Aikido

Cómo Raisin asegura el desarrollo acelerado por IA sin ralentizar a sus ingenieros, con Aikido

Migrado desde -
Herramientas de código abierto,  
50
Despliegues al día, con la seguridad siguiendo el ritmo
2 semanas
Desde una nueva amenaza de IA detectada hasta una regla implementada
200
AutoFixes al mes
Aikido MCP
Dentro del asistente de IA
 

Raisin es una fintech con sede en Berlín que gestiona un mercado online de ahorro e inversión, conectando a más de un millón de clientes con productos de depósito y ahorro de una red de bancos asociados en toda Europa, el Reino Unido y Estados Unidos. Esto implica manejar una gran cantidad de dinero de personas en un mercado regulado, lo que confiere un peso real a la seguridad de las aplicaciones.

El CISO y el responsable de seguridad de producto de Raisin observaban cómo la ingeniería asistida por IA superaba a una pila de seguridad de código abierto de mantenimiento propio. He aquí por qué eligieron Aikido para mantenerse al día, y cómo se adapta a la forma en que el equipo ya trabaja.

De un vistazo

  • Reemplazaron una pila de escáneres de código abierto de mantenimiento propio con una plataforma para la seguridad de aplicaciones y de la cadena de suministro.
  • Ejecuta Aikido dentro de JetBrains y VS Code, y dentro de los asistentes de IA para desarrolladores a través de MCP, para que la seguridad se integre en el flujo de trabajo en lugar de estar al margen.
  • Utiliza análisis de alcanzabilidad en JavaScript y Python para reducir el triaje manual.
  • Genera alrededor de 200 AutoFixes al mes.
  • Dispuso de una regla de calidad de código para una nueva amenaza de habilidades de IA implementada en las dos semanas siguientes a su solicitud.
  • Utiliza Aikido Safe Chain para desarrolladores en los ecosistemas de NPM y PyPI.
  • Despliega en producción unas 50 veces al día, con la seguridad siguiendo el ritmo en lugar de bloquear.

Desafío.

Un stack de código abierto DIY que dejó de escalar

Antes de Aikido, el equipo de seguridad de producto gestionaba la seguridad con escáneres de código abierto que mantenía internamente, integrados en los pipelines de compilación como tareas separadas. Eso funcionaba mientras el equipo de ingeniería era pequeño. A medida que el equipo crecía y llegaban nuevos servicios, las tareas empezaron a fallar y el equipo dedicaba su tiempo a arreglar los escáneres en lugar de actuar sobre lo que encontraban.

“Utilizábamos muchos escáneres de código abierto, con tareas separadas en nuestros pipelines que teníamos que mantener. A medida que escalábamos y añadíamos servicios, esas tareas empezaron a fallar y dedicábamos mucho tiempo a arreglarlos en lugar de actuar sobre lo que encontraban.”

Steeven George, Jefe de seguridad de producto, Raisin

El triaje se acumulaba. En SCA, el equipo comprobaba manualmente si un hallazgo era alcanzable, o se arriesgaba a cargar con 10 o 20 críticos por proyecto a desarrolladores que ya consideraban la seguridad un bloqueador. El malware en la cadena de suministro era la parte para la que no tenían una respuesta real. Los ataques a los ecosistemas de NPM y Python habían estado aumentando durante un par de años, y el auge de la IA hizo que fuera barato producir paquetes maliciosos en masa. Raisin generaba listas de materiales de software con una herramienta de código abierto y luego verificaba cada una manualmente, lo que era una tarea lenta en sí misma. En cuanto al malware, el equipo tenía un punto ciego que no podía cubrir con las herramientas de las que disponía.

La seguridad se queda atrás de la ingeniería acelerada por IA

Nitesh Gaikwad, el CISO de Raisin, veía el mismo problema desde arriba. Las herramientas de codificación con IA estaban acelerando a los ingenieros, y la seguridad de las aplicaciones no seguía el ritmo. Los proyectos más antiguos contenían problemas que el equipo no tenía una forma clara de ver.

