Em resumo
- Segurança incorporada diretamente nos fluxos de trabalho dos desenvolvedores e pull requests
- Mudança de varreduras reativas e agendadas para feedback contínuo de segurança
- Ruído reduzido com priorização baseada em alcançabilidade e menos falsos positivos
- Unificado SAST, SCA e detecção de segredos em uma única plataforma
- Segurança escalada em mais de 200 repositórios com sobrecarga mínima
- Suporta segurança e conformidade empresarial abrangendo ISO 27001, GDPR e regulamentações de saúde
Construindo saúde digital segura em escala
A Oviva oferece programas de saúde digital reembolsados e baseados em evidências para condições crônicas como obesidade e diabetes tipo 2. Sua plataforma combina expertise clínica, insights impulsionados por IA e coaching personalizado para impulsionar resultados de longo prazo para os pacientes. Neste ambiente, a segurança é inseparável da segurança do paciente. A Oviva lida com dados médicos altamente sensíveis e opera sob rigorosos frameworks regulatórios, incluindo ISO 27001, GDPR e padrões de saúde específicos de cada país. A confiança não é apenas esperada, é exigida.
“A segurança na saúde digital trata-se fundamentalmente de proteger pacientes e manter a confiança.”
- Tom Koshy, Engenheiro Principal de DevSecOps, Oviva
À medida que a empresa escalava, essa responsabilidade precisava ser refletida não apenas na política, mas na forma como o software era construído.
Quando o crescimento supera os fluxos de trabalho de segurança
Antes do Aikido, a Oviva dependia de uma combinação de ferramentas de código aberto para SAST, SCA e gerenciamento de vulnerabilidades. Embora eficazes isoladamente, elas criavam atrito em escala. As varreduras de segurança eram agendadas em vez de contínuas. Os achados precisavam ser agregados entre as ferramentas. A triagem exigia coordenação entre as equipes. À medida que o número de repositórios e contribuidores crescia, o mesmo acontecia com a sobrecarga operacional.
Com o tempo, isso criou atrito tanto para desenvolvedores quanto para equipes de segurança. Os problemas eram identificados tardiamente, a propriedade era incerta, e tempo valioso era gasto coordenando e triando em vez de corrigir. A segurança estava presente, mas vivia fora do fluxo de trabalho do desenvolvedor. A equipe viu uma oportunidade de mudar isso.
Transição para segurança contínua e voltada para o desenvolvedor
A Oviva se propôs a incorporar a segurança diretamente no desenvolvimento. Em vez de depender de varreduras periódicas e triagem centralizada, o objetivo era expor os problemas onde eles ocorrem: em pull requests, durante as builds e dentro dos fluxos de trabalho dos desenvolvedores. Os desenvolvedores precisavam de feedback imediato e acionável para que os problemas pudessem ser resolvidos antes de chegar à produção.
Igualmente importante era reduzir o ruído. Grandes volumes de falsos positivos atrasam as equipes e corroem a confiança nas ferramentas de segurança. Qualquer nova abordagem precisava priorizar precisão, clareza e usabilidade. Ferramentas que sobrecarregam os engenheiros com falsos positivos não são usadas.
Por que a Oviva escolheu o Aikido em vez de Snyk e Prisma Cloud
Durante a avaliação, a Oviva avaliou plataformas incluindo Snyk, Prisma Cloud, Semgrep e GitHub Advanced Security. O Aikido se destacou por eliminar trade-offs comuns.
Enquanto plataformas maiores como Prisma Cloud introduziam complexidade operacional, o Aikido se integrou de forma limpa aos fluxos de trabalho existentes de Git e CI/CD. Onde ferramentas como Snyk frequentemente geravam grandes volumes de achados, o Aikido focou no sinal, ajudando as equipes a priorizar os problemas que realmente importam.
Em vez de integrar várias ferramentas, a Oviva pôde consolidar as principais capacidades de segurança de aplicações em uma única plataforma que os desenvolvedores pudessem adotar imediatamente.
