Aikido

Cómo Glasswall consolidó cuatro herramientas de AppSec en Aikido

Migrado desde -
Snyk,  
Wiz,  
Black Duck,  
Semgrep,  
3
Herramientas consolidadas
2
Tiempo de respuesta de una semana para solicitudes
1
Visibilidad en código y cloud

La empresa británica de ciberseguridad Glasswall, especializada en protección de archivos mediante tecnología Content Disarm and Reconstruction (CDR), sustituyó Snyk, Wiz Code y Black Duck por una única implementación de Aikido, obtuvo cobertura de paquetes C++ de VC en dos semanas e implementó Safe Chain en todas las pipelines de producción que utilizan paquetes compatibles.

De un vistazo

  • Sustituyó Snyk, Wiz Code y Black Duck por Aikido
  • Soporte para VC Package C++ implementado en dos semanas desde la solicitud
  • AutoFix con un solo clic para dependencias vulnerables
  • Conectado directamente a repos de Azure DevOps y registros de contenedores
  • Seguridad consolidada de código, dependencias y contenedores en una única plataforma
  • Safe Chain implementado en todas las pipelines de producción que utilizan paquetes compatibles
  • Evaluando el pentesting de IA como la próxima evolución de las pruebas ofensivas

Desafío.

Chris Holman dirige la seguridad de aplicaciones en Glasswall, una empresa británica de ciberseguridad centrada en proteger a las organizaciones de amenazas basadas en archivos. Como proveedor de ciberseguridad, Glasswall evaluó sus herramientas de AppSec con el mismo rigor que aplica a sus propios productos.

Cuando Chris asumió el cargo, el entorno de AppSec de Glasswall se había expandido gradualmente a través de múltiples proveedores con el tiempo.

Snyk se encargaba del análisis de dependencias. Wiz Code cubría el análisis a nivel de código. Black Duck gestionaba la gobernanza de código abierto. SonarQube cubría la calidad del código. Cada herramienta resolvía un problema específico, pero juntas creaban complejidad operativa. Los desarrolladores ya se habían quemado antes con herramientas que generaban hallazgos en los que no podían confiar, y el equipo de seguridad dedicaba tiempo a clasificar la señal del ruido en lugar de solucionar problemas.

“Teníamos Snyk, Wiz Code y Black Duck en diferentes partes de la infraestructura. Cada una de ellas era una buena herramienta por sí sola. Juntas eran un desastre.”

El solapamiento entre herramientas generó hallazgos duplicados, una priorización fragmentada y una creciente sobrecarga de gestión. La huella de aprovisionamiento también había superado el valor que el equipo obtenía.

Al mismo tiempo, el entorno C++ del equipo creó otro desafío. Glasswall depende en gran medida de VC Package, una configuración de gestión de dependencias que muchos escáneres modernos soportaban mal o no soportaban en absoluto. El equipo necesitaba una cobertura que pudiera funcionar directamente con su entorno en lugar de obligar a los equipos de ingeniería a usar soluciones alternativas.

“Nuestro entorno depende en gran medida de VC Package. La mayoría de los escáneres que evaluamos no lo soportaban o lo soportaban mal. Aikido se comprometió a implementarlo, y lo hicieron en dos semanas.”

Solución

Para Chris, el mayor diferenciador fue la velocidad de ejecución y la capacidad de respuesta.

Mientras que los proveedores más grandes operaban con ciclos de lanzamiento trimestrales, Aikido implementó la funcionalidad solicitada en cuestión de semanas. El soporte para VC Package se convirtió en el ejemplo más claro. Después de que Glasswall planteó el requisito, Aikido entregó soporte listo para producción en un plazo de dos semanas. Esa capacidad de respuesta cambió inmediatamente la evaluación.

Glasswall también ejecutó Aikido en paralelo con Wiz Code en la misma base de código de producción durante el proceso de evaluación. Los hallazgos fueron lo suficientemente comparables como para que los aspectos económicos se volvieran difíciles de ignorar.

“Ejecutamos Aikido y Wiz Code en paralelo. Los hallazgos fueron comparables, y Aikido representaba una fracción del coste. Ese fue el momento en que se tomó la decisión.”

Aikido también se integró directamente en los repositorios de Azure DevOps y los registros de contenedores de Glasswall, lo que proporcionó al equipo una visibilidad centralizada en código, dependencias y contenedores.

