¿Podéis presentaros y describir vuestros roles en GEA Digital?
Marc Lehr, Jefe de Engagement de Clientes y Plataforma Digital: Soy responsable de liderar el equipo de desarrolladores de Portal & App Factory en GEA Digital. Mi función es asegurar que nuestro desarrollo no solo sea innovador, sino también seguro. Con el ritmo de cambio actual (nuevas dependencias, innumerables bibliotecas y amenazas en constante evolución), necesitamos un escaneo de seguridad automatizado para mantenernos al día.
Salvatore Cuccurullo, Gerente Senior de DevOps: Superviso nuestra infraestructura en la nube y ayudo a automatizar procesos tanto para nuestros equipos de desarrollo como de operaciones. En la práctica, esto significa asegurar que nuestros equipos puedan entregar rápidamente, manteniendo el cumplimiento y la seguridad.
¿Qué desafíos enfrentaste antes de Aikido?
Salvatore: En mi experiencia anterior, había trabajado con otras herramientas como Trivy Scanner. Aunque era sólida, requería un gran esfuerzo de integración y un mantenimiento constante para mantenerse actualizada. Eso simplemente no era escalable para nosotros.
Marc: Necesitábamos una solución que se integrara perfectamente en nuestra configuración de CI/CD, algo que pudiéramos poner en marcha rápidamente sin que cada desarrollador tuviera que ser un experto en DevOps. La seguridad debe potenciar el desarrollo, no ralentizarlo.
¿Por qué elegiste Aikido?
“Aikido destacó inmediatamente porque fue realmente diseñado pensando en los desarrolladores. La UX es sencilla, limpia y elimina fricciones innecesarias.
Salvatore: “Realmente consideramos a Aikido como un tercer equipo en nuestra estructura DevOps. Los desarrolladores se centran en la construcción, las operaciones gestionan la infraestructura y Aikido se encarga de la seguridad en segundo plano.”
Algunas razones clave por las que elegimos Aikido:
- Incorporación rápida: “En solo 45 minutos de formación interna, pudimos incorporar a más de 150 desarrolladores.”
- Actualizaciones ágiles: Aikido lanza funcionalidades de forma continua, manteniéndose al ritmo de nuestras necesidades.
- Soporte donde trabajamos: “El chat integrado facilita que nuestros equipos descentralizados hagan preguntas y obtengan respuestas inmediatas.”
“En solo 45 minutos de formación interna, pudimos incorporar a más de 150 desarrolladores.”
¿Qué características de Aikido le resultan más valiosas?
“Nuestro récord hasta ahora fue resolver una vulnerabilidad en cinco minutos, desde la detección hasta la solución con AI AutoFix.”
Marc: “La función refinada de Aikido es un cambio radical. Filtra automáticamente los falsos positivos, evitando que los desarrolladores pierdan el tiempo con alertas innecesarias.” También me encanta corrección automática con IA. Cuando veo un problema crítico, compruebo si es apto para una corrección automática. Si lo es, la activo, notifico al desarrollador y, en cuestión de minutos, el problema puede fusionarse. Nuestro récord hasta ahora ha sido resolver una vulnerabilidad en cinco minutos desde la detección hasta la solución.
Salvatore: “Aikido está perfectamente integrado con nuestra herramienta de CI/CD, como Azure DevOps. Incluso si alguien no tiene experiencia en DevOps, puede empezar a ser productivo en unos pocos clics.”
¿Puedes compartir tu experiencia con las pruebas de penetración de Aikido?
Marc: Recientemente realizamos un pentest a través de Aikido y quedamos muy satisfechos con los resultados. Dado que aprovecha los datos de escaneo de seguridad de Aikido, el proceso fue más eficiente. El esfuerzo, el tiempo y el coste se redujeron significativamente en comparación con los enfoques tradicionales.
¿Qué consejo daría a los equipos que están evaluando Aikido?
Marc: Involucra a tus desarrolladores desde el primer día. Aikido ofrece una gran cantidad de integraciones y automatizaciones, pero a menudo son las características más pequeñas las que marcan la mayor diferencia.
Salvatore: No subestimes el impacto de lo bien que se integra con tus herramientas (como Azure DevOps, en nuestro caso). Aikido nos permitió lograr una seguridad robusta con una interrupción mínima en el trabajo diario.
