Olá Marcus! Podes falar-nos um pouco sobre ti e sobre o que faz a TechDivision?
Claro! Sou Engenheiro de Segurança Sénior na TechDivision, onde também lidero a nossa comunidade de prática de cibersegurança. Sou responsável pela segurança do ciclo de vida do desenvolvimento em todas as equipas de engenharia.
Quanto à TechDivision: começámos por ser uma agência de comércio eletrónico clássica, mas evoluímos para aquilo a que chamamos um facilitador digital. Isso significa que não estamos apenas a lançar lojas, estamos a integrar fontes de dados, a criar estratégias de marketing e a orientar os nossos clientes ao longo de toda a sua transformação digital. Atualmente, somos cerca de 140 pessoas, com cerca de metade da equipa a trabalhar em engenharia.
Então, como é que a segurança se enquadra neste quadro?
Numa palavra: fundamental. Para nós, a segurança tem a ver com duas coisas: estabilidade e confiança. Quando estamos a criar estratégias digitais ou plataformas integradas, queremos ter a certeza de que as bases são sólidas. E queremos que os nossos clientes confiem que estamos a fazer tudo o que é possível para manter os seus dados seguros.
Também nos dá as informações de que precisamos para tomar decisões informadas. Por exemplo, se quisermos implementar uma plataforma de autenticação centralizada, precisamos de compreender primeiro os riscos. É isso que uma boa segurança proporciona. Contexto e clareza.
Houve algum momento específico em que se apercebeu de que "temos de levar a segurança mais a sério"?
Sim, um ponto de viragem fundamental ocorreu no início de 2022 durante os ataques TrojanOrders que visavam instalações Adobe Commerce (e Magento). Embora os clientes da TechDivision não tenham sido afectados (graças à implementação de patches na mesma semana), o incidente aumentou significativamente a sensibilização para a urgência de actualizações de segurança atempadas. Também levou a uma mudança na forma como os intervenientes internos e os clientes abordavam os patches de segurança. Antes, alguns clientes adiavam actualizações de segurança importantes durante meses.
Mais tarde, a vulnerabilidade do CosmicSting de 2024 ajudou a reforçar a eficácia dos nossos processos melhorados, confirmando que a sua abordagem proactiva estava a funcionar como pretendido.
Como era a segurança antes do Aikido?
Honestamente? Um pouco caótico. Eu tinha oito campeões de segurança em diferentes equipas de engenharia. Sempre que surgia algo como um novo CVE, eu tinha de contactar cada um deles para verificar se os seus repositórios eram afectados. Era demorado e difícil de gerir.
Até começámos a criar a nossa própria ferramenta interna para detetar vulnerabilidades, mas acabámos por decidir que fazia mais sentido utilizar uma solução dedicada. Experimentámos algumas outras antes de nos decidirmos pelo Aikido.
O que é que o fez começar a procurar algo novo?
A nossa ferramenta anterior, a que tinha o logótipo do cão, ladrou muito mas não cumpriu.
Uma mistura de coisas. O preço foi um dos factores que desencadeou o processo: a nossa ferramenta anterior, a que tinha o logótipo do cão, ladrava muito, mas não cumpria o prometido. Aumentaram significativamente os preços, o que não se justificava com base no valor que estávamos a receber. Para além disso, tínhamos limitações técnicas. A nossa infraestrutura não é muito normalizada, pelo que não conseguíamos obter o nível de integração de que precisávamos.
Também havia problemas com o produto. O plugin do IDE deles continuava travando em repositórios maiores, e nós estávamos nos afogando em falsos positivos. Chegou a um ponto em que nossos desenvolvedores nem estavam mais usando a ferramenta.
E depois encontraste o Aikido?
Sim! O que se destacou para nós foi que parecia ter sido construído por desenvolvedores, para desenvolvedores. A experiência de integração foi tranquila, o suporte foi ágil e os fluxos de trabalho fizeram sentido.
O que fez com que o Aikido se destacasse foi o facto de parecer ter sido criado por programadores, para programadores.
Uma coisa que eu realmente aprecio é a redução de ruído. A abordagem do Aikido, especialmente com a sua análise de acessibilidade, ajuda-nos a filtrar descobertas irrelevantes, como secrets em ficheiros de teste ou dependências inactivas, para nos podermos concentrar em problemas reais e exploráveis. Esse nível de precisão fez uma diferença notável na eficiência com que podemos fazer a triagem das vulnerabilidades.
A análise de acessibilidade do Aikido ajuda-nos a filtrar descobertas irrelevantes para nos podermos concentrar em problemas reais e exploráveis.
O Aikido mudou a forma como trabalha com os clientes?
Não alterou a nossa oferta de serviços em si, mas aumentou definitivamente o valor que oferecemos. Agora podemos fazer mais trabalho de segurança em menos tempo, o que beneficia diretamente os nossos clientes.
Também temos um pacote de segurança de base que incluímos nos projectos e ter o Aikido no local reforça bastante esse pacote.
Agora podemos fazer mais trabalho de segurança em menos tempo, o que beneficia diretamente os nossos clientes.
Qual é a sua caraterística favorita?
Isso é fácil: a capacidade de procurar dependências em vários espaços de trabalho. Tem sido um divisor de águas na triagem de problemas entre equipas de engenharia. Também estou animado para testar alguns dos recursos mais recentes, como AI AutoFix e Verificação de VM. Poderão facilmente tornar-se nos meus novos favoritos.
Como tem sido a sua experiência de trabalho com a equipa de Aikido?
Sinceramente, fantástico. Quando tivemos um problema com o fluxo de autenticação, o problema foi resolvido numa semana. Este tipo de reação é raro.
Existe uma verdadeira abertura na comunicação, especialmente no canal Slack partilhado. Nota-se que a equipa se preocupa genuinamente e está a construir um produto melhor todos os dias. É refrescante.
É possível ver que a equipa Aikido se preocupa genuinamente e está a construir um produto melhor todos os dias. É refrescante.
Considerações finais?
Se é uma empresa que quer levar a segurança a sério sem adicionar fricção às suas equipas de desenvolvimento, o Aikido é uma solução simples. É eficiente, atencioso e fácil de utilizar pelos programadores. Está a ajudar-nos a criar confiança. Não apenas com os nossos clientes, mas também connosco próprios.
Se é uma empresa que quer levar a segurança a sério sem adicionar fricção às suas equipas de desenvolvimento, o Aikido é uma solução simples. É eficiente, atencioso e fácil de utilizar pelos programadores. Está a ajudar-nos a criar confiança. Não apenas com os nossos clientes, mas também connosco próprios.
.svg){kind=logo}
%201.svg)
