De un vistazo
- Un único ingeniero de seguridad cubre a 50 desarrolladores que realizan entre 70 y 80 despliegues al día
- Más del 80 por ciento del código nuevo en Omnea es generado por IA
- Eligió Aikido en lugar de Snyk después de una prueba de concepto de Snyk de seis semanas
- Adoptó Aikido como la primera herramienta AppSec dedicada de Omnea, sin herramientas previas que reemplazar
- Aikido opera discretamente en el flujo de trabajo del desarrollador aproximadamente el 90 por ciento del tiempo
- Pocos falsos positivos significan que un único ingeniero puede confiar y actuar sobre cada alerta
- La evidencia SOC 2 se integra en Vanta, y los informes de licencias cubren la diligencia debida de los inversores bajo demanda
- Pilotando pentesting de IA y planeando implementar la protección de dispositivos
Desafío.
Omnea es una empresa de compras nativa de IA cuyos clientes incluyen empresas globales como Spotify, MongoDB y Monzo. Les sirve con un equipo que contrata agresivamente y despliega continuamente. Cuando el equipo adoptó Aikido por primera vez, contaba con 14 desarrolladores y crecía rápidamente. La seguridad tenía que escalar con la ingeniería sin convertirse en un obstáculo para las entregas, y al mismo tiempo tenía que superar las revisiones de adquisición de las empresas.
"Cuando llegamos a Aikido por primera vez, necesitábamos una herramienta de seguridad que pudiera escalar con nosotros. Éramos 14 desarrolladores en ese momento y estábamos creciendo rápidamente. Necesitábamos algo que nos permitiera mantenernos seguros y entregar a clientes empresariales, sin convertirnos en un obstáculo."
Solución
Aikido cubría una amplia superficie de AppSec bajo una única plataforma, y ganó la adopción de los desarrolladores al mantenerse discreto. Solo interrumpe a los ingenieros cuando hay algo real que revisar.
"Nuestros desarrolladores usan Aikido todos los días, pero no es un gran obstáculo. El noventa por ciento del tiempo se mantiene discretamente en segundo plano. La mitad del tiempo, la mayoría de los desarrolladores olvidan que está ahí. Solo los involucra cuando hay algo real."
Omnea conectó Aikido a las herramientas que sus funciones de ingeniería y seguridad ya utilizaban: GitHub, Linear y Vanta. La integración con Vanta transformó la forma en que el equipo gestiona las auditorías SOC 2.
"Hemos integrado Aikido en GitHub, Linear y Vanta. Con Vanta, nuestra herramienta SOC 2, Aikido proporciona a los auditores la evidencia directamente, sin tener que volver atrás y buscar problemas específicos."
El código generado por IA es ahora la norma en Omnea, en lugar de la excepción. Esto cambia la velocidad a la que evoluciona la base de código y con qué debe mantenerse al día una herramienta de seguridad.
"Más del ochenta por ciento de nuestro código hoy en día es generado por IA. Contar con una herramienta que verifique lo que estamos haciendo, a medida que las cosas cambian y se mueven tan rápidamente, es realmente importante."
¿Por qué Omnea eligió Aikido?
Omnea comparó Aikido con Snyk y algunos competidores establecidos. Lo que decantó la balanza fue la facilidad de uso de Aikido desde el principio: precios transparentes, amplia cobertura lista para usar y un equipo que entregaba las solicitudes de nuevas funciones en cuestión de días.
"Desde el principio, quedó claro lo mucho más fácil que era trabajar con Aikido. Precios transparentes, más funcionalidades de serie y un equipo que respondía. Fue una elección clara y sencilla."
El contraste con la evaluación de Snyk era evidente. Una prueba de seis semanas con Snyk dejó clara la diferencia en la capacidad de respuesta, mientras que Aikido gestionaba el feedback al día siguiente.
- Precios transparentes sin ciclos de evaluación obligatorios de varias semanas.
- Amplia cobertura lista para usar que va más allá de una herramienta SCA independiente, incluyendo SAST, SCA y AutoFix.
- Un equipo que responde a las solicitudes de nuevas funciones en días, no en trimestres.
