Olá, Martijn! Você pode nos falar um pouco sobre você e seu papel na Helin?
Sou o CTO e um dos fundadores da Helin. Sou responsável por tudo relacionado à segurança e aos princípios de design de software seguro. Construímos uma plataforma que permite a empresas industriais, especialmente nos setores marítimo e de energia renovável, gerenciar inteligência de borda em escala.
Nossa equipe de engenharia é composta por cerca de 40 pessoas. A complexidade do que construímos — tanto o software em si quanto o ambiente em que ele roda — exige uma mentalidade de segurança em primeiro lugar desde o primeiro dia.
O que a Helin faz e qual problema você está resolvendo?
Estamos construindo uma plataforma de gerenciamento de aplicativos industriais. Nossa missão é simplificar a implantação e operação de software na edge para clientes industriais. Pense em plataformas de perfuração offshore, parques eólicos, parques de energia renovável... Somos essencialmente o OS para locais de energia renovável.
Também bebemos nosso próprio champanhe: executamos duas de nossas próprias aplicações na plataforma para testar, validar e fortalecer tudo o que fazemos. Isso também significa que somos nosso próprio cliente zero. Se algo está quebrado, sabemos antes de qualquer outra pessoa.
Como a Helin se destaca no espaço de software industrial?
“Em nossa indústria, segurança é uma ‘licença para operar’. Se você não pode provar que seu software é seguro, você está fora.”
A segurança é uma parte central da nossa proposta de valor, porque precisa ser. Nossos clientes esperam uma "licença para operar". Isso inclui transparência total de SBOM, infraestrutura reforçada e a capacidade de responder rapidamente às ameaças. O setor de energias renováveis ainda é relativamente imaturo em termos de segurança, então frequentemente estamos abrindo caminho (junto com ferramentas como o Aikido para nos apoiar).
Quais eram os maiores desafios de segurança antes do Aikido?
Sempre tivemos uma postura de segurança robusta. Mas o verdadeiro desafio era transformar isso em algo acionável para os desenvolvedores. Você pode definir todas as políticas que quiser, mas se os desenvolvedores não captarem os sinais, nada muda.
“Você pode criar políticas de segurança o quanto quiser, mas se seus desenvolvedores não as adotarem, você não resolverá nada.”
Tentamos várias ferramentas. Todas cobriam o básico, mas faltava-lhes transparência e flexibilidade. Além disso, o atendimento ao cliente também não era ótimo. Um fornecedor levou seis semanas de verificação apenas para retornar a uma solicitação nossa. E muitas ferramentas simplesmente não podiam ser implantadas em ambientes de clientes devido a restrições de conformidade. Isso foi um fator decisivo.
"Testamos várias ferramentas. Todas cobriam o básico, mas faltava transparência e flexibilidade. Além disso, o atendimento ao cliente também não era dos melhores."
Por que você escolheu o Aikido?
Porque se encaixa em como pensamos sobre segurança: ela deve ser aberta, colaborativa e amigável para desenvolvedores. O Aikido não apenas identifica vulnerabilidades, ele ajuda os desenvolvedores a agir sobre elas. Essa mudança tem sido enorme.
“Os desenvolvedores realmente gostam de usar a Aikido. Tornou-se uma espécie de esporte reduzir as vulnerabilidades.”
Também apreciamos o modelo transparente do Aikido. Ao contrário de alguns fornecedores onde você recebe cobranças de licenciamento surpresa desencadeadas por um simples alerta do Azure, o Aikido deixa claro pelo que você está pagando. História real: uma vez tivemos um alerta do Azure em um domingo (apenas um alerta!) e isso desencadeou uma cobrança extra em uma de nossas ferramentas antigas. Foi então que percebemos: precisávamos de um parceiro, não de um sistema de penalidades.
“Ao contrário de outros fornecedores, o Aikido não te surpreende com alertas que de repente custam dinheiro.”
Qual sua funcionalidade favorita?
Integração em nível de código. Ela leva os achados para onde os desenvolvedores estão, e não o contrário. Tudo se integra perfeitamente em nossos pipelines de CI/CD. É nativo, não uma reflexão tardia.
Além disso, a varredura de Container e a análise estática de código simplesmente funcionam. Eles não exigem que re-arquitetemos nossos sistemas. Isso importa muito quando sua infraestrutura precisa atender a restrições rigorosas de implantação.
Como o Aikido ajudou a melhorar seus resultados de segurança?
Uma das coisas que notamos é que os desenvolvedores realmente gostam de reduzir o número de vulnerabilidades. Torna-se um pouco um jogo. Essa mudança cultural é uma grande vitória. O Aikido facilita manter a segurança em primeiro plano, sem desacelerar as coisas.
“O Aikido não nos ajuda apenas a marcar caixas. Ele nos ajuda a construir o músculo certo como equipe.”
E como operamos em ambientes com controles de dados rigorosos, precisávamos de uma ferramenta que nos desse total propriedade dos dados. As APIs do Aikido nos permitem transmitir e ler tudo com segurança dentro de nossos próprios ambientes.
Que conselho você daria a outras empresas de software industrial que estão avaliando plataformas de segurança?
“Não procure apenas por uma ferramenta de segurança. Procure algo que seus desenvolvedores usarão.”
Não comprometa a visibilidade. Certifique-se de que seus desenvolvedores possam agir com base no que a plataforma encontra. E se seus clientes se preocupam com coisas como SBOMs e atualizações seguras (o que eles deveriam), certifique-se de que sua ferramenta o ajude a entregar isso.
Como você descreveria Aikido em uma frase?
É a única ferramenta de segurança que vi que realmente equilibra a experiência do desenvolvedor com requisitos de nível industrial.
