Em resumo
- Incorporou segurança por design na plataforma interna de desenvolvimento da Serko
- Eliminou falsos positivos, restaurando a confiança nos resultados de segurança
- Unificou a segurança de código, Cloud, Container e API em uma única plataforma
- Permitiu que 300 engenheiros assumissem e corrigissem vulnerabilidades, em vez de triar ruídos
- Integrou a segurança diretamente nos fluxos de trabalho e templates dos desenvolvedores
- Apoiou um modelo de engenharia de Plataforma como Produto
- Proporcionou visibilidade em toda a organização por meio da integração com o Port
- Selecionou a Aikido Security em vez de uma plataforma de segurança de desenvolvimento legada
Visão de segurança por design
A Serko é líder global em tecnologia de viagens com mais de 2 milhões de usuários, e estava passando por uma grande mudança de engenharia. Como parte dessa mudança, o papel de Darshit Pandya mudou de fazer parte da equipe de produto para se tornar o Engenheiro Principal Sênior liderando a nova iniciativa de engenharia de plataforma da Serko. Essa iniciativa surgiu de uma oportunidade que Darshit viu para reduzir significativamente o atrito que os engenheiros de produto sentiam ao construir novos recursos de produto.
“Sempre há atrito e desvio quando sua equipe quer construir um novo serviço ou API, mas não há templates padrão. Por exemplo, ter um template de API que já tenha o Top 10 OWASP e outras barreiras de segurança incorporadas,” ele disse.
Sem esses templates, era trabalhoso para os desenvolvedores construir coisas do zero, reinventando a roda a cada vez.
É por isso que Darshit vê a engenharia de plataforma como chave para o sucesso da Serko, adotando o que é conhecido como a mentalidade de ‘Plataforma como Produto’.
“Se fizermos isso direito, podemos definitivamente ajudar nossos clientes internos, como nossos engenheiros, líderes de engenharia, gerentes de produto e líderes de entrega, e podemos reduzir sua carga cognitiva, garantindo que eles se concentrem em escrever a lógica de negócios,” disse Darshit.
A iniciativa de engenharia de plataforma da Serko foca em templates reutilizáveis e seguros por padrão, e em ferramentas internas que eliminam o trabalho repetitivo. Ao incorporar padrões de segurança como o Top 10 OWASP em cada serviço desde o primeiro dia, a equipe garante que os desenvolvedores possam inovar com confiança sem comprometer a segurança.
A primeira coisa que Darshit queria acertar era a segurança.
Gerenciando falsos positivos
Antes do Aikido, a Serko dependia de uma plataforma de segurança para desenvolvedores que gerava ruído e desafios de confiança.
“Estávamos usando uma ferramenta que se orgulhava de detectar vulnerabilidades, mas não era o caso. Tivemos muitos falsos positivos. Os engenheiros estavam frustrados com os muitos falsos positivos detectados, o que levou a uma falta de confiança.”
“Além disso, queríamos melhorias e aprimoramentos na plataforma de segurança para desenvolvedores que não estavam sendo entregues, mesmo após muitos meses de trabalho com o provedor,” ele disse. “A tecnologia estava avançando muito rápido, mas havia algumas capacidades ausentes, como gerenciamento de vulnerabilidades relacionadas à Cloud, AI AutoFix e APIs que poderíamos aproveitar para construir ou integrar fluxos de trabalho ou ferramentas de clientes,” ele acrescentou.
Como resultado dessas frustrações, a Serko pilotou o Aikido e validou quais vulnerabilidades o Aikido mostrava para alguns repositórios em comparação com sua plataforma de segurança para desenvolvedores existente.
“Nossa equipe de segurança e eu sabíamos que alguns deles eram falsos positivos e não deveriam estar lá, e o Aikido não apresentou essas vulnerabilidades, o que foi um ótimo sinal”, disse ele.
Além disso, Darshit explicou que a capacidade do Aikido de agrupar as mesmas vulnerabilidades em diferentes bases de código e descrições passo a passo completas para resolver vulnerabilidades foram outros diferenciais para o Aikido, enquanto Cloud, segurança de código e segurança de API e AI AutoFix foram todos outros fatores decisivos na escolha do Aikido.
“O compromisso do Aikido em se alinhar com a estratégia de plataforma-primeiro da Serko foi alto, e trabalhar com eles tem sido incrível. Eles estão resolvendo nossos problemas e, quando surge uma oportunidade de integração, como a integração do portal interno de desenvolvedores Port com o Aikido, eles trabalharam para que isso acontecesse”, disse ele.
