Olá, Martijn! Você pode nos falar um pouco sobre você e seu papel na Helin?

Sou o CTO e um dos fundadores da Helin. Sou responsável por tudo relacionado à segurança e aos princípios de design de software seguro. Construímos uma plataforma que permite a empresas industriais, especialmente nos setores marítimo e de energia renovável, gerenciar inteligência de borda em escala.

Nossa equipe de engenharia é composta por cerca de 40 pessoas. A complexidade do que construímos — tanto o software em si quanto o ambiente em que ele roda — exige uma mentalidade de segurança em primeiro lugar desde o primeiro dia.

O que a Helin faz e qual problema você está resolvendo?

Estamos construindo uma plataforma de gerenciamento de aplicativos industriais. Nossa missão é simplificar a implantação e operação de software na edge para clientes industriais. Pense em plataformas de perfuração offshore, parques eólicos, parques de energia renovável... Somos essencialmente o OS para locais de energia renovável.

Também bebemos nosso próprio champanhe: executamos duas de nossas próprias aplicações na plataforma para testar, validar e fortalecer tudo o que fazemos. Isso também significa que somos nosso próprio cliente zero. Se algo está quebrado, sabemos antes de qualquer outra pessoa.

Como a Helin se destaca no espaço de software industrial?

“Em nossa indústria, segurança é uma ‘licença para operar’. Se você não pode provar que seu software é seguro, você está fora.”

A segurança é uma parte essencial da nossa proposta de valor, porque tem de ser assim. Os nossos clientes esperam uma «licença para operar». Isso inclui total SBOM , infraestrutura reforçada e capacidade de responder rapidamente a ameaças. O setor das energias renováveis ainda é relativamente imaturo em termos de segurança, por isso, muitas vezes, somos pioneiros (com Aikido ferramentas como Aikido ).

Quais eram os maiores desafios de segurança antes Aikido?

Sempre tivemos uma postura de segurança robusta. Mas o verdadeiro desafio era transformar isso em algo acionável para os desenvolvedores. Você pode definir todas as políticas que quiser, mas se os desenvolvedores não captarem os sinais, nada muda.

“Você pode criar políticas de segurança o quanto quiser, mas se seus desenvolvedores não as adotarem, você não resolverá nada.”

Tentamos várias ferramentas. Todas cobriam o básico, mas faltava-lhes transparência e flexibilidade. Além disso, o atendimento ao cliente também não era ótimo. Um fornecedor levou seis semanas de verificação apenas para retornar a uma solicitação nossa. E muitas ferramentas simplesmente não podiam ser implantadas em ambientes de clientes devido a restrições de conformidade. Isso foi um fator decisivo.

"Testamos várias ferramentas. Todas cobriam o básico, mas faltava transparência e flexibilidade. Além disso, o atendimento ao cliente também não era dos melhores."

Por que você escolheu o Aikido?

Porque se encaixa na nossa forma de pensar sobre segurança: deve ser aberta, colaborativa e fácil de usar para os programadores. Aikido limita a identificar vulnerabilidades, ele ajuda os programadores a agir sobre elas. Essa mudança foi enorme.

“Os desenvolvedores realmente gostam de usar a Aikido. Tornou-se uma espécie de esporte reduzir as vulnerabilidades.”

Também apreciamos o modelo transparente Aikido. Ao contrário de alguns fornecedores, em que você recebe cobranças surpresa por licenças acionadas por um simples alerta do Azure, Aikido claro o que você está pagando. História real: uma vez, recebemos um alerta do Azure num domingo (apenas um alerta!) e isso acionou uma cobrança extra numa das nossas ferramentas antigas. Foi então que percebemos: precisávamos de um parceiro, não de um sistema de penalidades.

“Ao contrário de outros fornecedores, Aikido o surpreende com alertas que, de repente, lhe custam dinheiro.”

Qual sua funcionalidade favorita?

Integração em nível de código. Ela leva os achados para onde os desenvolvedores estão, e não o contrário. Tudo se integra perfeitamente em nossos pipelines de CI/CD. É nativo, não uma reflexão tardia.

Além disso, container e análise estática de código funcionam. Não exigem que reformulemos a arquitetura dos nossos sistemas. Isso é muito importante quando a sua infraestrutura precisa de cumprir restrições de implementação rigorosas.

Como Aikido melhorar os seus resultados em termos de segurança?

Uma das coisas que observámos é que os programadores realmente gostam de reduzir o número de vulnerabilidades. Torna-se uma espécie de jogo. Essa mudança cultural é uma grande vitória. Aikido mais fácil manter a segurança em primeiro lugar, sem atrasar as coisas.

Aikido nos ajuda apenas a cumprir metas. Ele nos ajuda a desenvolver os músculos certos como uma equipa.”

E como operamos em ambientes com controlos de dados rigorosos, precisávamos de uma ferramenta que nos desse total propriedade dos dados. As APIs Aikidopermitem-nos transmitir e ler tudo com segurança dentro dos nossos próprios ambientes.

Que conselho você daria a outras empresas de software industrial que estão avaliando plataformas de segurança?

“Não procure apenas por uma ferramenta de segurança. Procure algo que seus desenvolvedores usarão.”

Não comprometa a visibilidade. Certifique-se de que seus desenvolvedores possam agir com base no que a plataforma encontra. E se seus clientes se preocupam com coisas como SBOMs e atualizações seguras (o que eles deveriam), certifique-se de que sua ferramenta o ajude a entregar isso.

Se tivesse de descrever Aikido frase, qual seria?

É a única ferramenta de segurança que vi que realmente equilibra a experiência do desenvolvedor com requisitos de nível industrial.