrados sem problemas no início do processo, o rollout do GitLab demonstrou a escalabilidade da plataforma:
“A maior parte da integração com GitLab foi feita por um engenheiro de segurança, com pouca ajuda, em apenas algumas semanas. Isso incluiu cerca de 100 repositórios e 100 desenvolvedores.”
O suporte rápido e a flexibilidade do Aikido contribuíram para a velocidade da implantação.
“A maioria dos problemas durante a integração e o roll-out foi resolvida rapidamente em conjunto com o Aikido, e eles são flexíveis para fornecer alterações em seu software, se necessário.”
Por que a AutoStore escolheu o Aikido
A AutoStore selecionou o Aikido porque ele:
- Suporta todas as principais linguagens em uso, incluindo C++, Rust e F#
- Integra-se diretamente com GitHub, GitLab e Azure DevOps
- Consolida SCA, SAST e varredura de Container em uma única plataforma
- Oferece fluxos de trabalho developer-first e visibilidade de merge request
- Fornece resultados acionáveis que reduzem o ruído e orientam a priorização
Resultados
O Aikido agora oferece uma visão consistente das vulnerabilidades em todas as equipes e repositórios.
“Desenvolvedores e engenheiros de segurança agora têm uma visibilidade muito melhor sobre riscos e vulnerabilidades. Tenho certeza de que isso melhorará a segurança de nossas aplicações ao longo do tempo.”
Os workflows de merge request do Aikido ajudam a identificar problemas mais cedo e a melhorar o engajamento dos desenvolvedores.
“Tê-lo como comentários em merge requests, potencialmente bloqueando-os, ajudará a melhorar a segurança das aplicações ao longo do tempo.”
A Aikido também permitiu que a AutoStore validasse rapidamente as vulnerabilidades recém-divulgadas. Quando seu provedor de SOC sinalizou um novo problema de dependência, a Aikido já tinha a análise disponível.
“Verifiquei a publicação no blog da Aikido e vi que vocês já haviam rastreado essa vulnerabilidade por alguns dias. Pude verificar rapidamente se nossa base de código foi afetada.”
Como a AutoStore está expandindo seu uso da Aikido
Já em uso
Planejando adotar
Avaliando os próximos passos
“Nós vamos testar o pentest de IA em uma de nossas aplicações. Isso poderia potencialmente remover parcialmente nosso pentest externo.”
Aikido como a camada mais acionável do SSDLC
Vegard enfatiza que um ciclo de vida de desenvolvimento seguro inclui muitos componentes, como gerenciamento de riscos, modelagem de ameaças e teste de penetração. Na prática, a Aikido se tornou a parte mais acionável da estrutura.
“O restante da organização está muito focado na Aikido porque é acionável. É muito mais acionável em comparação com outros tópicos que são mais vagos.”
Etapas claras, visibilidade rápida e fluxos de trabalho focados no desenvolvedor permitem que as equipes fortaleçam a segurança de forma colaborativa.
“Se eu tivesse feito de novo, provavelmente teria escolhido uma ferramenta de segurança bem rapidamente e depois construído sobre ela.”
Veredito final
“O Aikido entrega um produto focado que capacita as equipes de engenharia a gerenciar vulnerabilidades de forma eficaz. Eles claramente priorizaram a usabilidade, o que torna o gerenciamento de vulnerabilidades acessível e acionável.”