“Aikido atingiu o equilíbrio certo entre capacidade, usabilidade e experiência do desenvolvedor.”
Implementação em mais de 200 repositórios em semanas
A adoção foi rápida e com baixa fricção. A Oviva integrou mais de 75 desenvolvedores e conectou mais de 200 repositórios em poucas semanas.
A configuração exigiu apenas alguns passos para integrar repositórios e habilitar a varredura. Como a plataforma é intuitiva, os desenvolvedores puderam começar a usá-la imediatamente, sem um onboarding ou treinamento extensivo.
Para a equipe de segurança, isso significou visibilidade instantânea em um ambiente de engenharia grande e em crescimento.
De varreduras reativas para segurança contínua
Com a Aikido, a segurança passou de varreduras agendadas para feedback em tempo real.
As verificações agora são executadas diretamente em pull requests e pipelines de CI/CD. Os desenvolvedores recebem feedback imediato ao introduzir alterações, permitindo que resolvam vulnerabilidades antes que o código seja mesclado ou implantado.
Ao mesmo tempo, a Aikido reduz o ruído através da Reachability analysis, destacando vulnerabilidades que são realmente exploráveis, em vez de sinalizar cada problema teórico. Combinado com orientações claras de remediação e capacidades de autofix, isso permite que as equipes se concentrem no risco real, em vez de gastar tempo com triagem.
A segurança passa de um portão no final para um guarda-corpo ao longo do desenvolvimento.
Simplificando o gerenciamento de vulnerabilidades e conformidade
Anteriormente, o gerenciamento de vulnerabilidades exigia a agregação de resultados entre ferramentas e o gerenciamento deles através de sistemas externos.
Com a Aikido, tudo é centralizado em uma única plataforma. As equipes de segurança obtêm uma visão clara e unificada das vulnerabilidades em todos os repositórios, com priorização e rastreamento de propriedade integrados. Os desenvolvedores veem exatamente o que precisa ser corrigido e por quê.
Isso tem um impacto direto na conformidade. Em um ambiente de saúde, a capacidade de demonstrar a postura de segurança de forma rápida e clara é crítica.
“Aikido nos oferece uma visão centralizada e bem priorizada das vulnerabilidades, tornando os relatórios de conformidade muito mais fáceis.”
O impacto
A adoção da Aikido mudou a forma como a Oviva aborda a segurança tanto nos níveis de engenharia quanto organizacionais. As vulnerabilidades agora são identificadas mais cedo e resolvidas mais rapidamente. Os desenvolvedores se engajam ativamente com a segurança porque o feedback é imediato e acionável, em vez de algo que eles encontram depois do ocorrido.
Crucialmente, as equipes não estão mais gastando seu tempo investigando ruído. Elas estão corrigindo problemas reais. As equipes de segurança mudaram da triagem manual para um trabalho de maior valor, enquanto a organização fortaleceu sua capacidade de atender aos requisitos regulatórios e manter uma visibilidade clara de sua postura de segurança à medida que cresce.
Uma mudança de patamar na maturidade da segurança
A Aikido permitiu que a Oviva passasse de uma abordagem reativa, orientada por ferramentas, para um modelo DevSecOps proativo e centrado no desenvolvedor. A segurança agora é contínua, integrada e escalável em toda a organização.
“Aikido nos permitiu mudar de varredura reativa para um modelo proativo e centrado no desenvolvedor, melhorando a visibilidade e nos ajudando a escalar a segurança à medida que crescemos.”
Olhando para o futuro
À medida que a Oviva continua a expandir sua plataforma, ela precisa de uma base de segurança que possa evoluir com ela. Com a Aikido, a equipe está posicionada para estender sua abordagem para domínios adicionais, como Container e segurança na nuvem, sem adicionar complexidade. Porque na saúde digital, a segurança não é apenas sobre proteger sistemas. É sobre proteger pacientes.
