Aikido

Como a Omnea entrega código gerado por IA 70 a 80 vezes por dia e permanece continuamente segura

70-80
deployments por dia
80%+
código gerado por IA
50:1
Proporção desenvolvedor-engenheiro de segurança
1
plataforma de segurança unificada

Em resumo

  • Um único engenheiro de segurança cobre 50 desenvolvedores entregando de 70 a 80 vezes por dia
  • Mais de 80% do novo código na Omnea é gerado por IA
  • Escolheu Aikido em vez de Snyk após um teste de prova de conceito de seis semanas com Snyk
  • Adotou Aikido como a primeira ferramenta AppSec dedicada da Omnea, sem nenhuma ferramenta anterior para substituir
  • Aikido permanece discretamente no fluxo de trabalho do desenvolvedor cerca de 90% do tempo
  • Baixos falsos positivos significam que um único engenheiro pode confiar e agir em cada alerta
  • As evidências SOC 2 fluem para o Vanta, e os relatórios de licença cobrem a diligência de investidores sob demanda
  • Pilotando pentest de IA e planejando implementar a proteção de dispositivos

Desafio

A Omnea é uma empresa de procurement nativa de IA cujos clientes incluem empresas globais como Spotify, MongoDB e Monzo. Ela os atende com uma equipe que contrata agressivamente e entrega continuamente. Quando a equipe adotou o Aikido pela primeira vez, eram 14 desenvolvedores e estavam crescendo rapidamente. A segurança precisava escalar com a engenharia sem se tornar um bloqueador de lançamento, e ao mesmo tempo, precisava resistir às revisões de aquisição empresarial.

"Quando chegamos ao Aikido pela primeira vez, precisávamos de uma ferramenta de segurança que pudesse escalar conosco. Éramos 14 desenvolvedores na época e estávamos crescendo rapidamente. Precisávamos de algo que nos permitisse permanecer seguros e entregar para clientes empresariais, sem nos tornarmos um bloqueador."

Solução

O Aikido cobriu uma ampla superfície de AppSec em uma única plataforma, e conquistou a adoção dos desenvolvedores por permanecer discreto. Ele só interrompe os engenheiros quando há algo real para ser analisado.

"Nossos desenvolvedores usam o Aikido todos os dias, mas ele não é um grande bloqueador. Noventa por cento do tempo ele fica discretamente em segundo plano. Metade do tempo, a maioria dos desenvolvedores esquece que ele está lá. Ele só os aciona quando algo é real."

A Omnea conectou o Aikido às ferramentas que suas funções de engenharia e segurança já utilizavam: GitHub, Linear e Vanta. A integração com Vanta reformulou a forma como a equipe lida com as auditorias SOC 2.

"Integramos o Aikido ao GitHub, Linear e Vanta. Com o Vanta, nossa ferramenta SOC 2, o Aikido fornece evidências aos auditores de imediato, sem a necessidade de voltar e buscar problemas específicos."

O código gerado por IA é agora a norma na Omnea, e não a exceção. Isso muda a velocidade com que a base de código se move e o que uma ferramenta de segurança precisa acompanhar.

"Mais de oitenta por cento do nosso código hoje em dia é gerado por IA. Ter uma ferramenta que verifica o que estamos fazendo, à medida que as coisas mudam e se movem tão rapidamente, é realmente importante."

Por que a Omnea escolheu o Aikido

A Omnea comparou o Aikido com o Snyk e algumas soluções existentes. O que decidiu foi a facilidade de trabalhar com o Aikido desde o início: preços transparentes, ampla cobertura pronta para uso e uma equipe que entregava solicitações de recursos em dias.

"Ficou claro desde o início como era muito mais fácil trabalhar com o Aikido. Preços transparentes, mais recursos de imediato e uma equipe que respondia. Isso tornou a escolha clara e fácil."

O contraste com a avaliação do Snyk era fácil de ver. Um teste de seis semanas lá deixou clara a diferença na agilidade, enquanto o Aikido retornava o feedback no dia seguinte.

