Olá, Marcus! Você poderia nos falar um pouco sobre você e o que a TechDivision faz?
Claro! Sou Engenheiro de Segurança Sênior na TechDivision, onde também lidero nossa comunidade de prática de cibersegurança. Sou responsável por garantir a segurança do ciclo de vida de desenvolvimento em todas as equipes de engenharia.
Quanto à TechDivision: começamos como uma agência clássica de e-commerce, mas crescemos para o que chamamos de habilitador digital. Isso significa que não estamos apenas lançando lojas, estamos integrando fontes de dados, construindo estratégias de marketing e guiando nossos clientes por toda a sua transformação digital. Hoje, somos cerca de 140 pessoas, com aproximadamente metade da equipe trabalhando em engenharia.
Então, como a segurança se encaixa nesse cenário?
Em uma palavra: fundamental. Para nós, segurança se resume a duas coisas: estabilidade e confiança. Ao construir estratégias digitais ou plataformas integradas, queremos ter certeza de que as bases são sólidas. E queremos que nossos clientes confiem que estamos fazendo todo o possível para manter seus dados seguros.
Também nos fornece os insights necessários para tomar decisões informadas. Por exemplo, se quisermos implementar uma plataforma de autenticação centralizada, precisamos primeiro entender os riscos. É isso que uma boa segurança oferece: contexto e clareza.
Houve um momento específico em que você percebeu: “Precisamos levar a segurança mais a sério”?
Sim, um ponto de virada crucial ocorreu no início de 2022 durante os ataques TrojanOrders que visavam instalações do Adobe Commerce (e Magento). Embora os clientes da TechDivision não tenham sido afetados (graças à implantação de patches na mesma semana), o incidente aumentou significativamente a conscientização sobre a urgência de atualizações de segurança em tempo hábil. Também levou a uma mudança na forma como tanto os stakeholders internos quanto os clientes abordavam os patches de segurança. Antes, alguns clientes adiavam atualizações de segurança importantes por meses.
Mais tarde, a vulnerabilidade CosmicSting de 2024 ajudou a reforçar a eficácia dos nossos processos aprimorados, confirmando que a abordagem proativa estava funcionando conforme o esperado.
Como era a segurança antes da Aikido?
Honestamente? Um pouco caótico. Eu tinha oito security champions em diferentes equipes de engenharia. Sempre que algo como uma nova CVE surgia, eu precisava contatar cada um deles para verificar se seus repositórios eram afetados. Era demorado e difícil de gerenciar.
Chegamos a construir nossa própria ferramenta interna para rastrear vulnerabilidades, mas eventualmente decidimos que fazia mais sentido usar uma solução dedicada. Tentamos algumas outras antes de chegar à Aikido.
O que o fez começar a procurar algo novo?
Nossa ferramenta anterior, aquela com o logo de cachorro, latia muito, mas não entregava resultados.
Uma mistura de coisas. O preço foi um dos gatilhos: nossa ferramenta anterior, aquela com o logo do cachorro, latia muito, mas não entregava. Eles aumentaram os preços significativamente, e não parecia justificado com base no valor que estávamos recebendo. Além disso, tínhamos limitações técnicas. Nossa infraestrutura é bastante não-padrão, então não conseguíamos o nível de integração que precisávamos.
Também havia problemas com o produto. O plugin do IDE deles continuava travando em repositórios maiores, e estávamos afogados em falsos positivos. Chegou a um ponto em que nossos desenvolvedores nem sequer estavam mais usando a ferramenta.
E então vocês encontraram a Aikido?
Sim! O que nos chamou a atenção foi que parecia ter sido construído por desenvolvedores, para desenvolvedores. A experiência de onboarding foi tranquila, o suporte foi responsivo e os fluxos de trabalho simplesmente faziam sentido.
O que fez a Aikido se destacar foi a sensação de que ela foi construída por desenvolvedores, para desenvolvedores.
Uma coisa que realmente aprecio é a redução de ruído. A abordagem do Aikido, especialmente com sua Reachability analysis, nos ajuda a filtrar descobertas irrelevantes, como Secrets em arquivos de teste ou dependências inativas, para que possamos focar em problemas reais e exploráveis. Esse nível de precisão fez uma diferença notável na eficiência com que podemos triar vulnerabilidades.
A Reachability analysis do Aikido nos ajuda a filtrar descobertas irrelevantes para que possamos focar em problemas reais e exploráveis.
O Aikido mudou a forma como você trabalha com os clientes?
Não mudou nossa oferta de serviços em si, mas definitivamente aumentou o valor que entregamos. Agora podemos realizar mais trabalho de segurança em menos tempo, o que beneficia diretamente nossos clientes.
Também temos um pacote de segurança básico que incluímos em projetos, e ter o Aikido em vigor fortalece bastante esse pacote.
Agora podemos realizar mais trabalho de segurança em menos tempo, o que beneficia diretamente nossos clientes.
Qual sua funcionalidade favorita?
Isso é fácil: a capacidade de pesquisar dependências em vários workspaces. Tem sido um divisor de águas ao triar problemas entre as equipes de engenharia. Também estou animado para testar alguns dos recursos mais recentes, como AI AutoFix e varredura de máquinas virtuais. Eles podem facilmente se tornar novos favoritos.
Como tem sido sua experiência trabalhando com a equipe do Aikido?
Honestamente, fantástico. Quando encontramos um problema com o fluxo de autenticação, ele foi corrigido em uma semana. Esse tipo de responsividade é raro.
Há uma verdadeira abertura na comunicação, especialmente no canal compartilhado do Slack. Dá para perceber que a equipe realmente se importa e está construindo um produto melhor a cada dia. É revigorante.
É perceptível que a equipe do Aikido realmente se importa e está construindo um produto melhor a cada dia. É revigorante.
Considerações finais?
Se você é uma empresa que quer levar a segurança a sério sem adicionar atrito às suas equipes de desenvolvimento, o Aikido é uma escolha óbvia. É eficiente, bem pensado e amigável para desenvolvedores. Está nos ajudando a construir confiança. Não apenas com nossos clientes, mas também conosco.
