Em resumo
- Consolidou DAST SAST única plataforma
- Resultados integrados diretamente no Slack, Linear e Vanta
- Estabeleceu uma reunião semanal para analisar e encerrar as conclusões
- Reduzir o ruído a um nível que a equipa pudesse gerir de forma realista
- Aikido Tenable DAST GitHub Advanced Security para SAST
Desafio
A equipa de segurança da Render é responsável pela segurança das aplicações, segurança na nuvem pela conformidade em toda a organização. Com cerca de 50 programadores a trabalhar em aproximadamente 30 repositórios ativos, a equipa necessita de ferramentas que ofereçam uma cobertura consistente sem gerar trabalho de manutenção constante.
«Somos responsáveis pela segurança interna: segurança de aplicações, segurança na nuvem, conformidade. Um pouco de tudo», afirmou Sean Doughty, Diretor de Engenharia da Equipa de Segurança da Render.
Antes de adotar Aikido, a Render utilizava Tenable DAST GitHub Advanced Security para SAST. Ambas as ferramentas eram tecnicamente capazes. No entanto, o atrito surgiu na forma como se encaixavam no trabalho diário de engenharia. A organização carecia de integração com o Linear ou o Slack, reduzindo a visibilidade para os engenheiros. Isso também tornava a triagem mais difícil. Entretanto, tinha sido difícil para a equipa realizar análises em todos os seus repositórios. Para uma equipa pequena com responsabilidades abrangentes, manter esse nível de sobrecarga tornou-se difícil.
Repensar a consolidação
A Render avaliou inicialmente Aikido DAST. O objetivo inicial era específico: encontrar uma ferramenta que se integrasse melhor com a engenharia de sistemas já utilizada.
«Quando liguei DAST, pensei: “Vamos ver como SAST o SAST também”. Bastaram alguns cliques para ligar um repositório», disse o Sean.
Essa experiência inicial mudou a forma como a equipa abordava o assunto internamente. Em vez de encarar DAST SAST categorias distintas que exigiam ferramentas separadas, a equipa começou a analisar o panorama operacional de forma mais abrangente. Manter duas plataformas significava dois fluxos de trabalho, duas fontes de verdade e dois sistemas que era necessário manter corretamente configurados em dezenas de repositórios. Para uma equipa pequena, essa fragmentação criava atritos.
«Com Aikido, simplesmente resultou e tem continuado a funcionar há vários meses», disse Sean.
A fiabilidade fez com que a consolidação parecesse menos arriscada. A execução simultânea SAST DAST SAST única plataforma reduziu o número de sistemas que a equipa precisava de gerir e eliminou a necessidade de configurar as análises ao nível do repositório. Era possível adicionar novos repositórios sem ter de repetir os passos de configuração nem manter a lógica de análise em vários locais. Com o tempo, a Render transferiu ambas as funções para Aikido.
O que mudou na prática
A diferença mais notável foi a forma como os resultados se integraram no fluxo de trabalho diário.
«Acho mesmo que as integrações são provavelmente o mais importante — permite ligar-se ao Slack, ao Linear e ao Vanta.»
O Slack e o Linear são os locais onde decorrem as conversas de engenharia e onde o trabalho é acompanhado. Com Aikido diretamente nesses sistemas, as descobertas aparecem no contexto, em vez de num painel separado que requer monitorização ativa. Do ponto de vista operacional, isto alterou a forma como a equipa analisa e resolve os problemas. Alex Curtiss, engenheiro de segurança na Render, gere grande parte da Aikido diária Aikido e conseguiu transformar a sessão de revisão semanal, focada no encerramento de resultados, numa abordagem assíncrona, graças às integrações. Como os resultados já estão ligados ao Linear e ao Slack, o acompanhamento ocorre nos mesmos sistemas que os engenheiros utilizam para o trabalho com os produtos. A cadência semanal funciona porque o volume é gerível.
«Antes havia muito mais volume. Aikido um ritmo que conseguimos acompanhar.»
Essa diferença tornou viável manter um processo de revisão constante, em vez de deixar os problemas acumularem-se. A integração de novos colaboradores também se tornou mais simples.
«Esta é uma ferramenta à qual toda a nossa equipa de engenharia está associada. Os novos membros podem começar a utilizá-la com muita facilidade assim que se juntam a nós.»
Um acesso alargado facilita a distribuição das responsabilidades em matéria de segurança por toda a organização.
Apoio às conversas com os clientes
A segurança na Render também envolve responder às perguntas dos clientes sobre a cobertura das verificações e os controlos. Quando os clientes solicitam provas, a equipa tem de as fornecer rapidamente.
«Um cliente colocou-nos uma questão sobre um assunto e acabámos de elaborar um relatório de auditoria de segurança. Assinalámos alguns dos pontos que nos pediram e enviámos-lhes o relatório.»
Com os resultados DAST, SAST da análise na nuvem disponíveis num único local, a elaboração desses relatórios já não requer a recolha de informações de várias ferramentas.
Conclusão
A decisão da Render de consolidar as suas ferramentas de segurança foi motivada por questões operacionais. A utilização de sistemas separados exigia configuração manual, coordenação e alternância de tarefas, algo que uma equipa pequena não conseguia suportar indefinidamente.
«Tínhamos um software potente, mas ter algo que se integre com as nossas outras ferramentas e que os engenheiros realmente utilizem é muito melhor.»
Ao consolidar DAST SAST única plataforma, integrar os resultados no Slack e no Linear e estabelecer um ritmo de revisão semanal, a Render integrou a segurança das aplicações no trabalho quotidiano da equipa de engenharia.
