De un vistazo
- Se han integrado DAST SAST una única plataforma
- Resultados integrados directamente en Slack, Linear y Vanta
- Se ha establecido una reunión semanal para revisar y cerrar los resultados
- Se redujo el ruido a un nivel que el equipo pudiera gestionar de forma realista
- Aikido sustituyó a Tenable DAST a GitHub Advanced Security SAST
Desafío.
El equipo de seguridad de Render se encarga de la seguridad de las aplicaciones, seguridad en la nube el cumplimiento normativo en toda la organización. Con unos 50 desarrolladores que trabajan en aproximadamente 30 repositorios activos, el equipo necesita herramientas que ofrezcan una cobertura constante sin generar un trabajo de mantenimiento continuo.
«Nos encargamos de la seguridad interna: seguridad de las aplicaciones, seguridad en la nube, cumplimiento normativo. Un poco de todo», afirmó Sean Doughty, director de ingeniería del equipo de seguridad de Render.
Antes de adoptar Aikido, Render utilizaba Tenable DAST GitHub Advanced Security SAST. Ambas herramientas eran técnicamente competentes. Sin embargo, surgieron dificultades a la hora de integrarlas en el trabajo diario de ingeniería. La organización carecía de integración con Linear o Slack, lo que reducía la visibilidad para los ingenieros. Además, esto dificultaba la clasificación de incidencias. Por otra parte, al equipo le resultaba complicado realizar análisis en todos sus repositorios. Para un equipo pequeño con amplias responsabilidades, mantener ese nivel de carga de trabajo se volvió difícil.
Reconsiderar la consolidación
Render evaluó inicialmente Aikido para DAST. El objetivo inicial era concreto: encontrar una herramienta que se integrara mejor con la ingeniería de sistemas que ya se utilizaba.
«Cuando activé DAST, pensé: “Veamos también cómo SAST el SAST ”. Bastaron un par de clics para conectar un repositorio», dijo Sean.
Esa experiencia inicial cambió el enfoque interno. En lugar de considerar DAST SAST categorías independientes que requerían herramientas distintas, el equipo empezó a analizar el panorama operativo en su conjunto. Mantener dos plataformas suponía dos flujos de trabajo, dos fuentes de información y dos sistemas que había que mantener correctamente configurados en docenas de repositorios. Para un equipo pequeño, esa fragmentación generaba dificultades.
«Con el aikido, simplemente funcionó y ha seguido funcionando durante varios meses», dijo Sean.
La fiabilidad hizo que la consolidación pareciera menos arriesgada. La ejecución conjunta DAST SAST una única plataforma redujo el número de sistemas que el equipo tenía que gestionar y eliminó la necesidad de configurar los análisis a nivel de repositorio. Se podían añadir nuevos repositorios sin tener que repetir los pasos de configuración ni mantener la lógica de análisis en varios lugares. Con el tiempo, Render trasladó ambas funciones a Aikido.
¿Qué ha cambiado en la práctica?
La diferencia más notable fue cómo los resultados se integraban en el flujo de trabajo diario.
«Creo sinceramente que las integraciones son probablemente lo más importante: se conecta con Slack, Linear y Vanta».
Slack y Linear son los canales donde se desarrollan las conversaciones de ingeniería y se realiza el seguimiento del trabajo. Al integrar Aikido directamente en esos sistemas, los hallazgos aparecen en su contexto, en lugar de en un panel independiente que requiere una supervisión activa. Desde una perspectiva operativa, esto ha cambiado la forma en que el equipo revisa y resuelve los problemas. Alex Curtiss, ingeniero de seguridad en Render, gestiona gran parte del uso diario de Aikido y, gracias a las integraciones, ha logrado cambiar la sesión de revisión semanal centrada en cerrar los hallazgos por un enfoque asíncrono. Dado que los hallazgos ya están conectados a Linear y Slack, el seguimiento se lleva a cabo dentro de los mismos sistemas que los ingenieros utilizan para el trabajo en el producto. La cadencia semanal funciona porque el volumen es manejable.
«Antes había mucho más volumen. El aikido se practica a un ritmo que podemos seguir».
Esa diferencia ha permitido mantener un proceso de revisión constante, en lugar de dejar que los problemas se acumulen. La incorporación también ha sido más sencilla.
«Esta es una herramienta a la que tenemos asignado a todo nuestro equipo de ingeniería. Les resulta muy fácil empezar a usarla en cuanto se incorporan».
Un acceso amplio facilita el reparto de las responsabilidades en materia de seguridad en toda la organización.
Apoyo en las conversaciones con los clientes
La seguridad en Render también implica responder a las preguntas de los clientes sobre la cobertura de los análisis y los controles. Cuando los clientes solicitan pruebas, el equipo debe proporcionarlas rápidamente.
«Un cliente nos ha planteado una duda sobre un tema y acabamos de elaborar un informe de auditoría de seguridad. Hemos marcado algunas de las casillas correspondientes a lo que nos pedían y se lo hemos enviado».
Al poder consultar los resultados DAST, SAST la nube en un solo lugar, ya no es necesario recopilar información de varias herramientas para generar esos informes.
Conclusión
La decisión de Render de consolidar sus herramientas de seguridad vino motivada por las realidades operativas. El uso de sistemas independientes requería una configuración manual, coordinación y cambios de contexto que un equipo pequeño no podía mantener indefinidamente.
«Teníamos un software muy potente, pero disponer de algo que se integre con nuestras otras herramientas y que los ingenieros realmente utilicen es mucho mejor».
Al integrar DAST SAST una sola plataforma, incorporar los resultados a Slack y Linear y establecer una cadencia de revisión semanal, Render logró que la seguridad de las aplicaciones formara parte del trabajo habitual del equipo de ingeniería.
