Como a HeyJobs eliminou a proliferação de ferramentas de segurança com o Aikido

Em resumo

• Consolidou múltiplas ferramentas de segurança em uma plataforma unificada de AppSec e segurança na nuvem
• Integrado em 95 repositórios, 31 registros de Container e 9 ambientes Cloud
• Suporta desenvolvedores trabalhando com Ruby, Python e serviços conteinerizados
• Fortalece a segurança da supply chain de software e a visibilidade de dependências
• Substituiu ferramentas de segurança dispersas, incluindo Dependabot e Detectify

Desafio

À medida que a HeyJobs, a empresa por trás da crescente plataforma de recrutamento, expandia sua organização de engenharia, as ferramentas de segurança começaram a crescer organicamente junto com ela. Diferentes equipes dependiam de sistemas distintos para monitorar dependências, escanear código ou gerar alertas de segurança. Embora cada uma dessas ferramentas abordasse partes do problema, elas criaram um fluxo de trabalho de segurança fragmentado que se tornava cada vez mais difícil de gerenciar.

Os insights de segurança estavam espalhados por múltiplas plataformas, cada uma produzindo seus próprios alertas e dashboards. Engenheiros precisavam alternar entre sistemas para entender riscos, correlacionar problemas e decidir o que exigia atenção. Isso atrasava a triagem de vulnerabilidades e dificultava a manutenção de uma visão consistente da postura de segurança da empresa.

Boris Diebold, CTO da HeyJobs, descreve como era o ambiente antes de adotar o Aikido:

“Tínhamos todo tipo de ferramentas dispersas; usávamos o Dependabot, uma ferramenta separada para alertas de segurança e algumas ferramentas internas”. 

Com o tempo, a proliferação de ferramentas introduziu complexidade e sobrecarga adicionais. Cada produto exigia sua própria configuração, fluxos de trabalho e gerenciamento de alertas, dificultando que as equipes permanecessem focadas nas questões de segurança mais importantes.

Como Boris explica:

“É sempre difícil gerenciar a proliferação, com todas essas ferramentas diferentes.”

O relatório de 2026 da Aikido sobre o Estado da IA em Segurança e Desenvolvimento descobriu que a proliferação de ferramentas de segurança se correlaciona com mais incidentes. 

A HeyJobs começou a procurar uma maneira de simplificar como as vulnerabilidades eram identificadas e gerenciadas, mantendo uma forte cobertura de segurança em seus sistemas.

Solução: Uma plataforma construída para fornecer contexto

Durante seu processo de avaliação, a equipe da HeyJobs explorou diversas ferramentas de segurança de aplicações, incluindo Snyk. Muitas soluções focavam intensamente em áreas específicas de segurança, como análise de dependências ou análise de infraestrutura. Embora essas ferramentas oferecessem fortes capacidades em domínios individuais, adotá-las frequentemente significava adicionar mais um produto ao stack de segurança existente.

Para a HeyJobs, o objetivo não era simplesmente introduzir outro scanner, mas melhorar a forma como os insights de segurança eram entregues aos engenheiros e à liderança. A equipe queria uma plataforma que pudesse consolidar os sinais de vulnerabilidade de todo o stack de desenvolvimento e apresentá-los de uma forma que facilitasse a ação das equipes.

Como Boris explica:

“Queríamos ter todos os sinais em uma única plataforma, para não precisarmos de outras 10 ferramentas diferentes e mais uma ferramenta para gerenciar os sinais.”

A Aikido se destacou por reunir esses sinais em um único ambiente. Em vez de gerenciar múltiplos dashboards e sistemas de alerta, a organização de engenharia podia visualizar riscos em código, Container e infraestrutura a partir de uma única interface. Isso tornou significativamente mais fácil entender quais problemas exigiam atenção e como deveriam ser abordados.

A visão consolidada também proporcionou à liderança uma visão geral mais clara da postura de segurança da organização. Relatórios e métricas ofereceram uma perspectiva de alto nível sobre as vulnerabilidades, ao mesmo tempo em que permitiam aos engenheiros aprofundar nos detalhes técnicos necessários para resolvê-las.