La implementación siguió el mismo ritmo. En un solo día, Glasswall pasó de no tener ningún despliegue de Aikido a una cobertura total en cada pipeline. Conectar los repositorios de Azure y los registros de contenedores requirió un clic en lugar de construir plantillas de pipeline o inyectar herramientas CLI manualmente, lo cual fue importante para un pequeño equipo DevSecOps donde el tiempo de ingeniería es el recurso más escaso.

Glasswall también implementó Aikido Safe Chain en todas las pipelines de producción que utilizan paquetes compatibles. Tras los recientes incidentes en la cadena de suministro que expusieron la rapidez con la que pueden propagarse los paquetes maliciosos, Safe Chain verifica las dependencias antes de su instalación, en lugar de depender únicamente de las bases de datos públicas de CVE.

"No puedes depender únicamente de las bases de datos públicas de CVE para saber si un problema está o no en tu paquete. Necesitas entonces diseccionar ese paquete y asegurarte de que, antes de instalarlo, es seguro de usar."

Para las actualizaciones de dependencias vulnerables, Glasswall redujo significativamente la cantidad de esfuerzo de ingeniería manual requerido. Los desarrolladores ahora pueden ver tanto el hallazgo como la ruta de remediación en el mismo flujo de trabajo, con solicitudes de extracción automatizadas generadas directamente por Aikido.

“Para la mayoría de las dependencias vulnerables, es cuestión de pulsar un botón. La PR está ahí, la prueba está ahí, la fusionas.”

Para Glasswall, la hoja de ruta importaba tanto como la funcionalidad actual. Como empresa de ciberseguridad, el equipo evaluaba no solo cómo son las herramientas de AppSec hoy en día, sino también hacia dónde se dirige el pentesting ofensivo en los próximos años. El pentesting de IA destacó como una señal importante. Para Chris, demostró que Aikido estaba invirtiendo más allá de los flujos de trabajo de escaneo tradicionales y pensando en cómo evolucionará el pentesting ofensivo en los próximos años.

“Lo que estáis haciendo con el enfoque de pentesting de IA multiagente va a ser la nueva norma. El Bug bounty no es un arte moribundo, pero muchos investigadores ahora están usando IA. ¿Por qué no podemos adoptar la IA nosotros mismos para encontrar exploits?”

Por qué Glasswall eligió Aikido

Varios factores impulsaron finalmente la decisión:

  • Soporte para VC Package y C++ entregado en dos semanas
  • Integraciones nativas de Azure DevOps y registros de contenedores
  • Hallazgos comparables a Wiz Code con un coste significativamente menor
  • Consolidación de la calidad del código en la misma plataforma
  • AutoFix con un solo clic para la remediación de dependencias
  • Una hoja de ruta alineada con las pruebas ofensivas impulsadas por IA

Resultados

El resultado más visible fue la consolidación. Snyk, Wiz Code y Black Duck fueron reemplazados por un único despliegue de Aikido que cubría código, dependencias y contenedores. El impacto se extendió más allá del ahorro en aprovisionamiento. La consolidación redujo la complejidad operativa, simplificó la priorización y proporcionó al equipo de seguridad un único flujo de trabajo en lugar de herramientas fragmentadas distribuidas entre múltiples proveedores.

Glasswall también sigue ampliando la cobertura a otras superficies de ataque. Una de las próximas prioridades es asegurar la propia infraestructura de los agentes de compilación.

"Los agentes de compilación son nuestro objetivo número uno. Asegurarnos de tener una verdadera capa de seguridad sobre ellos es primordial. Usar Aikido Device Protection para nuestros agentes de compilación garantizaría la seguridad del ecosistema más amplio."

Para Chris, las pruebas ofensivas asistidas por IA son uno de los cambios más importantes que se están produciendo hoy en la seguridad de las aplicaciones.

“El pentesting de IA se convertirá en la nueva norma. Muchos investigadores ya están utilizando la IA para encontrar exploits. Los equipos de seguridad deben adoptar el mismo enfoque.”

Cómo utiliza Glasswall Aikido hoy

Actualmente en uso

Próximos planes

Evaluando

Veredicto final

“Para nosotros, se trata del enfoque humano. Necesitamos un socio que pueda moverse a la velocidad a la que nos movemos, y Aikido lo hace.”

Asegura tu plataforma ahora

Protege tu código, la nube y el entorno de ejecución en un único sistema central.
Encuentra y corrije vulnerabilidades de forma rápida y automática.

No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.