Em resumo
- Consolidou DAST e SAST em uma única plataforma
- Integrou os achados diretamente no Slack, Linear e Vanta
- Estabeleceu uma reunião semanal para revisar e fechar os achados
- Reduziu o ruído a um nível que a equipe poderia gerenciar realisticamente
- Aikido substituiu Tenable para DAST e GitHub Advanced Security para SAST
Desafio
A equipe de segurança da Render abrange segurança de aplicações, segurança na nuvem e conformidade em toda a organização. Com cerca de 50 desenvolvedores trabalhando em aproximadamente 30 repositórios ativos, a equipe precisa de ferramentas que forneçam cobertura consistente sem criar trabalho de manutenção constante.
“Somos responsáveis pela segurança interna: segurança de aplicações, segurança na nuvem, conformidade. Um pouco de tudo.” disse Sean Doughty, Gerente de Engenharia da Equipe de Segurança da Render.
Antes de adotar o Aikido, a Render usava Tenable para DAST e GitHub Advanced Security para SAST. Ambas as ferramentas eram tecnicamente capazes. No entanto, o atrito surgiu na forma como elas se encaixavam no trabalho de engenharia diário. A organização carecia de integração com Linear ou Slack, reduzindo a visibilidade para os engenheiros. Isso também dificultava a triagem. Enquanto isso, era difícil para a equipe executar varreduras em todos os seus repositórios. Para uma equipe pequena com amplas responsabilidades, sustentar esse nível de sobrecarga tornou-se difícil.
Repensando a consolidação
A Render inicialmente avaliou o Aikido para DAST. O objetivo original era restrito: encontrar uma ferramenta que se integrasse melhor com os sistemas de engenharia já utilizados.
“Quando ativei o DAST, pensei, vamos ver como o SAST se parece também. Foram alguns cliques para conectar um repositório,” disse Sean.
Essa experiência inicial mudou a conversa internamente. Em vez de ver DAST e SAST como categorias separadas que exigiam ferramentas separadas, a equipe começou a olhar para o panorama operacional mais amplo. Manter duas plataformas significava dois fluxos de trabalho, duas fontes de verdade e dois sistemas para manter configurados corretamente em dezenas de repositórios. Para uma equipe pequena, essa fragmentação adicionava atrito.
“Com o Aikido, simplesmente funcionou e continuou funcionando por vários meses,” disse Sean.
A confiabilidade fez com que a consolidação parecesse menos arriscada. Executar DAST e SAST em uma única plataforma reduziu o número de sistemas que a equipe precisava gerenciar e eliminou a configuração de varredura em nível de repositório. Novos repositórios puderam ser adicionados sem repetir as etapas de configuração ou manter a lógica de varredura em vários lugares. Com o tempo, a Render moveu ambas as funções para o Aikido.
O que mudou na prática
A diferença mais notável foi como as descobertas se encaixavam no fluxo de trabalho diário.
“Eu realmente acho que as integrações são provavelmente as mais importantes - Ele se conecta ao Slack, Linear, Vanta.”
Slack e Linear são onde as conversas de engenharia acontecem e o trabalho é rastreado. Com o Aikido integrado diretamente a esses sistemas, as descobertas aparecem em contexto, em vez de em um dashboard separado que exige monitoramento ativo. De uma perspectiva operacional, isso mudou a forma como a equipe revisa e resolve problemas. Alex Curtiss, engenheiro de segurança da Render, gerencia grande parte do uso diário do Aikido e conseguiu mudar a sessão de revisão semanal focada no fechamento de descobertas para uma abordagem assíncrona como resultado das integrações. Como as descobertas já estão conectadas ao Linear e ao Slack, o acompanhamento ocorre dentro dos mesmos sistemas que os engenheiros usam para o trabalho de produto. A cadência semanal funciona porque o volume é gerenciável.
“Havia muito mais volume anteriormente. O Aikido chega em um ritmo que podemos lidar.
Essa diferença tornou realista manter um processo de revisão constante, em vez de deixar os problemas acumularem. O onboarding também tem sido mais simples.
"Esta é uma ferramenta onde temos toda a nossa equipe de engenharia atribuída. Eles podem entrar muito facilmente quando se juntam."
O amplo acesso facilita a distribuição da responsabilidade de segurança por toda a organização.
Apoiando conversas com clientes
A segurança na Render também envolve responder a perguntas de clientes sobre cobertura de scan e controles. Quando os clientes solicitam evidências, a equipe precisa fornecê-las rapidamente.
“Tivemos uma pergunta de um cliente sobre algo e simplesmente entramos e criamos um relatório de auditoria de segurança. Marcamos algumas das caixas do que eles estavam pedindo e então o enviamos.”
Com os achados de DAST, SAST e Cloud visíveis em um só lugar, gerar esses relatórios não exige mais a extração de informações de várias ferramentas.
Conclusão
A decisão da Render de consolidar suas ferramentas de segurança foi impulsionada por realidades operacionais. Executar sistemas separados exigia configuração manual, coordenação e troca de contexto que uma equipe pequena não conseguiria sustentar indefinidamente.
“Tínhamos um software poderoso mas ter algo conectado às nossas outras ferramentas e que os engenheiros realmente usam é muito melhor.”
Ao consolidar DAST e SAST em uma única plataforma, integrando os achados no Slack e Linear e estabelecendo uma cadência de revisão semanal, a Render tornou a segurança de aplicações parte do trabalho de engenharia regular.
