Aikido
Comece de graça
Não é necessário CC
História
7 min. de leitura

Correção de vulnerabilidades em menos de um minuto: como a Simployer optimizou a segurança com o Aikido

"A velocidade de resolução é incrível. Já resolvemos problemas em menos de um minuto. O Aikido cria o pull request, os testes passam e está feito."

Said Barati
Líder técnico
Índice
Item do COT
Sítio Web
https://www.simployer.com/
Fundada
1985
Indústria
HRTech
Financiamento obtido
Sede social
Sarpsborg, Noruega
Dimensão da equipa de desenvolvimento
1M+
utilizadores
12.000
Clientes
1
Produto AppSec
1
Produto AppSec

No sector da tecnologia de RH, onde o tratamento de dados sensíveis dos funcionários e da organização é fundamental para o produto, a Simployer fez da segurança um pilar do seu processo de desenvolvimento. Sediada nos países nórdicos e servindo mais de 12.000 empresas e um milhão de utilizadores, a plataforma da Simployer ajuda as empresas a simplificar as operações de RH, desde a conformidade legal até ao envolvimento dos funcionários.

Para manter o ritmo da inovação e, ao mesmo tempo, manter a segurança e a conformidade, a Simployer recorreu ao Aikido.

A segurança como uma responsabilidade partilhada

Para a Simployer, a segurança começa no centro do funcionamento das equipas. Peder Nordvaller, CTO da Simployer, descreve-o de forma simples:
"A segurança desempenha um papel enorme no que fazemos. Lidamos com dados pessoais que não são apenas privados - são críticos para as operações comerciais dos nossos clientes."

Em toda a organização de engenharia da Simployer, a segurança não está isolada. Em vez disso, está integrada no ciclo de desenvolvimento diário de cada equipa. Da infraestrutura às equipas de frontend e backend, todos partilham a responsabilidade de manter os sistemas seguros.

Said, responsável técnico da Simployer, explica-o da seguinte forma: "Cada equipa é dona do seu espaço. Isso inclui a segurança das coisas que constroem".

Mas apesar de esta cultura ser forte, continuava a necessitar das ferramentas corretas para a apoiar. Especialmente à medida que a empresa crescia.

O desafio: crescer rapidamente sem perder o controlo

À medida que a Simployer aumentava rapidamente o seu desenvolvimento, as suas equipas enfrentavam um desafio: como manter a sua postura de segurança forte sem abrandar a inovação.

"Estamos a investir fortemente no desenvolvimento de produtos", explica Peder. "Precisávamos de garantir que a nossa abordagem de segurança conseguia acompanhar o nosso crescimento."

A Simployer experimentou várias ferramentas para ajudar na verificação do código e da infraestrutura, desde o Snyk até às soluções integradas do GitLab. Mas a maioria das plataformas criava mais problemas do que resolvia:

  • Níveis de ruído elevados e prioridades pouco claras
  • Triagem manual que esgotava o tempo dos programadores
  • Pouca adoção devido a uma experiência de utilização pouco funcional

Said explica: "Havia muito ruído e passava-se o tempo a investigar questões que não interessavam. Não era claro em que é que nos devíamos concentrar".

Para uma empresa com várias equipas de desenvolvimento a trabalhar em paralelo, esta fragmentação era insustentável.

Porque é que o Simployer escolheu o Aikido

A equipa começou a procurar uma solução que pudesse proporcionar clareza, rapidez e uma integração perfeita nos fluxos de trabalho existentes. Foi então que encontraram o Aikido.

"A primeira coisa que notámos foi a intuitividade da interface do utilizador", recorda Said.
"Entramos, vemos as vulnerabilidades que interessam e corrigimo-las rapidamente."

O Aikido ajudou imediatamente a reduzir a carga cognitiva dos programadores, agrupando e dando prioridade às vulnerabilidades e fornecendo correcções acionáveis. A ferramenta integrou-se diretamente no pipeline de CI/CD da Simployer e nos fluxos de trabalho existentes, tornando a adoção sem atritos.

Duas coisas se destacaram:

  • Definição inteligente de prioridades: "Sabe-se exatamente o que deve ser analisado e o que é realmente crítico."
  • Auto-Fix: "Se puder ser reparado automaticamente, é-o. É um fator de mudança."

