A n8n tem a missão de tornar a automatização do fluxo de trabalho acessível às equipas técnicas. À medida que a organização de produtos e engenharia foi crescendo, também aumentou a complexidade da sua postura de segurança. Falámos com Cornelius, VP de Engenharia (e responsável pela segurança em exercício) da n8n, sobre como o Aikido se tornou uma pedra angular nos seus processos de gestão de vulnerabilidades e conformidade.

‍

Olá Cornelius! Podes apresentar-te e apresentar o teu papel na n8n?

Chamo-me Cornelius e sou vice-presidente de engenharia da n8n. Estou na n8n há quase quatro anos, supervisionando e fazendo crescer a nossa organização de engenharia. Atualmente, temos cerca de 40 engenheiros (dentro de uma equipa de I&D com cerca de 50 pessoas) e esperamos chegar aos 60 até ao final do ano. Para além das minhas responsabilidades de engenharia, também actuo atualmente como responsável pela segurança da empresa, ajudando a navegar em auditorias como a SOC 2 e ajudando a definir a nossa postura geral de segurança à medida que crescemos.

‍

O que torna o n8n único no espaço da automatização do fluxo de trabalho?

O nosso objetivo é capacitar as pessoas técnicas. Não precisa de ser um programador para utilizar a n8n, mas se for, a plataforma pode torná-lo 10x mais produtivo. Combinamos o melhor dos dois mundos: a flexibilidade do low-code e o poder do código personalizado quando necessário. Isto facilita a criação de automatizações robustas, agentes de IA e ferramentas internas.

‍

Que papel desempenha a segurança no seu sector e, especificamente, na n8n?

A segurança é absolutamente crítica por duas razões fundamentais. Em primeiro lugar, os utilizadores ligam as suas credenciais mais sensíveis (de ferramentas como o Google, Salesforce, bases de dados e outras API), o que significa que temos de ganhar e manter a sua confiança para lidar com estes secrets.

Em segundo lugar, servimos empresas em sectores altamente regulamentados, incluindo agências governamentais e organizações de segurança com os mais rigorosos requisitos de conformidade. Estas organizações optam frequentemente por auto-hospedar a n8n, o que lhes dá controlo total sobre os seus dados e infra-estruturas, ao mesmo tempo que cumprem as suas rigorosas normas de segurança e privacidade.

‍

Houve algum momento que tenha desencadeado uma maior concentração estratégica na segurança?

Nos primeiros tempos, a segurança não era ignorada, mas também não era tratada de uma forma muito estruturada. Tínhamos ferramentas como Dependabot, GitHub code scanning e Snyk, mas o ruído que elas criavam e os e-mails semanais que enviavam não eram suficientes. Não havia um processo centralizado para ver as descobertas, ou propriedade para lidar com elas.

‍

Tínhamos ferramentas como Dependabot, GitHub code scanning e Snyk, mas o ruído que elas criavam e os e-mails semanais que enviavam não eram suficientes. Não havia um processo centralizado para ver as descobertas ou a propriedade para lidar com elas.

‍

O Aikido ajudou-nos a construir esse processo. Agora, cada vulnerabilidade sinalizada pelo Aikido (seja para código, imagens Docker ou infraestrutura) cria automaticamente um tíquete no Linear, completo com SLAs baseados na gravidade. Isso significa que cada problema é rastreado, priorizado e trabalhado dentro de cronogramas definidos. A segurança não é mais apenas uma ferramenta, mas se tornou um processo.

‍

Quais eram as suas principais preocupações em termos de segurança antes de adotar o Aikido?

Principalmente:

• Não existe um processo coerente
• Não existe uma síntese central de todas as conclusões 
• Não há forma de aplicar SLAs em questões de segurança

Precisávamos de algo que nos ajudasse a cumprir de forma fiável os prazos de resolução, como 21 dias para descobertas de elevada gravidade. O Aikido deu-nos a estrutura para cumprirmos efetivamente esses objectivos.

‍

Como é que lidava com a conformidade e as auditorias antes do Aikido?

