Aikido

Como a Believe unificou o AppSec na França, EUA e Japão com a Aikido

Migrado de -
Ferramentas open source,  
Semgrep,  
3
Continentes sob uma única plataforma de segurança
20→41%
Taxa de correção após a adoção do Aikido
1
Cadastro self-serve
1
Visão unificada para código e Containers

Em resumo

  • AppSec consolidado em unidades de negócios globais em uma única plataforma
  • Dobrou a taxa de correção de 20% para 41% no primeiro ano
  • Realizou o cadastro inicial de forma self-serve em aikido.dev sem atrito no processo de aquisição
  • Integrou a varredura de Container na mesma visão que as descobertas em nível de código
  • Verificou CVEs recém-divulgados em relação à base de código
  • Forneceu aos desenvolvedores um plugin IDE para corrigir problemas no local sem abrir um ticket

Desafio

Uma presença de engenharia global com hábitos regionais

A Believe é uma empresa global de música digital que opera na França, Nova York e Japão. Yolanda Amorim lidera a segurança de aplicações (AppSec) dentro dessa organização de engenharia distribuída. Cada região tinha sua própria forma de trabalhar e suas próprias escolhas de ferramentas, e o resultado era uma cobertura de AppSec desigual em algo que deveria ser um produto único.

Yolanda precisava de uma plataforma que todas as equipes regionais pudessem usar sem necessidade de retreinamento, uma visão consistente para a liderança de segurança e um ciclo de feedback com o qual os desenvolvedores realmente se engajassem, em vez de contorná-lo.

A Believe não precisava de uma avaliação liderada por vendas. Ela precisava experimentar a plataforma e provar seu valor internamente.

“Queríamos consolidar em uma ferramenta que funcionasse em todas as nossas equipes globais. A opção self-serve em aikido.dev significava que poderíamos simplesmente começar, sem passar por um longo processo de aquisição.”

Solução

A equipe de Yolanda trouxe todas as unidades regionais para o Aikido com a mesma configuração e o mesmo fluxo de trabalho. SAST, SCA e varredura de Container estavam em uma única visão.

O resultado operacional mais visível foi a taxa de correção. Antes do Aikido, a Believe corrigia cerca de 20% das descobertas identificadas. Após a consolidação e a introdução do AutoFix e do plugin IDE, esse número praticamente dobrou.

“Nossa taxa de correção saltou de 20% para 41% após a mudança. É a diferença entre a segurança ser um item de backlog e a segurança ser uma métrica real de engenharia.”

Quando um novo CVE era divulgado, a equipe de Yolanda podia verificar se os afetava e proteger os pacotes que seriam incluídos na release em andamento.

“Na semana passada, um desenvolvedor veio até mim realmente impressionado. Um novo CVE havia sido divulgado, e nós salvamos todos os pacotes para aquela release.”

Por que a Believe escolheu o Aikido

A Believe avaliou o Aikido em comparação com a manutenção da abordagem fragmentada regional e com vários fornecedores existentes. A decisão se resumiu a um pequeno conjunto de fatores.

  • Uma plataforma que cobre código e Containers
  • Onboarding self-service em aikido.dev sem atrito na aquisição
  • Cobertura das múltiplas linguagens e frameworks utilizados por equipes globais
  • Um plugin IDE que permite aos desenvolvedores corrigir problemas no local
  • Um fornecedor responsivo quando CVEs recém-divulgados precisam de validação rápida

Resultados

Aikido mudou a dinâmica de "a equipe de segurança está me pedindo para corrigir isso" para "isso faz parte da entrega da mudança". A equipe de Yolanda também realiza treinamentos direcionados para security champions, focados nos problemas que cada equipe mais enfrenta.

Pela primeira vez, a liderança de segurança da Believe pode comparar a postura na França, nos EUA e no Japão com os mesmos dados e as mesmas definições.

Integrar a varredura de Container no Aikido, juntamente com as descobertas de nível de código, fechou uma lacuna de longa data. As descobertas não são mais divididas entre dois consoles e dois modelos de priorização.

Como a Believe está expandindo seu uso do Aikido

Já em uso

Planejando adotar

Avaliando os próximos passos

Veredito final

“Aikido é um divisor de águas para mim. Uma ferramenta, cobrindo múltiplas empresas, e elevamos nosso nível de segurança mais rápido do que eu esperava.”

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.