- Integraciones nativas con GitHub, Linear y Vanta.
- Una plataforma diseñada para la velocidad de un equipo de ingeniería nativo de IA.
Resultados
Seguridad que sigue el ritmo sin necesidad de personal adicional.
Con Aikido, Omnea mantiene una proporción que sería difícil de sostener con una herramienta más ruidosa o manual: un ingeniero de seguridad para cincuenta desarrolladores. Esta proporción se mantiene porque Aikido cubre código, cloud y dependencias en un solo lugar y reduce el ruido, permitiendo que un único ingeniero vea toda la superficie y confíe en lo que se señala.
"Aikido nos ha permitido entregar a clientes empresariales manteniendo una alta postura de seguridad. Realizamos despliegues a producción entre 70 y 80 veces al día. Tenemos un ingeniero de seguridad para 50 desarrolladores, y gestionan toda la carga de trabajo porque Aikido se encarga de lo más pesado."
Alertas en las que el equipo puede confiar.
Una función de seguridad eficiente solo funciona si cada alerta merece ser atendida. En Omnea, la ausencia de ruido por falsos positivos es lo que permite a un ingeniero mantenerse al día, y es la razón por la que los desarrolladores se toman la herramienta en serio cuando esta se pronuncia.
"Los desarrolladores confían en que cuando Aikido plantea un problema, este es real. No tener todo el ruido y los falsos positivos significa que, cuando revisas algo, sabes que hay un problema real que solucionar."
Riesgo en la cadena de suministro, ahora visible.
Aikido muestra el volumen de riesgo en la cadena de suministro que se mueve a través de las dependencias de Omnea, en un solo lugar en lugar de disperso en múltiples registros. En un reciente período de tres meses, esto supuso siete veces más vulnerabilidades en la cadena de suministro que en el trimestre anterior, todo ello visible para el equipo.
"Es tan fácil para los desarrolladores instalar un paquete vulnerable o comprometido; tener algo que bloquee lo que se está instalando es realmente valioso."
Seguridad que rinde frutos en la sala de due diligence.
Para una empresa en proceso de captación de capital, Aikido resultó rentable en un lugar que Omnea no esperaba. Cuando los inversores solicitaron pruebas de una postura de seguridad madura, la respuesta ya estaba generada y lista.
"Aikido incluso nos ha ayudado con la due diligence de los inversores. Un informe sobre cada tipo de licencia, generado al instante. Ni siquiera sabíamos que lo teníamos hasta que nuestros inversores lo pidieron, y resolvió el problema al instante."
También cambió la percepción de la empresa por parte de los inversores. Poder demostrar, bajo demanda, que la seguridad estaba gestionada eliminó toda una línea de preguntas antes de que comenzaran.
"Cuando estás captando capital, los inversores quieren ver que eres maduro en todos los aspectos de la seguridad. Con Aikido no hubo preocupaciones desde el principio. Pudimos decir que lo teníamos bajo control y que éramos proactivos con nuestra postura."
El mismo rastro de evidencia sirve para las auditorías SOC 2 del equipo, donde Aikido proporciona a los auditores pruebas de remediación dentro del SLA sin que nadie tenga que extraer los problemas manualmente.
Cómo Omnea está ampliando su uso de Aikido
Ya en uso
- Escaneo SAST y SCA
- AutoFix
- Integración de Vanta para la evidencia de SOC 2
- Informes de licencias
- Aikido Safe Chain
Pilotaje
- Pentesting de IA, con ejecuciones iniciales completadas y un lanzamiento continuo planificado
"Antes, solo hacíamos un pentest anual una vez al año, a menudo más por cumplir un requisito que por otra cosa. Con el pentesting de IA podemos encontrar problemas tan pronto como los lanzamos. Podemos solucionarlos antes de que alguien los descubra."
Planeando adoptar
- Protección de dispositivos
Evaluando lo siguiente
- Aikido Zen Firewall, como posible reemplazo de AWS WAF para reglas de salida y basadas en aprendizaje
Veredicto final
"Para nosotros, el principal impacto de Aikido es que podemos mantenernos continuamente seguros mientras entregamos a una velocidad vertiginosa."