“Nuestros ingenieros se estaban acelerando, especialmente con las herramientas de IA, pero no estábamos poniéndonos al día en el lado de la seguridad de las aplicaciones y del producto. Necesitábamos algo que pudiera encontrar problemas de seguridad rápidamente, dentro del flujo de trabajo de ingeniería.”

Nitesh Gaikwad, CISO, Raisin

La brecha también se manifestaba en el flujo de trabajo. Raisin no tenía seguridad integrada en el IDE, por lo que el equipo dependía de los pipelines y escaneos de CI/CD, y los problemas solo salían a la luz una vez que el código llegaba a la etapa de fusión. Eso ralentizaba la entrega y no dejaba una forma real de adelantar las comprobaciones, lo cual era lo contrario de donde Nitesh quería que se ubicara la seguridad.

Para Nitesh, el objetivo era el riesgo: encontrar las brechas en proyectos que el equipo nunca había podido inspeccionar y mantener los problemas críticos fuera de producción, sin convertirse en lo que ralentizara la entrega.

Por qué Raisin eligió Aikido

Nitesh realizó la evaluación comparando herramientas como Wiz y CrowdStrike, y contra la opción de mantener la configuración interna. Aikido destacó por su análisis de malware en paquetes de código abierto y librerías de terceros, y por cubrir todo el espectro en una única plataforma en lugar de con herramientas desconectadas.

“Lo que destacó fue el análisis de malware en paquetes de código abierto y librerías de terceros. Ninguna otra herramienta que evaluamos cubría todo el espectro en una única plataforma.”

Nitesh Gaikwad, CISO, Raisin

Una amplitud tan grande plantea una preocupación obvia: que una plataforma que cubra tanto podría no ser fuerte en ninguna área específica. La respuesta de Nitesh fue la propia evaluación. Su equipo realizó una evaluación exhaustiva, proporcionó retroalimentación sobre lo que encontraron y observó cómo Aikido actuaba al respecto durante la PoC, así que la decisión se basó en cómo se comportaba el producto en su entorno en lugar de en una lista de características.

El producto también tenía que ganarse la confianza de los desarrolladores, no solo la del equipo de seguridad. En Raisin, la ingeniería de plataforma da el visto bueno a las nuevas herramientas, por lo que la usabilidad era parte de la prueba. Para Steeven, el atractivo técnico era la consolidación más la alcanzabilidad.

“Aikido nos proporcionó un panel único. Con el análisis de alcanzabilidad para JavaScript y Python, hacemos menos triaje y hay menos fricción en el lado de SAST.”

Steeven George, Jefe de seguridad de producto, Raisin

La transparencia fue parte del atractivo. Steeven encontró al equipo abierto sobre la dirección del producto, lo que facilitó plantear requisitos y discutir la hoja de ruta en lugar de tener que adivinarla.

Cómo Aikido se adapta a la forma de trabajar de Raisin

Los desarrolladores ven los hallazgos de Aikido en los editores que ya utilizan, y a través de la integración de MCP, sus asistentes de IA pueden extraer el contexto de Aikido directamente. La seguridad se integra en el flujo de trabajo en lugar de en una consola separada que los desarrolladores tienen que recordar abrir.

“Aikido se integra en los IDEs que nuestros desarrolladores ya utilizan, como JetBrains y VS Code. Con la integración de MCP, pueden consultar Aikido y ver qué problemas tiene un repositorio, sin salir de sus herramientas.”

Steeven George, Jefe de seguridad de producto, Raisin

Aikido ejecuta el SAST, SCA, la detección de secretos y el escaneo de malware de paquetes de código abierto de Raisin en un solo lugar. Los desarrolladores solían rechazar los hallazgos diciendo que una vulnerabilidad no era alcanzable, y el ir y venir costaba tiempo a ambas partes. Con el análisis de alcanzabilidad en JavaScript y Python en la misma vista, ese debate desaparece, ya que la herramienta ya muestra si un hallazgo afecta a código en vivo.

