A Raisin é uma fintech com sede em Berlim que opera um marketplace online de poupança e investimento, conectando mais de um milhão de clientes a produtos de depósito e poupança de uma rede de bancos parceiros em toda a Europa, Reino Unido e EUA. Isso significa lidar com muito dinheiro de pessoas em um mercado regulamentado, o que confere grande importância à segurança de aplicações.
O CISO e o líder de segurança de produto da Raisin observavam a engenharia assistida por IA superar uma stack de segurança open-source auto-mantida. Aqui está o porquê de eles terem escolhido Aikido para acompanhar, e como ele se encaixa na forma como a equipe já trabalha.
Em resumo
- Substituíram uma stack de scanners open-source auto-mantida por uma plataforma para segurança de aplicações e da cadeia de suprimentos
- Executa Aikido dentro do JetBrains e VS Code, e dentro de assistentes de IA para desenvolvedores através do MCP, para que a segurança esteja no fluxo de trabalho, e não ao lado dele
- Usa Reachability analysis em JavaScript e Python para reduzir a triagem manual
- Gera cerca de 200 AutoFixes por mês
- Teve uma regra de qualidade de código para uma nova ameaça de habilidades de IA implementada em duas semanas após a solicitação
- Usa Aikido Safe Chain para desenvolvedores nos ecossistemas NPM e PyPI
- Implanta em produção cerca de 50 vezes por dia, com a segurança acompanhando o ritmo, em vez de bloquear
Desafio
Uma stack open-source DIY que parou de escalar
Antes do Aikido, a equipe de segurança de produto executava a segurança em scanners open-source que mantinha internamente, integrados aos pipelines de build como jobs separados. Isso funcionava enquanto a equipe de engenharia era pequena. À medida que a equipe cresceu e novos serviços surgiram, os jobs começaram a falhar, e a equipe gastava seu tempo corrigindo scanners em vez de agir sobre o que eles encontravam.
“Estávamos executando muitos scanners open-source, com jobs separados em nossos pipelines que tínhamos que manter. À medida que escalamos e adicionamos serviços, esses jobs começaram a falhar, e gastamos muito tempo corrigindo-os em vez de agir sobre o que eles encontravam.”
Steeven George, Líder de segurança de produto, Raisin
A triagem se acumulava. Na SCA, a equipe verificava manualmente se uma descoberta era reachable, ou corria o risco de atribuir 10 ou 20 vulnerabilidades críticas por projeto a desenvolvedores que já tratavam a segurança como um bloqueador. Malware na cadeia de suprimentos era a parte para a qual não tinham uma resposta real. Ataques nos ecossistemas NPM e Python vinham aumentando há alguns anos, e o boom da IA tornou barato produzir pacotes maliciosos. A Raisin gerava listas de materiais de software (SBOMs) com uma ferramenta de código aberto e depois verificava cada uma manualmente, o que era um trabalho lento por si só. No lado do malware, a equipe tinha um ponto cego que não conseguia resolver com as ferramentas que possuía.
A segurança em descompasso com a engenharia acelerada por IA
Nitesh Gaikwad, CISO da Raisin, via o mesmo problema de cima. Ferramentas de codificação com IA estavam acelerando os engenheiros, e a segurança de aplicações não estava acompanhando o ritmo. Projetos mais antigos continham problemas que a equipe não tinha uma forma clara de identificar.
“Nossos engenheiros estavam acelerando, especialmente com as ferramentas de IA, mas não estávamos acompanhando no lado da segurança de aplicações e produtos. Precisávamos de algo que pudesse encontrar problemas de segurança rapidamente, dentro do fluxo de trabalho de engenharia.”
Nitesh Gaikwad, CISO, Raisin
A lacuna também aparecia no fluxo de trabalho. A Raisin não tinha segurança integrada ao IDE, então a equipe dependia de pipelines e varreduras de CI/CD, e os problemas só surgiam quando o código chegava à fase de merge. Isso atrasava a entrega e não deixava uma forma real de antecipar as verificações, o que era o oposto do que Nitesh queria para a segurança.
Para Nitesh, o trabalho era gerenciar riscos: encontrar as lacunas em projetos que a equipe nunca havia conseguido inspecionar e manter problemas críticos fora da produção, sem se tornar o que atrasava a entrega.
Por que a Raisin escolheu Aikido
Nitesh conduziu a avaliação contra ferramentas incluindo Wiz e CrowdStrike, e contra a opção de manter a configuração interna. Aikido se destacou por sua análise de malware em pacotes de código aberto e bibliotecas de terceiros, e por cobrir toda a gama em uma única plataforma, em vez de ferramentas desconectadas.
“O que se destacou foi a análise de malware em pacotes de código aberto e bibliotecas de terceiros. Nenhuma outra ferramenta que avaliamos cobriu toda a gama em uma única plataforma.”
Nitesh Gaikwad, CISO, Raisin
Uma amplitude tão vasta levanta uma preocupação óbvia: que uma plataforma que abrange tanto possa não ser forte em nenhuma área específica. A resposta de Nitesh foi a própria avaliação. Sua equipe realizou uma avaliação completa, forneceu feedback sobre o que encontraram e observou Aikido agir sobre isso durante o PoC, então a decisão se baseou em como o produto se comportou em seu ambiente, e não em uma lista de recursos.
O produto também tinha que conquistar a confiança dos desenvolvedores, não apenas da equipe de segurança. Na Raisin, a engenharia de plataforma dá o aval para novas ferramentas, então a usabilidade era parte do teste. Para Steeven, o atrativo técnico era a consolidação mais a reachability.
