A empresa britânica de cibersegurança Glasswall, especializada em proteção de arquivos por meio da tecnologia Content Disarm and Reconstruction (CDR), substituiu Snyk, Wiz Code e Black Duck por uma única implantação do Aikido, obteve cobertura de pacotes C++ em duas semanas e implementou o Safe Chain em todos os pipelines de produção que utilizam pacotes compatíveis.
Em resumo
- Substituiu Snyk, Wiz Code e Black Duck pelo Aikido
- Suporte para VC Package C++ entregue em duas semanas após a solicitação
- AutoFix com um clique para dependências vulneráveis
- Conectado diretamente a repositórios e registros de contêineres do Azure DevOps
- Segurança de código, dependências e Container consolidada em uma única plataforma.
- Safe Chain implantado em todos os pipelines de produção que utilizam pacotes compatíveis.
- Avaliando pentest de IA como a próxima evolução dos testes ofensivos.
Desafio
Chris Holman lidera a segurança de aplicações na Glasswall, uma empresa britânica de cibersegurança focada em proteger organizações contra ameaças baseadas em arquivos. Como um fornecedor de cibersegurança, a Glasswall avaliou suas ferramentas de AppSec com o mesmo rigor que aplica aos seus próprios produtos.
Quando Chris assumiu a função, o ambiente de AppSec da Glasswall havia se expandido gradualmente entre múltiplos fornecedores ao longo do tempo.
Snyk realizava a análise de dependências. Wiz Code cobria a análise em nível de código. Black Duck gerenciava a governança de código aberto. SonarQube cuidava da qualidade do código. Cada ferramenta resolvia um problema específico, mas juntas, criavam complexidade operacional. Os desenvolvedores já haviam tido experiências negativas com ferramentas que geravam descobertas não confiáveis, e a equipe de segurança estava gastando tempo triando o sinal do ruído em vez de resolver os problemas.
“Tínhamos Snyk, Wiz Code e Black Duck em diferentes partes do ambiente. Cada uma delas era uma boa ferramenta por si só. Juntas, eram uma bagunça.”
A sobreposição entre as ferramentas criava descobertas duplicadas, priorização fragmentada e uma crescente sobrecarga de gerenciamento. O volume de aquisições também havia superado o valor que a equipe estava obtendo em retorno.
Ao mesmo tempo, o ambiente C++ da equipe criava outro desafio. A Glasswall depende fortemente do VC Package, uma configuração de gerenciamento de dependências que muitos scanners modernos suportavam mal ou não suportavam de forma alguma. A equipe precisava de uma cobertura que pudesse funcionar diretamente com seu ambiente, em vez de forçar as equipes de engenharia a usar soluções alternativas.
“Nosso ambiente depende fortemente do VC Package. A maioria dos scanners que avaliamos ou não o suportava ou o suportava mal. A Aikido se comprometeu a entregá-lo, e o entregou em duas semanas.”
Solução
Para Chris, o maior diferencial foi a velocidade de execução e a capacidade de resposta.
Enquanto fornecedores maiores operavam em ciclos de lançamento trimestrais, a Aikido entregava a funcionalidade solicitada em semanas. O suporte ao VC Package se tornou o exemplo mais claro. Depois que a Glasswall apresentou o requisito, a Aikido entregou suporte pronto para produção em um período de duas semanas. Essa capacidade de resposta mudou imediatamente a avaliação.
A Glasswall também executou a Aikido lado a lado com o Wiz Code na mesma base de código de produção durante o processo de avaliação. As descobertas foram comparáveis o suficiente para que os aspectos econômicos se tornassem difíceis de ignorar.
“Executamos a Aikido e o Wiz Code lado a lado. As descobertas foram comparáveis, e a Aikido custava uma fração do valor. Esse foi o momento em que a decisão foi tomada.”
A Aikido também se integrou diretamente aos repositórios Azure DevOps da Glasswall e aos registros de Container, dando à equipe visibilidade centralizada em código, dependências e Containers.
A implementação seguiu o mesmo ritmo. Em um único dia, a Glasswall passou de nenhuma implantação da Aikido para cobertura total em cada pipeline. Conectar repositórios Azure e registros de Container levou um clique, em vez de construir templates de pipeline ou injetar ferramentas CLI manualmente, o que era importante para uma pequena equipe de DevSecOps onde o tempo de engenharia é o recurso mais escasso.