Implementação

A HeyJobs inicialmente introduziu a Aikido conectando um pequeno número de repositórios como prova de conceito. O objetivo era avaliar o quão bem a plataforma poderia identificar insights de segurança e se integrar aos fluxos de trabalho de engenharia existentes.

O valor da plataforma ficou claro rapidamente.

“Foi basicamente assim que começamos. Tivemos um ótimo resultado, eu diria, conectando inicialmente alguns repositórios para um período de teste, vendo benefícios imediatos” disse Boris. 

Após a avaliação bem-sucedida, a HeyJobs expandiu gradualmente a implementação em toda a organização de engenharia. Hoje, a plataforma monitora 95 repositórios, 31 registros de Container e nove ambientes Cloud conectados, enquanto também rastreia múltiplos domínios e APIs. Ela se integra diretamente ao ambiente GitHub da empresa e envia alertas para ferramentas operacionais como o PagerDuty, para que questões críticas possam ser identificadas rapidamente.

As capacidades de remediação da Aikido também desempenharam um papel importante na adoção. 

Rodrigo Oliveira, Líder de Equipe de Infraestrutura e Segurança Cloud, destaca o impacto dessa capacidade:

“Em particular, a funcionalidade AutoFix da plataforma permite que certas vulnerabilidades sejam resolvidas automaticamente ou com esforço manual mínimo dos desenvolvedores.”

Ao combinar detecção, priorização e orientação de remediação na mesma plataforma, a Aikido permitiu que a HeyJobs passasse de alertas dispersos para um fluxo de trabalho de segurança mais claro e acionável.

Por que a HeyJobs escolheu a Aikido

A HeyJobs selecionou a Aikido porque ela:

• Consolida múltiplos sinais de segurança em uma plataforma unificada
  
• Oferece ampla cobertura em código, Container e infraestrutura Cloud
  
• Entrega priorização clara de vulnerabilidades e orientação de remediação
  
• Inclui capacidades AutoFix que reduzem o esforço manual dos desenvolvedores
  
• Ajuda a gerenciar riscos da segurança da supply chain de software e vulnerabilidades de dependência
  
• Oferece uma experiência intuitiva para desenvolvedores que impulsiona a adoção
  

Resultados

Superfície de ataque reduzida

Um dos resultados mais importantes da implementação do Aikido tem sido a redução do impacto potencial de vulnerabilidades nos sistemas da HeyJobs. O monitoramento contínuo em repositórios, Containeres e configurações de Cloud permite que os problemas sejam identificados mais cedo e resolvidos antes que se espalhem por serviços ou ambientes.

Rodrigo Oliveira descreve a melhoria em termos práticos:

“Eu diria que o impacto do raio de explosão que nossas aplicações têm agora é significativamente menor.”

Uma visibilidade mais cedo permite que as equipes respondam mais rapidamente quando as vulnerabilidades aparecem e reduz a probabilidade de que as fraquezas de segurança permaneçam despercebidas por longos períodos de tempo. Essa abordagem proativa ajudou a empresa a fortalecer sua postura geral de segurança, mantendo a velocidade de desenvolvimento.

Aumento da conscientização do desenvolvedor

Outro resultado importante tem sido o aumento da conscientização sobre segurança entre os desenvolvedores. Ao apresentar vulnerabilidades com explicações claras e orientações de remediação, o Aikido ajuda os engenheiros a entender o impacto dos problemas de segurança e como eles devem ser resolvidos. Essa visibilidade muda gradualmente a forma como as equipes abordam as decisões de desenvolvimento. Com o tempo, os desenvolvedores se tornam mais conscientes dos riscos comuns em áreas como configurações de Container, versões de dependência e configurações de infraestrutura.