En cuanto a la remediación, Aikido AutoFix genera alrededor de 200 correcciones al mes. Cada corrección tiene un nivel de confianza, y un desarrollador la revisa antes de que se implemente. AutoTriage funciona junto a él. El equipo solía revisar los hallazgos de SAST uno por uno para juzgar qué era real. Ahora la IA de Aikido los clasifica, así los ingenieros y el equipo de seguridad dedican menos tiempo a decidir si un hallazgo es un falso positivo y más a los que realmente importan.

“Obtenemos alrededor de 200 AutoFixes al mes. La mayoría de las herramientas SAST solo te dan una recomendación. Aikido entiende el contexto y ofrece una corrección que está casi lista para fusionarse, con un nivel de confianza, para que el desarrollador pueda juzgarla.”

Steeven George, Jefe de seguridad de producto, Raisin

Raisin también utiliza Aikido Safe Chain para los desarrolladores que trabajan en los ecosistemas de NPM y PyPI. Su escaneo de CI/CD, que antes era un conjunto de tareas de código abierto frágiles, ahora se ejecuta a través de Aikido como una única integración.

Un proveedor que se adapta a su ritmo de entrega

La prueba más clara provino de una amenaza que apenas existía un mes antes. Los desarrolladores de Raisin comenzaron a integrar habilidades de IA externas, y el equipo se preocupó por el malware que pudiera venir con ellas. Ninguna herramienta en el mercado lo cubría. Raisin lo planteó a Aikido, y una regla se implementó en el módulo de calidad de código en unas dos semanas. Ahora el equipo lo escanea desde un repositorio central. El acceso directo al fundador en un canal compartido de Slack agilizó la conversación, pero lo que Steeven destaca es la rapidez de respuesta, no el acceso.

“Estábamos preocupados porque las habilidades externas llegaban con malware, y ninguna otra herramienta lo cubría. Aikido implementó una regla en el módulo de calidad de código en unas dos semanas.”

Steeven George, Jefe de seguridad de producto, Raisin

Lo que hizo que se implementara fue el momento oportuno. Las habilidades de IA habían aparecido solo uno o dos meses antes, y ninguna otra solución en el mercado las escaneaba, por lo que Steeven esperaba una larga espera o una solución alternativa. En cambio, la capacidad llegó integrada en la plataforma, como parte de las propias herramientas de seguridad de Aikido. La regla de habilidades fue solo un ejemplo del mismo patrón. Steeven afirma que Aikido sigue lanzando soluciones contra nuevas amenazas a medida que estas surgen, siendo Device Protection un ejemplo reciente, lo cual es exactamente lo que un equipo de rápido movimiento como Raisin necesita de un proveedor de seguridad.

Raisin entrega rápido y cada vez con mayor celeridad. Los cambios en producción han escalado de unos 10 al día a unos 50. A ese ritmo, la seguridad se mantiene al día o se convierte en un cuello de botella. El objetivo de Nitesh es detectar los problemas durante el desarrollo, en el IDE, en lugar de en una etapa posterior del pipeline, y eso es exactamente en lo que Aikido ayuda.

“Podemos acelerar el proceso en lugar de bloquear el pipeline. La mayoría de los problemas se identifican durante el desarrollo, en el IDE, en lugar de en una etapa que bloquea el pipeline, por lo que hacemos push a main mucho más rápido.”

Nitesh Gaikwad, CISO, Raisin

Cómo Raisin utiliza Aikido hoy

Ya en uso

Planeando adoptar

Evaluando

Veredicto final

“Uno de nuestros mayores logros es que la antigua fricción entre seguridad y desarrolladores ha desaparecido. Confían en que, cuando Aikido señala algo, vale la pena dedicarle tiempo.”

Asegura tu plataforma ahora

Protege tu código, la nube y el entorno de ejecución en un único sistema central.
Encuentra y corrije vulnerabilidades de forma rápida y automática.

No se requiere tarjeta de crédito | Resultados del escaneo en 32 segundos.