Em resumo
- Segurança integrada diretamente nos fluxos de trabalho dos programadores e nos pedidos de integração
- Passou de análises programadas e reativas para um feedback contínuo sobre a segurança
- Menos ruído graças à priorização baseada na acessibilidade e a um menor número de falsos positivos
- secrets unificada de SAST, SCA e secrets numa única plataforma
- Segurança escalável em mais de 200 repositórios com uma sobrecarga mínima
- Assegura a segurança e a conformidade das empresas com as normas ISO 27001, o RGPD e os regulamentos do setor da saúde
Construir cuidados de saúde digitais seguros em grande escala
A Oviva oferece programas digitais de cuidados de saúde, com reembolso e baseados em evidências, para doenças crónicas como a obesidade e a diabetes tipo 2. A sua plataforma combina conhecimentos clínicos, análises baseadas em inteligência artificial e acompanhamento personalizado para promover resultados a longo prazo para os doentes. Neste contexto, a segurança é indissociável da segurança dos doentes. A Oviva trata de dados médicos altamente sensíveis e opera ao abrigo de rigorosos quadros regulamentares, incluindo a norma ISO 27001, o RGPD e normas de saúde específicas de cada país. A confiança não é apenas esperada, é exigida.
«A segurança na saúde digital tem, essencialmente, a ver com a proteção dos doentes e a manutenção da confiança.»
- Tom Koshy, DevSecOps Principal DevSecOps , Oviva
À medida que a empresa crescia, essa responsabilidade precisava de se refletir não só nas políticas, mas também na forma como o software era desenvolvido.
Quando o crescimento ultrapassa os fluxos de trabalho de segurança
Antes Aikido, a Oviva recorria a uma combinação de ferramentas de código aberto para SAST, SCA e gerenciamento de vulnerabilidades. Embora fossem eficazes isoladamente, estas ferramentas criavam atritos quando utilizadas em grande escala. As análises de segurança eram programadas, em vez de serem contínuas. Os resultados tinham de ser agregados entre as diferentes ferramentas. A triagem exigia coordenação entre as equipas. À medida que o número de repositórios e colaboradores crescia, também aumentava a sobrecarga operacional.
Com o passar do tempo, isso criou atritos tanto para os programadores como para as equipas de segurança. Os problemas eram identificados tardiamente, a responsabilidade não era clara e perdia-se tempo valioso a coordenar e a classificar problemas, em vez de os resolver. A segurança estava presente, mas ficava à margem do fluxo de trabalho dos programadores. A equipa viu uma oportunidade de mudar essa situação.
Mudança para o modelo contínuo, segurança voltada para o desenvolvedor
A Oviva propôs-se a integrar a segurança diretamente no processo de desenvolvimento. Em vez de depender de análises periódicas e de uma triagem centralizada, o objetivo era identificar os problemas no momento em que estes ocorriam: nos pedidos de integração, durante as compilações e no âmbito dos fluxos de trabalho dos programadores. Os programadores precisavam de um feedback imediato e prático, para que os problemas pudessem ser resolvidos antes de chegarem à produção.
Igualmente importante foi reduzir o ruído. Um elevado número de falsos positivos atrasa as equipas e mina a confiança nas ferramentas de segurança. Qualquer nova abordagem tinha de dar prioridade à precisão, à clareza e à usabilidade. As ferramentas que sobrecarregam os engenheiros com falsos positivos acabam por não ser utilizadas.
Por que a Oviva escolheu Aikido Snyk do Prisma Cloud
Durante a avaliação, a Oviva analisou plataformas como Snyk, a Prisma Cloud, Semgrep e GitHub Advanced Security. Aikido ao eliminar os compromissos habituais.
Enquanto plataformas de maior dimensão, como o Prisma Cloud complexidade operacional, Aikido de forma harmoniosa nos fluxos de trabalho existentes do Git e de CI/CD. Enquanto ferramentas como Snyk geravam Snyk um grande volume de resultados, Aikido nos sinais relevantes, ajudando as equipas a dar prioridade às questões que realmente importam.