  • Preços transparentes sem ciclo de avaliação obrigatório de várias semanas
  • Ampla cobertura pronta para uso, além de uma ferramenta SCA autônoma, incluindo SAST, SCA e AutoFix
  • Uma equipe que responde a solicitações de recursos em dias, não em trimestres
  • Integrações nativas com GitHub, Linear e Vanta
  • Uma plataforma construída para a velocidade de uma equipe de engenharia nativa de IA

Resultados

Segurança que acompanha o ritmo sem contratações adicionais

Com o Aikido, a Omnea opera com uma proporção que seria difícil de sustentar com uma ferramenta mais ruidosa ou manual: um engenheiro de segurança cobrindo cinquenta desenvolvedores. Essa proporção se mantém porque o Aikido cobre código, Cloud e dependências em um só lugar e reduz o ruído, permitindo que um único engenheiro veja toda a superfície e confie no que é sinalizado.

"O Aikido nos permitiu entregar para clientes corporativos, mantendo uma postura de segurança elevada. Estamos entregando para produção de 70 a 80 vezes por dia. Temos um engenheiro de segurança para 50 desenvolvedores, e eles gerenciam toda a carga de trabalho porque o Aikido faz o trabalho pesado."

Alertas nos quais a equipe pode confiar

Uma função de segurança enxuta só funciona se cada alerta valer a pena ser acionado. Na Omnea, a ausência de ruído de falsos positivos é o que permite que um engenheiro acompanhe, e é por isso que os desenvolvedores levam a ferramenta a sério quando ela se manifesta.

"Os desenvolvedores confiam que, quando o Aikido levanta um problema, o problema é real. Não ter todo o ruído e falsos positivos significa que, ao analisar algo, você sabe que há um problema real a ser corrigido."

Risco da cadeia de suprimentos, agora visível

O Aikido expõe o volume de risco da cadeia de suprimentos que se move pelas dependências da Omnea, em um só lugar, em vez de espalhado por registros. Em uma janela recente de três meses, isso representou sete vezes mais vulnerabilidades na cadeia de suprimentos do que no trimestre anterior, tudo visível para a equipe.

"É tão fácil para os desenvolvedores instalarem um pacote vulnerável ou comprometido, ter algo que bloqueie o que está sendo instalado é realmente valioso."

Segurança que compensa na sala de due diligence

Para uma empresa que busca capital, o Aikido trouxe retornos onde a Omnea não esperava. Quando os investidores pediram evidências de uma postura de segurança madura, a resposta já estava gerada e aguardando.

"O Aikido até nos ajudou com a due diligence dos investidores. Um relatório sobre cada tipo de licença, gerado instantaneamente. Nem sabíamos que tínhamos isso até que nossos investidores perguntaram, e resolveu o problema instantaneamente."

Também mudou a forma como os investidores viam a empresa. Ser capaz de demonstrar, sob demanda, que a segurança estava sendo tratada eliminou uma série de questionamentos antes mesmo de começarem.

"Quando você está buscando investimento, os investidores querem ver que você é maduro em todos os aspectos da segurança. Com o Aikido, não houve preocupações desde o início. Pudemos dizer que estamos no controle e somos proativos em relação à nossa postura."

O mesmo rastro de evidências serve para as auditorias SOC 2 da equipe, onde o Aikido fornece aos auditores provas de remediação dentro do SLA sem que ninguém precise puxar os problemas manualmente.

Como a Omnea está expandindo seu uso do Aikido

Já em uso

  • Escaneamento SAST e SCA
  • AutoFix
  • Integração Vanta para evidências SOC 2
  • Relatórios de licenças
  • Aikido Safe Chain

Em fase de piloto

  • pentest de IA, com execuções iniciais concluídas e um lançamento contínuo planejado
"Antes, tínhamos apenas um pentest anual, muitas vezes mais um item de verificação do que qualquer outra coisa. Com o pentest de IA, podemos encontrar problemas assim que os lançamos. Podemos corrigi-los antes que alguém os encontre."

Planejando adotar

  • Proteção de dispositivos

Avaliando os próximos passos

  • Aikido Zen Firewall, como um possível substituto para o AWS WAF para regras de saída e baseadas em aprendizado

Veredito final

"Para nós, o principal impacto do Aikido é que podemos permanecer continuamente seguros enquanto entregamos em velocidade ultrarrápida."

Fique seguro agora

Proteja seu código, Cloud e runtime em um único sistema centralizado.
Encontre e corrija vulnerabilidades rapidamente de forma automática.

Não é necessário cartão de crédito | Resultados da varredura em 32 segundos.