A Glasswall também implementou o Aikido Safe Chain em todos os pipelines de produção que utilizam pacotes compatíveis. Após incidentes recentes na cadeia de suprimentos que expuseram a rapidez com que pacotes maliciosos podem se espalhar, o Safe Chain verifica as dependências antes de serem instaladas, em vez de depender apenas de bancos de dados públicos de CVE.
"Você não pode simplesmente confiar em bancos de dados públicos de CVE para saber se há ou não um problema em seu pacote. É preciso, então, dissecar esse pacote e garantir que, antes de instalá-lo, ele seja seguro para uso."
Para atualizações de dependências vulneráveis, a Glasswall reduziu significativamente a quantidade de esforço manual de engenharia necessário. Os desenvolvedores agora podem ver tanto a descoberta quanto o caminho de remediação no mesmo fluxo de trabalho, com pull requests automatizados gerados diretamente pela Aikido.
“Para a maioria das dependências vulneráveis, é apertar um botão. O PR está lá, o teste está lá, você o mescla.”
Para a Glasswall, o roadmap importava tanto quanto a funcionalidade atual. Como uma empresa de cibersegurança, a equipe estava avaliando não apenas como as ferramentas de AppSec se parecem hoje, mas para onde os testes de segurança ofensivos estão caminhando nos próximos anos. O pentest de IA se destacou como um sinal importante. Para Chris, isso demonstrou que a Aikido estava investindo além dos fluxos de trabalho de scanning tradicionais e pensando em como os testes de segurança ofensivos evoluirão nos próximos anos.
“O que vocês estão fazendo com a abordagem de pentest de IA multiagente será a nova norma. Bug bounty não é uma arte em extinção, mas muitos pesquisadores agora estão usando IA. Por que não podemos nós mesmos adotar a IA para encontrar exploits?”
Por que a Glasswall escolheu a Aikido
Vários fatores impulsionaram a decisão:
- Suporte a VC Package e C++ entregue em duas semanas
- Integrações nativas com Azure DevOps e registros de Container
- Resultados comparáveis aos do Wiz Code com custo significativamente menor
- Consolidação da qualidade de código na mesma plataforma
- AutoFix com um clique para correção de dependências.
- Um roadmap alinhado com testes ofensivos impulsionados por IA
Resultados
O resultado mais visível foi a consolidação. Snyk, Wiz Code e Black Duck foram substituídos por uma única implantação do Aikido cobrindo código, dependências e Containers. O impacto se estendeu além da economia em aquisições. A consolidação reduziu a complexidade operacional, simplificou a priorização e proporcionou à equipe de segurança um fluxo de trabalho único, em vez de ferramentas fragmentadas distribuídas por vários fornecedores.
A Glasswall também continua a expandir a cobertura para superfícies de ataque adicionais. Uma das próximas prioridades é proteger a própria infraestrutura dos agentes de build.
Os agentes de build são nosso alvo número um. Garantir que tenhamos camadas de segurança robustas neles é fundamental. Usar o Aikido Device Protection para nossos agentes de build garantiria que o ecossistema maior estivesse seguro.
Para Chris, os testes ofensivos assistidos por IA são uma das mudanças mais importantes que ocorrem na segurança de aplicações atualmente.
O pentest de IA vai se tornar a nova norma. Muitos pesquisadores já estão usando IA para encontrar exploits. As equipes de segurança precisam adotar a mesma abordagem.
Como a Glasswall usa o Aikido hoje
Atualmente em uso
- Escaneamento SAST e SCA
- Cobertura de dependências de VC Package / C++
- Container scanning
- Detecção de segredos
- Qualidade de Código
- Safe Chain para proteção da cadeia de suprimentos
- AI AutoFix
- Integrações com Azure DevOps e registro de Container
Próximos passos
- Aikido Device Protection para agentes de build
Em avaliação
Veredito final
Para nós, trata-se da abordagem humana. Precisamos de um parceiro que possa acompanhar nossa velocidade, e o Aikido faz isso.