Em vez de ter de combinar várias ferramentas, a Oviva conseguiu consolidar as principais funcionalidades de segurança de aplicações numa única plataforma que os programadores puderam adotar imediatamente.
Aikido o equilíbrio certo entre funcionalidade, facilidade de utilização e experiência do programador.»
Implementação em mais de 200 repositórios nas próximas semanas
A adoção foi rápida e sem complicações. A Oviva integrou mais de 75 programadores e conectou mais de 200 repositórios em poucas semanas.
A configuração exigiu apenas alguns passos para integrar os repositórios e ativar a verificação. Como a plataforma é intuitiva, os programadores puderam começar a utilizá-la imediatamente, sem necessidade de uma integração ou formação extensiva.
Para a equipa de segurança, isto significou uma visibilidade imediata num ambiente de engenharia vasto e em crescimento.
Das análises reativas à segurança contínua
Com Aikido, a segurança passou de verificações programadas para um feedback em tempo real.
As verificações são agora executadas diretamente nas solicitações de integração e nos pipelines de CI/CD. Os programadores recebem feedback imediato à medida que introduzem alterações, o que lhes permite resolver vulnerabilidades antes de o código ser integrado ou implementado.
Ao mesmo tempo, Aikido o ruído através reachability analysis, destacando apenas as vulnerabilidades que podem realmente ser exploradas, em vez de sinalizar todos os problemas teóricos. Em combinação com orientações claras para a correção e funcionalidades de correção automática, isto permite que as equipas se concentrem nos riscos reais, em vez de perderem tempo com a triagem.
A segurança passa de um portão no final para uma barreira de segurança ao longo de todo o empreendimento.
Simplificar gerenciamento de vulnerabilidades a conformidade
Anteriormente, gerenciamento de vulnerabilidades a agregação de resultados de várias ferramentas e a sua gestão através de sistemas externos.
Com Aikido, tudo está centralizado numa única plataforma. As equipas de segurança obtêm uma visão clara e unificada das vulnerabilidades em todos os repositórios, com funcionalidades integradas de priorização e acompanhamento da responsabilidade. Os programadores sabem exatamente o que precisa de ser corrigido e porquê.
Isto tem um impacto direto na conformidade. Num ambiente de cuidados de saúde, a capacidade de demonstrar o nível de segurança de forma rápida e clara é fundamental.
Aikido uma visão centralizada e bem hierarquizada das vulnerabilidades, facilitando consideravelmente a elaboração de relatórios de conformidade.»
O impacto
A adoção Aikido a forma como a Oviva aborda a segurança, tanto a nível técnico como organizacional. As vulnerabilidades são agora identificadas mais cedo e resolvidas mais rapidamente. Os programadores envolvem-se ativamente na segurança, uma vez que o feedback é imediato e permite agir de imediato, em vez de ser algo com que se deparam apenas a posteriori.
Fundamentalmente, as equipas já não dedicam o seu tempo a investigar alertas irrelevantes. Estão a resolver problemas reais. As equipas de segurança deixaram de se dedicar à triagem manual para se concentrarem em tarefas de maior valor, enquanto a organização reforçou a sua capacidade de cumprir os requisitos regulamentares e de manter uma visibilidade clara da sua postura de segurança à medida que cresce.
Uma mudança radical na maturidade da segurança
Aikido à Oviva passar de uma abordagem reativa e orientada para as ferramentas para um DevSecOps proativo e centrado nos programadores. A segurança é agora contínua, integrada e escalável em toda a organização.
Aikido passar de uma análise reativa para um modelo proativo e centrado no programador, melhorando a visibilidade e ajudando-nos a adaptar a segurança à medida que crescemos.»
Olhando para o futuro
À medida que a Oviva continua a expandir a sua plataforma, necessita de uma base de segurança capaz de evoluir em paralelo. Com Aikido, a equipa está preparada para alargar a sua abordagem a domínios adicionais, como container segurança na nuvem aumentar a complexidade. Porque, na saúde digital, a segurança não se resume apenas a proteger os sistemas. Trata-se de proteger os doentes.
