Olá Martijn! Podes falar-nos de ti e do teu papel na Helin?
Sou o CTO e um dos fundadores da Helin. Sou responsável por tudo o que diz respeito à segurança e aos princípios de conceção de software seguro. Criámos uma plataforma que permite às empresas industriais, especialmente nos sectores marítimo e das energias renováveis, gerir a inteligência de ponta à escala.
A nossa equipa de engenharia é composta por cerca de 40 pessoas. A complexidade do que construímos, tanto o software em si como o ambiente em que é executado, exige uma mentalidade de segurança desde o primeiro dia.
O que é que Helin faz e que problema está a resolver?
Estamos a construir uma plataforma de gestão de aplicações industriais. A nossa missão é simplificar a implementação e a operação de software no limite para clientes industriais. Pensemos em plataformas de perfuração offshore, parques eólicos, parques de energias renováveis... Somos essencialmente o SO para sítios renováveis.
Também bebemos o nosso próprio champanhe: executamos duas das nossas próprias aplicações na plataforma para testar, validar e reforçar tudo o que fazemos. Isto também significa que somos o nosso próprio cliente zero. Se alguma coisa estiver avariada, nós sabemos antes de qualquer outra pessoa.
Como é que a Helin se destaca no sector do software industrial?
"No nosso sector, a segurança é uma 'licença para operar'. Se não conseguirem provar que o vosso software é seguro, estão fora."
A segurança é uma parte essencial da nossa proposta de valor, porque tem de o ser. Os nossos clientes esperam uma "licença para operar". Isso inclui total transparência do SBOM, infra-estruturas reforçadas e a capacidade de responder rapidamente a ameaças. O espaço das energias renováveis ainda é relativamente imaturo em termos de segurança, pelo que estamos frequentemente a liderar o caminho (juntamente com ferramentas como o Aikido para nos apoiar).
Quais eram os maiores desafios de segurança antes do Aikido?
Sempre tivemos uma postura de segurança forte. Mas o verdadeiro desafio era transformar isso em algo acionável para os programadores. Podemos definir todas as políticas que quisermos, mas se os programadores não estiverem a captar os sinais, nada muda.
"Pode criar as políticas de segurança que quiser, mas se os seus programadores não as entenderem, não vai resolver nada."
Experimentámos várias ferramentas. Todas cobriam os aspectos básicos, mas faltava-lhes transparência e flexibilidade. Além disso, o serviço de apoio ao cliente também não era muito bom. Um fornecedor demorou seis semanas a analisar apenas para responder a um pedido nosso. E muitas ferramentas simplesmente não podiam ser implementadas nos ambientes dos clientes devido a restrições de conformidade. Isso era um obstáculo.
"Experimentámos várias ferramentas. Todas cobriam o básico, mas faltava-lhes transparência e flexibilidade. Além disso, o serviço de apoio ao cliente também não era muito bom."
Porque é que escolheu o Aikido?
Porque se enquadra na forma como pensamos a segurança: deve ser aberta, colaborativa e amiga do programador. O Aikido não se limita a identificar vulnerabilidades, ajuda os programadores a atuar sobre elas. Essa mudança tem sido enorme.
"Os programadores gostam mesmo de usar o Aikido. Tornou-se um pouco como um desporto para reduzir as vulnerabilidades."
Também gostámos do modelo transparente da Aikido. Ao contrário de alguns fornecedores, que cobram taxas de licenciamento inesperadas desencadeadas por um simples alerta do Azure, o Aikido deixa claro o que está a pagar. História verídica: uma vez recebemos um alerta do Azure num domingo (apenas um alerta!) e este acionou um custo adicional numa das nossas ferramentas antigas. Foi aí que percebemos: precisávamos de um parceiro, não de um sistema de penalização.
"Ao contrário de outros fornecedores, a Aikido não o surpreende com alertas que, de repente, lhe custam dinheiro."
Qual é a sua caraterística favorita?
Integração ao nível do código. Traz as descobertas para onde os programadores estão, e não o contrário. Tudo se integra sem problemas em nossos pipelines de CI/CD. É nativo, não é uma reflexão tardia.
Além disso, o controlo container e a análise de código estático simplesmente funcionam. Não exigem que rearquitectemos os nossos sistemas. Isso é muito importante quando sua infraestrutura precisa atender a restrições de implantação rigorosas.
Como é que o Aikido ajudou a melhorar os seus resultados em matéria de segurança?
Uma das coisas que vimos é que os programadores gostam mesmo de reduzir o número de vulnerabilidades. Torna-se um pouco como um jogo. Essa mudança cultural é uma grande vitória. O Aikido torna mais fácil manter a segurança no topo das atenções, sem abrandar as coisas.
"O Aikido não nos ajuda apenas a marcar as caixas. Ajuda-nos a construir o músculo certo como equipa."
E como operamos em ambientes com controlos de dados rigorosos, precisávamos de uma ferramenta que nos desse a propriedade total dos dados. As APIs do Aikido permitem-nos transmitir e ler tudo de forma segura dentro dos nossos próprios ambientes.
Que conselhos daria a outras empresas de software industrial que estão a avaliar plataformas de segurança?
"Não procure apenas uma ferramenta de segurança. Procure algo que os seus programadores utilizem."
Não comprometa a visibilidade. Certifique-se de que os seus programadores podem agir com base no que a plataforma encontra. E se os seus clientes se preocupam com coisas como SBOMs e actualizações seguras (o que é absolutamente necessário), certifique-se de que a sua ferramenta o ajuda a cumprir esse objetivo.
Se tivesse de descrever o Aikido numa frase, qual seria?
É a única ferramenta de segurança que já vi que equilibra verdadeiramente a experiência do programador com requisitos de nível industrial.
.webp){kind=logo}
.png)