Rodrigo Oliveira ilustra isso com um exemplo prático do trabalho de desenvolvimento diário:

“Agora está claro para todos que talvez uma imagem Docker com acesso root não seria uma ótima coisa.”

Insights como esses incentivam os engenheiros a adotar padrões mais seguros e a melhorar as práticas de segurança em toda a organização, sem introduzir atrito nos fluxos de trabalho de desenvolvimento.

Priorização clara de vulnerabilidades

Muitas ferramentas de segurança geram grandes volumes de alertas sem explicar claramente seu impacto ou como devem ser corrigidos. Isso frequentemente força os engenheiros a gastar tempo investigando problemas antes que possam determinar se são realmente importantes. O Aikido aborda esse desafio fornecendo contexto adicional sobre as vulnerabilidades, incluindo sua gravidade, impacto potencial e etapas de remediação recomendadas. Isso permite que os desenvolvedores entendam rapidamente quais problemas exigem atenção e como devem ser resolvidos.

Rodrigo Oliveira explica a diferença que isso faz:

“Algumas ferramentas carecem de informações sobre como corrigir uma vulnerabilidade e o impacto potencial, mas com o Aikido sabemos o que esperar.”

Com uma priorização mais clara e orientação de remediação, os engenheiros da HeyJobs conseguem focar seus esforços nas vulnerabilidades que mais importam.

Segurança da supply chain mais forte

Para a equipe de liderança da HeyJobs, a segurança da supply chain de software continua sendo uma das áreas de maior preocupação. Aplicações modernas dependem fortemente de dependências de código aberto, e vulnerabilidades dentro dessas dependências podem afetar rapidamente múltiplos serviços. O Aikido fornece uma visibilidade mais profunda desses riscos, analisando árvores de dependência e identificando vulnerabilidades em dependências diretas e transitivas. Isso permite que a equipe determine rapidamente se vulnerabilidades recém-divulgadas afetam seus sistemas e quão urgente a remediação pode ser.

Boris resume a importância dessa capacidade:

“Acho que um dos principais problemas que dificulta o sono à noite são os ataques de gerenciamento da supply chain.”

Com uma visibilidade aprimorada sobre vulnerabilidades de dependência e riscos da supply chain, a equipe agora tem maior confiança de que essas ameaças podem ser detectadas e resolvidas rapidamente.

‍

Como a HeyJobs está expandindo o uso do Aikido

Já em uso

• Aikido Code (SAST, SCA, detecção de vulnerabilidades da supply chain, e mais)
• Aikido Cloud  (CSPM, análise de segurança de contêineres, e mais)
• Capacidades de remediação AutoFix

Avaliando os próximos passos

• Pentest de IA
• Fortalecimento de Container

Métricas de segurança que impulsionam a melhoria

A Aikido também fornece à HeyJobs métricas de segurança significativas que ajudam a acompanhar as melhorias em toda a organização de engenharia. Esses insights permitem que as equipes de liderança monitorem como as vulnerabilidades evoluem ao longo do tempo e meçam o progresso em relação às metas de segurança internas.

As métricas de segurança geradas pela plataforma são revisadas regularmente e usadas para avaliar a eficácia com que as equipes estão abordando as vulnerabilidades em seus serviços. Essa abordagem baseada em dados ajuda a organização a tratar a segurança como uma disciplina de engenharia mensurável, em vez de um objetivo abstrato.

Veredito final

Para a HeyJobs, a Aikido tornou-se um componente central de sua estratégia de segurança. Ao trazer insights de vulnerabilidade para uma única plataforma, a empresa obteve maior visibilidade sobre os riscos de segurança, ao mesmo tempo em que reduziu a sobrecarga operacional associada ao gerenciamento de múltiplas ferramentas.

Os desenvolvedores se beneficiam de uma orientação de remediação mais clara e de recursos de automação, como o AutoFix, enquanto a liderança obtém uma visão abrangente da postura de segurança da organização. Essa combinação permite à HeyJobs escalar sua organização de engenharia, mantendo um programa de segurança proativo e bem gerenciado.

‍