No sector da tecnologia de RH, onde o tratamento de dados sensíveis dos funcionários e da organização é fundamental para o produto, a Simployer fez da segurança um pilar do seu processo de desenvolvimento. Sediada nos países nórdicos e servindo mais de 12.000 empresas e um milhão de utilizadores, a plataforma da Simployer ajuda as empresas a simplificar as operações de RH, desde a conformidade legal até ao envolvimento dos funcionários.
Para manter o ritmo da inovação e, ao mesmo tempo, manter a segurança e a conformidade, a Simployer recorreu ao Aikido.
A segurança como uma responsabilidade partilhada
Para a Simployer, a segurança começa no centro do funcionamento das equipas. Peder Nordvaller, CTO da Simployer, descreve-o de forma simples:
"A segurança desempenha um papel enorme no que fazemos. Lidamos com dados pessoais que não são apenas privados - são críticos para as operações comerciais dos nossos clientes."
Em toda a organização de engenharia da Simployer, a segurança não está isolada. Em vez disso, está integrada no ciclo de desenvolvimento diário de cada equipa. Da infraestrutura às equipas de frontend e backend, todos partilham a responsabilidade de manter os sistemas seguros.
Said, responsável técnico da Simployer, explica-o da seguinte forma: "Cada equipa é dona do seu espaço. Isso inclui a segurança das coisas que constroem".
Mas apesar de esta cultura ser forte, continuava a necessitar das ferramentas corretas para a apoiar. Especialmente à medida que a empresa crescia.
O desafio: crescer rapidamente sem perder o controlo
À medida que a Simployer aumentava rapidamente o seu desenvolvimento, as suas equipas enfrentavam um desafio: como manter a sua postura de segurança forte sem abrandar a inovação.
"Estamos a investir fortemente no desenvolvimento de produtos", explica Peder. "Precisávamos de garantir que a nossa abordagem de segurança conseguia acompanhar o nosso crescimento."
A Simployer experimentou várias ferramentas para ajudar na verificação do código e da infraestrutura, desde o Snyk até às soluções integradas do GitLab. Mas a maioria das plataformas criava mais problemas do que resolvia:
- Níveis de ruído elevados e prioridades pouco claras
- Triagem manual que esgotava o tempo dos programadores
- Pouca adoção devido a uma experiência de utilização pouco funcional
Said explica: "Havia muito ruído e passava-se o tempo a investigar questões que não interessavam. Não era claro em que é que nos devíamos concentrar".
Para uma empresa com várias equipas de desenvolvimento a trabalhar em paralelo, esta fragmentação era insustentável.
Porque é que o Simployer escolheu o Aikido
A equipa começou a procurar uma solução que pudesse proporcionar clareza, rapidez e uma integração perfeita nos fluxos de trabalho existentes. Foi então que encontraram o Aikido.
"A primeira coisa que notámos foi a intuitividade da interface do utilizador", recorda Said.
"Entramos, vemos as vulnerabilidades que interessam e corrigimo-las rapidamente."
O Aikido ajudou imediatamente a reduzir a carga cognitiva dos programadores, agrupando e dando prioridade às vulnerabilidades e fornecendo correcções acionáveis. A ferramenta integrou-se diretamente no pipeline de CI/CD da Simployer e nos fluxos de trabalho existentes, tornando a adoção sem atritos.
Duas coisas se destacaram:
- Definição inteligente de prioridades: "Sabe-se exatamente o que deve ser analisado e o que é realmente crítico."
- Auto-Fix: "Se puder ser reparado automaticamente, é-o. É um fator de mudança."
Said acrescenta: "A velocidade de resolução é incrível. Já resolvemos problemas em menos de um minuto. O Aikido cria o pull request, os testes passam e está feito."
"A velocidade de resolução é incrível. Já resolvemos problemas em menos de um minuto. O Aikido cria o pull request, os testes passam e está feito."
Tornar a segurança parte do fluxo de desenvolvimento
Uma das maiores vitórias para a Simployer foi a forma natural como o Aikido se tornou parte da experiência do programador.
"Mudou a forma como lidamos com a segurança", partilha Peder. "Agora, tratamos a segurança como qualquer outra tarefa no nosso trabalho quotidiano."
Ao integrar a segurança nas ferramentas existentes e ao fornecer às equipas informações acionáveis, o Aikido ajudou a eliminar o vai-e-vem entre os programadores e as equipas de segurança. Isso significou menos mudança de contexto - e código mais seguro, mais rápido.
A cobertura do Aikido em toda a pilha tecnológica do Simployer - do código da aplicação ao IaC e às dependências de código aberto - também permitiu à equipa obter uma imagem completa da sua postura de segurança a partir de um único painel.
Olhando para o futuro: escalar com confiança
Com o Aikido, a Simployer estabeleceu as bases para uma cultura de desenvolvimento que coloca a segurança em primeiro lugar e que não irá abrandar o seu ritmo.
- Os programadores corrigem agora as vulnerabilidades em minutos, não em dias
- A segurança está integrada no ciclo de vida do desenvolvimento e não é acrescentada mais tarde
- As equipas têm visibilidade de toda a pilha, do código à nuvem
- A triagem manual é reduzida e as correcções são frequentemente automáticas
"É mais fácil fazer a coisa certa quando as ferramentas nos apoiam", reflecte Said. "E quando é assim tão fácil, os programadores fazem-no mesmo."
"É mais fácil fazer o que está certo quando as ferramentas o apoiam. E quando é assim tão fácil, os programadores fazem-no de facto."
Rubrica 1
Rubrica 2
Rubrica 3
Rubrica 4
Rubrica 5
Rubrica 6
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Citação em bloco
Lista ordenada
- Item 1
- Número 2
- Número 3
Lista não ordenada
- Item A
- Artigo B
- Item C
Texto em negrito
Ênfase
Sobrescrito
Subscrito
.avif)