“Aikido nos deu um painel único. Com a reachability analysis para JavaScript e Python, fazemos menos triagem e há menos atrito no lado do SAST.”
Steeven George, Líder de segurança de produto, Raisin
A transparência era parte do atrativo. Steeven achou a equipe aberta sobre para onde o produto estava indo, o que facilitou levantar requisitos e discutir o roadmap em vez de tentar adivinhar.
Como Aikido se encaixa na forma como a Raisin trabalha
Desenvolvedores veem as descobertas de Aikido nos editores que já usam, e através da integração MCP, seus assistentes de IA podem puxar o contexto de Aikido diretamente. A segurança se integra ao fluxo de trabalho, em vez de estar em um console separado que os desenvolvedores precisam lembrar de abrir.
“Aikido se integra aos IDEs que nossos desenvolvedores já usam, como JetBrains e VS Code. Com a integração MCP, eles podem consultar Aikido e ver quais problemas um repositório tem, sem sair de suas ferramentas.”
Steeven George, Líder de segurança de produto, Raisin
Aikido executa o SAST, SCA, detecção de segredos e varredura de malware de pacotes de código aberto da Raisin em um só lugar. Os desenvolvedores costumavam contestar as descobertas dizendo que uma vulnerabilidade não era reachable, e a troca de informações custava tempo para ambos os lados. Com a reachability analysis em JavaScript e Python na mesma visualização, esse debate desaparece, já que a ferramenta já mostra se uma descoberta afeta o código em produção.
Na remediação, Aikido AutoFix gera cerca de 200 correções por mês. Cada correção possui um nível de confiança, e um desenvolvedor a revisa antes de ser implementada. AutoTriage funciona em conjunto. A equipe costumava revisar as descobertas de SAST uma a uma para julgar o que era real. Agora, a IA de Aikido as classifica, então engenheiros e segurança gastam menos tempo decidindo se uma descoberta é um falso positivo e mais tempo nas que realmente importam.
“Recebemos cerca de 200 AutoFixes por mês. A maioria das ferramentas SAST apenas oferece uma recomendação. Aikido entende o contexto e fornece uma correção que está quase pronta para ser mesclada, com um nível de confiança, para que o desenvolvedor possa avaliá-la.”
Steeven George, Líder de segurança de produto, Raisin
A Raisin também usa Aikido Safe Chain para desenvolvedores que trabalham nos ecossistemas NPM e PyPI. Sua varredura de CI/CD, antes um conjunto de trabalhos de código aberto frágeis, agora é executada através de Aikido como uma única integração.
Um fornecedor que acompanha o ritmo deles
O teste mais claro veio de uma ameaça que mal existia um mês antes. Os desenvolvedores da Raisin começaram a incorporar habilidades de IA externas, e a equipe se preocupou com malware que pudesse vir junto. Nenhuma ferramenta no mercado cobria isso. A Raisin levantou a questão com Aikido, e uma regra foi implementada no módulo de qualidade de código em cerca de duas semanas. A equipe agora faz a varredura a partir de um repositório central. O acesso direto aos fundadores em um canal compartilhado do Slack agilizou a conversa, mas a parte que Steeven destaca é a agilidade na resposta, não o acesso.
“Estávamos preocupados porque habilidades externas estavam chegando com malware, e nenhuma outra ferramenta cobria isso. Aikido implementou uma regra no módulo de qualidade de código em cerca de duas semanas.”
Steeven George, Líder de segurança de produto, Raisin
O que fez a diferença foi o timing. As habilidades de IA haviam aparecido apenas um ou dois meses antes, e nada mais no mercado as escaneava, então Steeven esperava uma longa espera ou uma solução alternativa. Em vez disso, a capacidade chegou dentro da plataforma, como parte das próprias ferramentas de segurança de Aikido. A regra de habilidades foi apenas uma instância do mesmo padrão. Steeven diz que Aikido continua a entregar soluções contra novas ameaças à medida que elas surgem, sendo Device Protection um exemplo recente, o que é exatamente o que uma equipe em rápido movimento como a Raisin precisa de um fornecedor de segurança.
A Raisin entrega rapidamente e está cada vez mais ágil. As mudanças em produção aumentaram de cerca de 10 por dia para aproximadamente 50. Nesse ritmo, a segurança precisa acompanhar ou se torna um gargalo. O objetivo de Nitesh é identificar problemas durante o desenvolvimento, na IDE, em vez de em um estágio posterior do pipeline, e é exatamente nisso que o Aikido ajuda.
“Podemos acelerar o processo em vez de bloquear o pipeline. A maioria dos problemas é identificada durante o desenvolvimento, na IDE, em vez de em uma etapa que bloqueia o pipeline, então fazemos push para a main muito mais rápido.”
Nitesh Gaikwad, CISO, Raisin
Como a Raisin está usando o Aikido hoje
Já em uso
- SAST e SCA
- detecção de segredos
- Verificação de malware em pacotes open-source
- Reachability analysis (JavaScript e Python)
- AutoFix
- AutoTriage
- segurança CI/CD
- Módulo de qualidade de código, incluindo varredura de habilidades de IA
- Plugins de IDE para JetBrains e VS Code
- Integração MCP para assistentes de IA
- Aikido Safe Chain
Planejando adotar
- Aikido Device protection, testado e pronto para ser implementado
- Aikido Zen Firewall, para defesa contra shadow AI e prompt-injection
- DAST
Em avaliação
Veredito final
“Uma das nossas maiores conquistas é que o antigo atrito entre segurança e desenvolvedores desapareceu. Eles confiam que, quando o Aikido aponta algo, vale a pena dedicar seu tempo.”