Said acrescenta: "A velocidade de resolução é incrível. Corrigimos problemas em menos de um minuto. O Aikido cria o pull request, os testes passam, e está feito."

"A velocidade de resolução é incrível. Já resolvemos problemas em menos de um minuto. O Aikido cria o pull request, os testes passam e está feito."

Tornar a segurança parte do fluxo de desenvolvimento

Uma das maiores vitórias para a Simployer foi a forma natural como o Aikido se tornou parte da experiência do programador.

"Mudou a forma como lidamos com a segurança", partilha Peder. "Agora, tratamos a segurança como qualquer outra tarefa no nosso trabalho quotidiano."

Ao integrar a segurança nas ferramentas existentes e ao fornecer às equipas informações acionáveis, o Aikido ajudou a eliminar o vai-e-vem entre os programadores e as equipas de segurança. Isso significou menos mudança de contexto - e código mais seguro, mais rápido.

A cobertura do Aikido em toda a pilha tecnológica do Simployer - do código da aplicação ao IaC e às dependências de código aberto - também permitiu à equipa obter uma imagem completa da sua postura de segurança a partir de um único painel.

Olhando para o futuro: escalar com confiança

Com o Aikido, a Simployer estabeleceu as bases para uma cultura de desenvolvimento que coloca a segurança em primeiro lugar e que não irá abrandar o seu ritmo.

  • Os programadores corrigem agora as vulnerabilidades em minutos, não em dias
  • A segurança está integrada no ciclo de vida do desenvolvimento e não é acrescentada mais tarde
  • As equipas têm visibilidade de toda a pilha, do código à nuvem
  • A triagem manual é reduzida e as correcções são frequentemente automáticas

"É mais fácil fazer a coisa certa quando as ferramentas nos apoiam", reflecte Said. "E quando é assim tão fácil, os programadores fazem-no mesmo."

"É mais fácil fazer o que está certo quando as ferramentas o apoiam. E quando é assim tão fácil, os programadores fazem-no de facto."

"Com o Aikido, a segurança é apenas parte da forma como trabalhamos agora. É rápido, integrado e realmente útil para os programadores."
- Peder Nordvaller, CTO da Simployer

Descarregar o caso como pDF

Outras histórias fantásticas contadas pelos nossos clientes

Outros
Segurança pronta para o varejo com insights em tempo real e menos falsos positivos.
Ver história
Coniq
Outros
Execução de um roteiro de segurança a longo prazo
Ver história
SecWise
Desenvolvimento de software
De uma manta de retalhos de ferramentas de código aberto a uma postura de segurança centralizada.
Ver história
Kunlabora
Agências
Desde a velocidade de arranque até à escala empresarial, a Gravity une UX e AppSec com Aikido.
Ver história
Gravidade
Outros
Assegurar facilmente o crescimento da InviteDesk através de aquisições.
Ver história
InviteDesk
Outros
Desde a preparação da auditoria SOC 2 até à conformidade contínua.
Ver história
OutboundSync
Agências
Proteger mais de 100 repositórios em clientes e projectos.
Ver história
NÚCLEO
B2CTech
A pequena equipa da Runna protege o código em rápida evolução com a ajuda de um modelo de autosserviço.
Ver história
Runna
Agências
Simplificando a segurança em mais de 1.500 repositórios sem gastar muito.
Ver história
Cinco de novembro
HRTech
Replaced noisy tools with <1 min fixes and dev-first workflows.
Ver história
Empregador
FinTech
A solução anterior da CertifID permitia-lhes perseguir demasiados falsos positivos.
Ver história
CertifID
Empresas PE & Grupo
Fornecimento de SCA e muito mais a mais de 6000 programadores.
Ver história
Visma
FinTech
Minimizar os falsos positivos, mantendo o GitHub como a única fonte de verdade.
Ver história
Ligado
Tecnologia da saúde
O tempo mais rápido do Birdie para a resolução? 30 segundos.
Ver história
Passarinho
Desenvolvimento de software
A Marvelution integra a segurança no seu plano de negócios de uma palavra: "diversão".
Ver história
Marvelution
Tecnologia da saúde
Obtenção de ganhos de eficiência, desde uma interface intuitiva até pentests por detrás da parede de login.
Ver história
Mediquest