De un vistazo
- Consolida SCA, SAST y el escaneo de contenedores en una sola plataforma.
- Integrado en 100 repositorios en pocas semanas con un solo ingeniero
- Da soporte a 100 desarrolladores en GitLab, GitHub y Azure DevOps.
- Ofrece AppSec multilingüe para AppSec para F#, Rust, C++, C#, Python, React/Typescript.
- Permite correcciones más tempranas mediante flujos de trabajo de solicitudes de fusión.
- Advances AutoStore mejora el ciclo de vida seguro del desarrollo de software (SSDLC) con información útil.
- Seleccionado Aikido Security por delante de Black Duck y Endor Labs
Desafío
La organización de ingeniería de AutoStore había crecido y se había diversificado, con cerca de 100 desarrolladores trabajando en muchos lenguajes, bases de código y oficinas en todo el mundo. Mientras que algunos equipos tenían hábitos de seguridad sólidos, otros dependían de procesos inconsistentes o flujos de trabajo heredados, lo que creaba una cobertura desigual. A medida que la empresa se expandía hacia un desarrollo más nativo de la nube, estas brechas se volvían más difíciles de gestionar.
El director de ingeniería y el director de seguridad de la información se propusieron reforzar el ciclo de vida seguro del desarrollo de software (SSDLC) de AutoStore y aportar claridad y coherencia a la forma en que se gestionaba la seguridad en toda la empresa.
AutoStore necesitaba una plataforma que proporcionara AppSec completa AppSec en repositorios heredados y nativos de la nube, que fuera compatible con su diversa pila tecnológica y que se integrara directamente con GitHub, GitLab y Azure DevOps.
«Por supuesto, cuando 100 desarrolladores o 10 equipos hacen las cosas por su cuenta, habrá algunas prácticas que sean buenas y otras que no lo sean tanto», afirma Vegard Syre Aaker, ingeniero de software de seguridad en AutoStore.
Mientras tanto, los procesos de riesgo de código abierto que históricamente se habían construido en torno a los sistemas C++ no podían escalarse para dar soporte a los entornos de desarrollo modernos.
«Buscábamos una herramienta de seguridad que pudiera manejar todos nuestros lenguajes de programación y funcionar con GitHub, GitLab y otros sistemas. Nuestros repositorios son muy diferentes, por lo que no fue fácil. Aikido fue una de las pocas herramientas que podía satisfacer todas nuestras necesidades».
Una selección dirigida por desarrolladores
La experiencia previa de Vegard como desarrollador influyó en la evaluación de AutoStore. El equipo necesitaba una AppSec que los desarrolladores utilizaran realmente y que se integrara sin problemas en los flujos de trabajo existentes.
«Estaba buscando una herramienta que supiera que podría empoderar a los desarrolladores. Algo que realmente adoptaran y que se integrara bien con nuestros procesos».
Este requisito de priorizar a los desarrolladores se alineaba perfectamente con el enfoque de Aikido.
Solución
AutoStore evaluó Aikido junto con Endor Labs, Black Duck herramientas de código abierto. Aikido destacó por su experiencia intuitiva, AppSec en varios idiomas y su capacidad para unificar múltiples funciones de seguridad en una sola plataforma.
«Durante la prueba de concepto, nos gustó la interfaz sencilla e intuitiva. También elegimos Aikido porque era fácil de integrar e incluía muchas herramientas de seguridad en un solo paquete con un único panel de control».
Aikido era compatible con todos los principales lenguajes en uso y proporcionaba tanto integraciones directas como escaneo local para bibliotecas C++ complejas. Mientras que GitHub y Azure DevOps se integraron sin problemas en una fase anterior del proceso, la implementación de GitLab demostró la escalabilidad de la plataforma:
«La mayor parte de la integración de GitLab fue realizada por un ingeniero de seguridad, con poca ayuda, en solo unas pocas semanas. Esto incluyó alrededor de 100 repositorios y 100 desarrolladores».
El rápido soporte y la flexibilidad de Aikido contribuyeron a la rapidez de la implementación.
«La mayoría de los problemas que surgieron durante la integración y la implementación se resolvieron rápidamente con la ayuda de Aikido, que se muestra flexible a la hora de realizar cambios en su software si es necesario».
Por qué AutoStore eligió Aikido
AutoStore seleccionó Aikido porque:
- Admite todos los lenguajes principales en uso, incluidos C++, Rust y F#.
- Se integra directamente con GitHub, GitLab y Azure DevOps.
- Consolida SCA, SAST el escaneo de contenedores en una sola plataforma.
- Ofrece flujos de trabajo centrados en los desarrolladores y visibilidad de las solicitudes de fusión.
- Proporciona resultados prácticos que reducen el ruido y orientan la priorización.
Resultados
Aikido ahora ofrece una visión coherente de las vulnerabilidades en todos los equipos y repositorios.
«Los desarrolladores y los ingenieros de seguridad ahora tienen una visibilidad mucho mejor de los riesgos y las vulnerabilidades. Estoy seguro de que esto mejorará la seguridad de nuestras aplicaciones con el tiempo».
Los flujos de trabajo de solicitudes de fusión de Aikido ayudan a detectar problemas antes y a mejorar la participación de los desarrolladores.
«Incluirlo como comentario en las solicitudes de fusión, lo que podría bloquearlas, ayudará a mejorar la seguridad de las aplicaciones con el tiempo».
Aikido también permitió a AutoStore validar rápidamente las vulnerabilidades recién reveladas. Cuando su proveedor de SOC señaló un nuevo problema de dependencia, Aikido ya disponía de un análisis.
«Revisé la publicación del blog de Aikido y vi que ya llevabas varios días siguiendo esa vulnerabilidad. Pude comprobar rápidamente si nuestro código fuente se veía afectado».
Cómo AutoStore está ampliando el uso de Aikido
Ya en uso
Planeando adoptar
Evaluación siguiente
«Probaremos las pruebas de penetración con IA en una de nuestras aplicaciones. Esto podría eliminar parcialmente nuestras pruebas de penetración externas».
El aikido como el nivel más aplicable del SSDLC
Vegard destaca que un ciclo de vida de desarrollo seguro incluye muchos componentes, como la gestión de riesgos, el modelado de amenazas y las pruebas de penetración. En la práctica, Aikido se convirtió en la parte más viable del marco.
«El resto de la organización está muy centrada en el aikido porque es algo práctico. Es mucho más práctico en comparación con otros temas que son más vagos».
Pasos claros, visibilidad rápida y flujos de trabajo centrados en los desarrolladores permiten a los equipos reforzar la seguridad de forma colaborativa.
«Si volviera a hacerlo, probablemente elegiría una herramienta de seguridad rápidamente y luego construiría sobre esa base».
Veredicto final
«Aikido ofrece un producto específico que permite a los equipos de ingeniería gestionar las vulnerabilidades de forma eficaz. Han dado prioridad claramente a la usabilidad, lo que hace que gestión de vulnerabilidades y viable».
Encabezado 1
Encabezado 2
Encabezado 3
Encabezado 4
Encabezado 5
Encabezado 6
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Cita en bloque
Lista ordenada
- Elemento 1
- Elemento 2
- Elemento 3
Lista no ordenada
- Elemento A
- Elemento B
- Elemento C
Texto en negrita
Énfasis
Superíndice
Subíndice
.avif)