“Este não é apenas um feedback meu. Tivemos muitos engenheiros de produto da Serko que vieram até nós dizendo ‘Aikido é uma ótima plataforma que vocês estão nos fornecendo e vemos muito valor nela’”, acrescentou.
“Por outro lado, todos os dias recebíamos reclamações e frustrações de nossos engenheiros que usavam a ferramenta de segurança para desenvolvedores anterior. Mas com o Aikido, não recebemos nenhuma reclamação desse tipo”, disse Darshit.
O Impacto da Plataforma de Segurança para Desenvolvedores da Serko - Impulsionada pelo Aikido
A adoção do Aikido ajudou a Serko a transformar a forma como as equipes abordam a segurança. As vulnerabilidades não estão mais escondidas entre falsos positivos e os engenheiros sentem-se responsáveis pela resolução dos problemas. Essa mudança cultural é um resultado direto da visão de engenharia de plataforma da Serko, apoiada de forma segura pela Aikido Security.
“Com nossa plataforma de segurança anterior, havia uma falta de confiança em relação às vulnerabilidades que ela destacava.
Com o Aikido, a clareza foi muito melhor. Pedimos às equipes que começassem a resolver problemas críticos, e elas o fizeram. Hoje, melhoramos materialmente nossa postura de segurança porque as pessoas estão realmente corrigindo problemas, não investigando falsos positivos”, disse ele.
O State of AI, Developers & Security 2025 do Aikido descobriu que 15% do tempo de engenharia é perdido na triagem de alertas, e a maior parte desse tempo (72%) é dedicada a falsos positivos. Na verdade, em média, as equipes perdem cinco horas por semana lidando com falsos positivos. Mas os danos causados pelos falsos positivos vão além disso. Eles podem forçar as equipes a usar soluções alternativas e atalhos arriscados. Dois terços dos entrevistados ignoram ferramentas de segurança, descartam descobertas ou atrasam correções porque estão cansados de lidar com falsos positivos.
Um grande sinal de que o Aikido e o conceito geral de engenharia de plataforma estão funcionando é que essas soluções alternativas não estão acontecendo na Serko.
Além disso, para frameworks legados mais antigos, a Serko incorporou revisões regulares de segurança pela liderança. Se uma equipe quiser atrasar a correção de uma vulnerabilidade específica, ela precisa obter a aprovação da liderança para o risco, o que envolve a elaboração de uma justificativa explicando por que isso é aceitável. Essas justificativas são regularmente revisadas pelos líderes. O objetivo é manter a visibilidade, para que os líderes saibam onde os riscos sérios se encontram e possam impulsionar ações em vez de deixá-los ser ignorados.
Integrando o Aikido com o Port
O contexto é fundamental para os desenvolvedores, e Darshit acredita que a combinação do Aikido com o Port (usado como portal de desenvolvedores da Serko) é um passo significativo para o sucesso da engenharia de plataforma da Serko.
“Com o Aikido e o Port combinados, as vulnerabilidades serão visíveis junto aos ativos da Serko, não apenas serviços, mas também recursos de Cloud, bancos de dados e componentes. Isso nos dá uma visibilidade clara em toda a organização. Também estamos construindo um scorecard de segurança por meio da integração. Isso nos permitirá mostrar, por exemplo, quais APIs estão em um nível bronze, prata ou ouro em nosso catálogo de segurança de API. O scorecard oferece uma maneira fácil de entender a postura de segurança em diferentes equipes e ativos.”
A integração também permitirá que a liderança de tecnologia veja facilmente quantas vulnerabilidades existem em nossos sistemas sob a perspectiva de equipe, grupo ou organização, mostrando quais equipes estão atrasadas e quais não têm vulnerabilidades. Isso ajudará a liderança de produto e engenharia.
Ao dar aos líderes visibilidade sobre a postura de segurança, eles podem tomar decisões informadas sobre as prioridades. Não queremos bloquear as pessoas com barreiras rígidas; em vez disso, queremos capacitá-las com dados para que possam equilibrar a entrega com a segurança”, explicou Darshit.
Conclusão
Para Darshit, a engenharia de plataforma é mais do que tecnologia, é sobre mudar a cultura. Ao usar o Aikido, a Serko deu aos engenheiros a confiança para confiar nas descobertas de segurança e criou uma estrutura onde as equipes de produto podem ver as compensações entre velocidade e segurança. Crucialmente, apoiou a Serko na construção de uma plataforma de desenvolvedores onde a segurança é responsabilidade de todos. À medida que a Serko continua a evoluir, ela está estabelecendo um novo padrão para a engenharia de plataforma secure-by-design, com o Aikido como um parceiro confiável e crítico ao longo do caminho.