Estávamos a trabalhar com o Drata, mas as provas de conformidade continuavam a exigir um grande esforço manual. O Aikido agora complementa o Drata, fornecendo um único painel de vidro para nossas ferramentas de segurança. Isso nos ajudou a reduzir o tempo necessário para reunir evidências e passar nas auditorias.

‍

A integração do Drata da Aikido ajuda-nos a reduzir o tempo necessário para reunir provas e passar nas auditorias.

‍

O que é que se destacou no Aikido durante a sua avaliação?

Fomos os primeiros a adotar o Aikido. A integração com o GitHub foi fácil, com apenas alguns cliques, literalmente. 

Mas o mais importante é que a equipa da Aikido foi incrivelmente reactiva. Dávamos feedback e a equipa Aikido respondia no espaço de uma hora e enviava melhorias ou correcções no espaço de um dia. E continuam a fazê-lo. Esse tipo de parceria foi inestimável, especialmente durante a preparação para uma auditoria SOC 2.

‍

A equipa do Aikido é incrivelmente reactiva. Damos feedback e recebemos uma resposta numa hora. As melhorias ou correcções são frequentemente enviadas no espaço de um dia.

‍

Como é que integraram o Aikido nos vossos fluxos de trabalho?

• GitHub para digitalização de bases de código
• Linear para a transferência e resolução de bilhetes

De um modo geral, ajudou-nos a manter o controlo sobre as coisas.

‍

Como tem sido a sua experiência de trabalho com a equipa de Aikido?

Excelente. São incrivelmente rápidos e transparentes, e estão sempre dispostos a responder a uma chamada ou a resolver um problema rapidamente. Existe uma grande confiança. Como já foi referido, sempre que encontramos um erro ou recebemos feedback, a equipa rapidamente se prontifica a resolver o problema, normalmente no espaço de um dia. Esse apoio tem sido uma grande parte do sucesso da implementação.

‍

Qual é a tua caraterística favorita no Aikido?

Definitivamente, a filtragem de equipas. Permite-nos encaminhar instantaneamente as vulnerabilidades para a equipa certa. 

Mas é no feed principal que passo a maior parte do meu tempo. Verifico-o pelo menos cinco vezes por semana para ver o que está em aberto, o que é urgente e o que foi resolvido. Isso dá-me visibilidade total.

‍

O feed principal do Aikido é onde passo a maior parte do meu tempo. Verifico-o pelo menos cinco vezes por semana para ver o que está em aberto, o que é urgente e o que foi resolvido. Dá-me visibilidade total.

‍

Dado que somos um produto comercial e de código aberto, dependemos muito de bibliotecas de código aberto. A visualização de licenças de código aberto e as funcionalidades SBOM (Software Bill of Materials) também são fundamentais para nós.

‍

n8n relata uma redução de 92% do ruído com o Aikido. Qual foi o impacto? 

Sim! A redução de 92% do ruído é um fator de mudança. Permite-nos concentrarmo-nos nos 8% que realmente importam. Só isso já é ouro. 

Embora alguns bilhetes sejam um pouco enigmáticos, são suficientemente bons para que os engenheiros comecem a trabalhar. Sinceramente, habituámo-nos rapidamente ao "silêncio" e agora gostava que fosse ainda mais silencioso. É um enorme aumento de produtividade e sanidade mental.

‍

Com 92% de redução de ruído, habituámo-nos rapidamente ao "silêncio". Agora gostava que fosse ainda mais silencioso! É um enorme aumento de produtividade e sanidade.

‍

Já viu resultados mensuráveis?

Só o facto de podermos dizer "reduzimos o ruído em 92%" já tem impacto. Mas, para além disso, a capacidade de nos mantermos dentro dos SLAs e de passarmos auditorias de forma mais eficiente é uma enorme vitória para nós.

‍

Como é que o Aikido alterou a sua postura de segurança em geral?

Centralizou a nossa abordagem. Antes, as coisas estavam espalhadas por várias ferramentas e caixas de entrada. Agora, temos uma única fonte de verdade.

‍

Se tivesses de resumir o impacto do Aikido na n8n numa frase?

‍

O Aikido dá-nos paz de espírito no que diz respeito à segurança (o que por si só já é assustador).

‍

‍