A Cube Labs (parte do ecossistema Abstract) está construindo uma blockchain Layer-2 de próxima geração projetada para aplicativos Web3 rápidos e prontos para o consumidor. Apoiada pelo Founders Fund, a equipe se concentra em fornecer uma base segura e escalável para desenvolvedores e usuários.
Quando a equipe começou a procurar maneiras de fortalecer sua postura de segurança sem desacelerar o desenvolvimento, eles recorreram ao Aikido.
“O Aikido nos deu uma ótima visão sobre vulnerabilidades potenciais e a confiança de que estamos seguros em tempos de crise.”
Olá, Metarsit! Qual é o seu papel e suas responsabilidades?
Sou Engenheiro Fullstack na Cube Labs. Meu trabalho gira em torno de DevOps, Engenharia de Produto e Produtividade de Engenharia.
O que faz a Abstract se destacar em sua indústria?
A melhor forma de descrever está em nosso blog: Abstract é uma stack de blockchain modular que simplifica a forma como os desenvolvedores constroem aplicativos Web3. Tornamos a experiência Web3 mais acessível e mais segura para todos.
Que propósito a segurança deve ter no seu setor?
É o clássico: prevenir ataques e corrigir vulnerabilidades. Mas no espaço Web3, os hackers são incrivelmente criativos. Você precisa estar dois passos à frente.
Que tipo de pressão seus clientes ou investidores exercem sobre suas práticas de segurança e conformidade atualmente?
Muita pressão, e com razão. Há dinheiro envolvido. Precisamos garantir que os fundos e dados de todos estejam seguros.
“Nosso CEO e CTO colocam a segurança no topo de nossas prioridades. Sempre buscamos por ferramentas melhores para manter a nós e a todos seguros.”
Houve um momento específico que desencadeou um foco mais estratégico na segurança?
Nosso CEO e CTO sempre priorizaram a segurança. Ela está enraizada em nossa cultura. Mas, à medida que começamos a escalar, queríamos ferramentas que pudessem nos ajudar a ser proativos; não apenas reativos.
Conte-nos mais sobre a decisão de procurar e selecionar o Aikido.
Estávamos familiarizados com o Snyk, mas fomos apresentados ao Aikido por um amigo. Nós o avaliamos contra o Snyk e algumas ferramentas populares no mercado e percebemos que era o melhor para nosso uso e fluxo de trabalho.
As ferramentas que usávamos antes eram ótimas, mas não nos davam a visibilidade ou a capacidade de resposta de que precisávamos. O Aikido parecia diferente. O produto é mais focado no desenvolvedor, mais rápido para iterar e construído por uma equipe que realmente se esforça por resultados.
“Avaliamos várias ferramentas, mas o Aikido se destacou pela rapidez com que a equipe se move e o quão completa a plataforma é.”
Quais eram suas principais preocupações de segurança antes de adotar o Aikido?
Impacto. Estávamos usando as ferramentas de segurança integradas do GitHub, que sinalizavam muitos problemas, mas não esclareciam se eles realmente nos afetavam. Queríamos evitar grandes e arriscadas atualizações de versão que podem introduzir instabilidade, e o Aikido nos mostrou quais atualizações realmente importavam.
Como vocês lidavam com a segurança antes do Aikido?
Tínhamos boas práticas de engenharia e fluxos de trabalho estabelecidos, mas eram trabalhosos. O Aikido nos ajudou a automatizar e acelerar o que antes levava muitas horas de engenharia.
O que se destacou no Aikido durante a avaliação?
A equipe, em primeiro lugar. Eles foram incrivelmente prestativos, responsivos e transparentes. E a oferta em si, simplesmente fez sentido para nós.
Quão fácil foi integrar o Aikido aos seus fluxos de trabalho?
Principalmente fácil. Cerca de 80% funcionou imediatamente, o que foi impressionante. O restante foi rápido de configurar.
"Foi surpreendentemente fácil colocar o Aikido para funcionar em todos os nossos serviços.”
Como tem sido sua experiência trabalhando com a equipe do Aikido?
Excelente. Eles são atenciosos e rápidos para responder sempre que precisamos de ajuda.
Qual sua funcionalidade favorita?
Zen, a proteção em tempo de execução in-app do Aikido, surpreendentemente. Ele adiciona uma nova camada de proteção e nos dá mais confiança no tratamento de dados do usuário.
Antes do Zen, dependíamos de ferramentas como Vercel Security e Sentry para insights de runtime. Elas eram boas em apresentar informações, mas o Zen é muito mais agressivo na identificação de ameaças e potenciais exploits, com a opção de bloqueá-los facilmente.
“O Zen revelou coisas que não teríamos investigado antes, como novos endpoints de saída que podem ser maliciosos.”
Houve um incidente específico que o fez perceber que suas proteções existentes não eram suficientes?
Não houve um incidente específico, mas uma vez que integramos o Zen, ele começou a expor endpoints de saída e atividades que nos permitiram ser mais completos em nosso monitoramento.
Ao avaliar o Zen, o que o convenceu de que a proteção em tempo de execução in-app valia a pena ser adicionada?
Não pensamos demais, era uma camada extra de defesa que poderíamos adicionar facilmente em todos os nossos serviços. Assim que o ativamos, o Zen começou a identificar vulnerabilidades potenciais que precisavam de atenção, e isso foi enorme para nós.
Qual sua capacidade favorita do Zen?
"O recurso de descoberta de API é muito interessante. Ele nos ajuda a ver o que está realmente exposto e onde, o que é crucial na Web3."
Você notou uma redução em falsos positivos ou tempo economizado desde a adição do Zen?
Ainda não fazemos auto-bloqueio, mas o Zen nos ajuda a revisar ameaças potenciais que poderíamos ter perdido antes. Ele nos dá uma visão mais clara sem adicionar sobrecarga.
Como o Aikido mudou a forma como a Cube Labs aborda a segurança e o gerenciamento de vulnerabilidades?
Agora temos SLAs que garantem que as vulnerabilidades sejam corrigidas rapidamente. O Aikido nos ajuda a entender melhor os problemas e a decidir como abordá-los com base no impacto real.
Houve um momento em que o Aikido poupou sua equipe tempo, estresse ou risco?
“Durante um ataque recente à cadeia de suprimentos, pudemos confiar que estávamos seguros contra qualquer exploit. Isso mudou tudo.”
Como o Aikido ajuda com as crescentes demandas regulatórias e de proteção de dados?
Somos extremamente cuidadosos com os dados dos usuários, e o Zen adiciona uma camada extra de proteção e conformidade. Isso ajuda a garantir que cumprimos nossas promessas de segurança aos usuários.
Você tem visto resultados mensuráveis, como remediação mais rápida ou menos vulnerabilidades não detectadas?
Ainda não em termos quantificados, mas já podemos ver as coisas funcionando de forma mais suave e eficiente. Estamos gastando menos tempo gerenciando a segurança e mais tempo construindo.
Se você tivesse que descrever o impacto do Aikido em uma frase?
O Aikido nos proporcionou uma grande percepção sobre vulnerabilidades potenciais e a confiança de que estamos seguros em tempos de crise.
O resumo
A Cube Labs opera em uma das indústrias mais visadas do mundo, a Web3, onde falhas de segurança podem ter consequências financeiras em segundos. Com o Aikido, a equipe ganha clareza, automação e tranquilidade. Para a Cube Labs, o Aikido não é apenas uma ferramenta. É uma rede de segurança que os mantém protegidos enquanto constroem o futuro da web descentralizada.
