A Timefold desenvolve software de otimização de agendamento de força de trabalho. Seu motor de código aberto, o Timefold Solver, aborda problemas de planejamento NP-difíceis. Além disso, eles fornecem APIs prontas para uso em casos como agendamento de turnos de funcionários, roteamento de serviço de campo, e roteamento de coleta/entrega, além de uma plataforma SaaS que adiciona uma visão mais aprofundada do desempenho do planejamento.
À medida que a Timefold acelerava o trabalho de ISO e avançava em direção à SOC 2, a equipe buscava visibilidade contínua da segurança em toda a sua stack, sem desacelerar os engenheiros ou transformar a segurança em um gargalo.
Em resumo
- Pessoas com quem conversamos: Pieter De Schepper (VP de Engenharia), Jenne (Engenheiro de Confiabilidade de Sites e Segurança)
- Por que Aikido: Prontidão para ISO e aceleração da SOC 2 através de monitoramento contínuo de segurança
- Antes da Aikido: GitHub Dependabot + revisões de PR robustas
Ferramentas: GitHub (repositórios), Vanta (relatórios de conformidade) - Cobertura da Aikido: repositórios, Containers, configuração Cloud (Google Cloud), domínios, relatórios (licenças), varredura de Kubernetes
Desafio: A visibilidade da segurança não acompanhava a velocidade da conformidade
A Timefold sempre tratou a segurança como parte da engenharia. Eles já tinham revisões de PR robustas, desenvolvedores experientes e Dependabot para alertas de dependência.
Mas, à medida que os requisitos de conformidade aumentavam, eles se depararam com uma lacuna comum: a visibilidade. O Dependabot ajudava, mas não fornecia uma visão sempre ativa de tudo o que executavam. Eles precisavam de uma maneira mais clara de responder rapidamente a perguntas básicas: quais dependências são usadas onde, quais versões estão implantadas e o que realmente precisa de atenção quando uma nova vulnerabilidade surge.
Ao mesmo tempo, a segurança não podia se tornar um gargalo. A Timefold queria uma cobertura melhor sem adicionar atrito ao processo ou depender de um pequeno grupo para policiar tudo manualmente.
Solução: Varredura contínua em toda a stack, em menos de um dia
A Aikido entrou em contato no momento perfeito. A Timefold estava procurando ativamente por ferramentas de segurança para apoiar o trabalho de ISO e acelerar a prontidão para SOC 2.
O que se destacou foi a rapidez com que puderam passar da avaliação para uma cobertura real. Segundo Jenne, a configuração foi rápida e indolor.
“Tivemos a varredura integrada ao CI em menos de um dia.”
A Timefold trabalha principalmente no GitHub, e a Aikido se encaixa naturalmente nesse fluxo de trabalho. Eles ativaram a varredura em seus principais repositórios, ligaram as verificações de pull request e expandiram a cobertura além do código e das dependências para o restante do seu ambiente.
Hoje, a Timefold usa a Aikido para varrer repositórios, Containers, projetos Cloud para riscos de configuração e domínios externos, incluindo endpoints GraphQL. Eles também utilizam relatórios, incluindo relatórios de licenças, o que se tornou particularmente útil durante a due diligence de captação de recursos.
Resultado: Menos ruído, upgrades mais rápidos, cobertura mais clara
Para a Timefold, a maior melhoria foi operacional: passar de revisões periódicas para monitoramento contínuo.
Em vez de reagir apenas quando o Dependabot sinaliza algo, eles agora têm uma visão mais clara do que está sendo executado em toda a stack e uma maneira mais consistente de priorizar vulnerabilidades. Isso aumentou a rapidez e a frequência com que eles atualizam pacotes quando problemas são descobertos.
A redução de ruído também importou. Menos falsos positivos significa que os engenheiros não perdem tempo triando e podem focar no risco real.
“A redução de ruído é enorme. Ela diminui os falsos positivos para que os engenheiros possam focar no que importa.”
A Aikido também ajudou a Timefold a responder rapidamente a grandes divulgações do ecossistema. Um exemplo foi a vulnerabilidade de bypass de autenticação do Next.js. A Timefold não foi muito impactada porque o Next.js era usado apenas para o frontend e a autenticação de backend ainda se aplicava, mas ainda era o tipo de problema que eles queriam identificar e corrigir rapidamente.
No lado da conformidade, a Timefold agora está em conformidade com a SOC 2, usando a cobertura contínua da Aikido juntamente com ferramentas de conformidade existentes como a Vanta.
Resumo
A Timefold não precisava de uma plataforma de segurança que exigisse atenção. Eles precisavam de uma que silenciosamente mantivesse a segurança em ordem, apoiasse o trabalho de conformidade e permitisse que os engenheiros permanecessem produtivos.
Para Pieter, esse é o resultado ideal:
“A Aikido está lá, mas não a notamos. E é isso que eu gosto nela.”
Aikido executa em segundo plano, as equipes permanecem focadas e a segurança melhora sem se tornar um gargalo.
