Aikido

Cómo Believe unificó AppSec en Francia, EE. UU. y Japón con Aikido

Migrado desde -
Herramientas de código abierto,  
Semgrep,  
3
Continentes bajo una única plataforma de seguridad
20→41%
Tasa de parches después de adoptar Aikido
1
Registro autoservicio
1
Vista unificada de código y contenedores

De un vistazo

  • AppSec consolidado en unidades de negocio globales en una única plataforma
  • Duplicó la tasa de parches del 20 al 41 por ciento en el primer año
  • Realizó el registro inicial de forma autoservicio en aikido.dev sin fricciones en la adquisición
  • Integró el escaneo de contenedores en la misma vista que los hallazgos a nivel de código
  • Verificó los CVEs recién divulgados contra la base de código
  • Proporcionó a los desarrolladores un plugin de IDE para solucionar problemas in situ sin abrir un ticket

Desafío.

Una huella de ingeniería global con hábitos regionales

Believe es una compañía global de música digital que opera en Francia, Nueva York y Japón. Yolanda Amorim dirige la seguridad de aplicaciones dentro de esa organización de ingeniería distribuida. Cada región tenía su propia forma de trabajar y sus propias herramientas, lo que resultó en una cobertura de AppSec desigual en lo que se suponía que era un único producto.

Yolanda necesitaba una plataforma que todos los equipos regionales pudieran usar sin necesidad de formación adicional, una visión consistente para la dirección de seguridad y un bucle de retroalimentación con el que los desarrolladores se involucrarían activamente en lugar de evitarlo.

Believe no necesitaba una evaluación dirigida por ventas. Necesitaba probar la plataforma y demostrar su valor internamente.

“Queríamos consolidar una herramienta que funcionara en todos nuestros equipos globales. La opción de autoservicio en aikido.dev significaba que podíamos empezar directamente, sin pasar por un largo proceso de adquisición.”

Solución

El equipo de Yolanda integró a cada unidad regional en Aikido con la misma configuración y el mismo flujo de trabajo. SAST, SCA y el escaneo de contenedores se presentaban en una única vista.

El resultado operativo más visible fue la tasa de aplicación de parches. Antes de Aikido, Believe aplicaba parches a aproximadamente el 20 por ciento de los hallazgos identificados. Después de la consolidación y la introducción de AutoFix y el plugin IDE, esa cifra se duplicó aproximadamente.

“Nuestra tasa de aplicación de parches saltó del 20 al 41 por ciento después del cambio. Es la diferencia entre que la seguridad sea un elemento pendiente y que sea una métrica de ingeniería real.”

Cuando se divulgaba una nueva CVE, el equipo de Yolanda podía verificar si les afectaba y asegurar los paquetes que se incluían en la versión en curso.

“La semana pasada un desarrollador vino a mí realmente impresionado. Había salido una nueva CVE, y salvamos todos los paquetes para esa versión.”

Por qué Believe eligió Aikido

Believe sopesó Aikido frente a mantener el mosaico regional y frente a varios proveedores existentes. La decisión se redujo a un pequeño conjunto de factores.

  • Una plataforma que cubre código y contenedores
  • Onboarding de autoservicio en aikido.dev sin fricciones en la adquisición
  • Cobertura de los múltiples lenguajes y frameworks utilizados por los equipos globales
  • Un plugin de IDE que permite a los desarrolladores solucionar problemas in situ
  • Un proveedor receptivo cuando los CVEs recién divulgados necesitan una validación rápida

Resultados

Aikido cambió la dinámica de "el equipo de seguridad me pide que arregle esto" a "esto es parte de la entrega del cambio". El equipo de Yolanda también imparte formación específica para campeones de seguridad, centrándose en los problemas que cada equipo encuentra con mayor frecuencia.

Por primera vez, la dirección de seguridad de Believe puede comparar la postura en Francia, EE. UU. y Japón con los mismos datos y las mismas definiciones.

Integrar el escaneo de contenedores en Aikido junto con los hallazgos a nivel de código cerró una brecha de larga data. Los hallazgos ya no se dividen entre dos consolas y dos modelos de priorización.

Cómo Believe está expandiendo su uso de Aikido

Ya en uso

Planeando adoptar

Evaluando lo siguiente

Veredicto final

“Aikido es un cambio de juego para mí. Una sola herramienta, que cubre múltiples empresas, y elevamos nuestro nivel de seguridad más rápido de lo que esperaba.”

Asegura tu plataforma ahora

Protege tu código, la nube y el entorno de ejecución en un único sistema central.
Encuentra y corrije vulnerabilidades de forma rápida y automática.

No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.