De un vistazo
- Consolidó DAST y SAST en una única plataforma
- Integró los hallazgos directamente en Slack, Linear y Vanta
- Estableció una reunión semanal para revisar y cerrar los hallazgos
- Redujo el ruido a un nivel que el equipo podía gestionar de forma realista
- Aikido reemplazó a Tenable para DAST y a GitHub Advanced Security para SAST
Desafío.
El equipo de seguridad de Render cubre la seguridad de las aplicaciones, la seguridad en la nube y el cumplimiento en toda la organización. Con aproximadamente 50 desarrolladores trabajando en unos 30 repositorios activos, el equipo necesita herramientas que proporcionen una cobertura consistente sin generar un trabajo de mantenimiento constante.
“Somos responsables de la seguridad interna: seguridad de las aplicaciones, seguridad en la nube, cumplimiento. Un poco de todo”, dijo Sean Doughty, Gerente de Ingeniería del Equipo de Seguridad en Render.
Antes de adoptar Aikido, Render utilizaba Tenable para DAST y GitHub Advanced Security para SAST. Ambas herramientas eran técnicamente capaces. Sin embargo, la fricción surgió en cómo encajaban en el trabajo de ingeniería diario. La organización carecía de integración con Linear o Slack, lo que reducía la visibilidad para los ingenieros. También dificultaba el triaje. Mientras tanto, al equipo le había resultado difícil ejecutar escaneos en todos sus repositorios. Para un equipo pequeño con amplias responsabilidades, mantener ese nivel de sobrecarga se volvió difícil.
Repensando la consolidación
Render evaluó inicialmente Aikido para DAST. El objetivo original era limitado: encontrar una herramienta que se integrara mejor con los sistemas que la ingeniería ya utilizaba.
“Cuando activé DAST, pensé, veamos cómo es el SAST también. Fueron un par de clics para conectar un repositorio”, dijo Sean.
Esa experiencia inicial cambió la conversación interna. En lugar de ver DAST y SAST como categorías separadas que requerían herramientas separadas, el equipo comenzó a analizar el panorama operativo más amplio. Mantener dos plataformas significaba dos flujos de trabajo, dos fuentes de verdad y dos sistemas para mantener configurados correctamente en docenas de repositorios. Para un equipo pequeño, esa fragmentación añadió fricción.
“Con Aikido, simplemente funcionó y ha seguido funcionando durante varios meses”, dijo Sean.
La fiabilidad hizo que la consolidación pareciera menos arriesgada. Ejecutar tanto DAST como SAST en una única plataforma redujo el número de sistemas que el equipo necesitaba gestionar y eliminó la configuración de escaneo a nivel de repositorio. Se podían añadir nuevos repositorios sin repetir los pasos de configuración ni mantener la lógica de escaneo en varios lugares. Con el tiempo, Render trasladó ambas funciones a Aikido.
Qué cambió en la práctica
La diferencia más notable fue cómo los hallazgos se integraron en el flujo de trabajo diario.
«Realmente creo que las integraciones son probablemente lo más importante: se conecta a Slack, Linear, Vanta.»
Slack y Linear son los lugares donde se producen las conversaciones de ingeniería y se realiza el seguimiento del trabajo. Con Aikido integrado directamente en esos sistemas, los hallazgos aparecen en contexto en lugar de en un panel de control separado que requiere monitorización activa. Desde una perspectiva operativa, esto ha cambiado la forma en que el equipo revisa y resuelve los problemas. Alex Curtiss, ingeniero de seguridad en Render, gestiona gran parte del uso diario de Aikido y ha logrado cambiar la sesión de revisión semanal centrada en cerrar hallazgos a un enfoque asíncrono como resultado de las integraciones. Dado que los hallazgos ya están conectados a Linear y Slack, el seguimiento se realiza dentro de los mismos sistemas que los ingenieros utilizan para el trabajo de producto. La cadencia semanal funciona porque el volumen es manejable.
«Anteriormente había mucho más volumen. Aikido llega a un ritmo que podemos manejar.»
Esa diferencia ha hecho que sea realista mantener un proceso de revisión constante en lugar de dejar que los problemas se acumulen. La incorporación también ha sido más sencilla.
«Esta es una herramienta a la que está asignado todo nuestro equipo de ingeniería. Pueden acceder muy fácilmente cuando se incorporan.»
Un acceso amplio facilita la distribución de la responsabilidad de seguridad en toda la organización.
Apoyo a las conversaciones con clientes
La seguridad en Render también implica responder a las preguntas de los clientes sobre la cobertura y los controles de los escaneos. Cuando los clientes solicitan pruebas, el equipo debe proporcionarlas rápidamente.
«Hemos tenido una pregunta de un cliente sobre algo y simplemente hemos entrado y creado un informe de auditoría de seguridad. Hemos marcado algunas de las casillas de lo que pedían y luego lo hemos enviado.»
Con los hallazgos de DAST, SAST y cloud visibles en un solo lugar, la generación de esos informes ya no requiere extraer información de múltiples herramientas.
Conclusión
La decisión de Render de consolidar sus herramientas de seguridad estuvo impulsada por realidades operativas. Ejecutar sistemas separados requería una configuración manual, coordinación y cambio de contexto que un equipo pequeño no podía mantener indefinidamente.
«Teníamos un software potente, pero tener algo conectado a nuestras otras herramientas y que los ingenieros realmente usen es mucho mejor.»
Al consolidar DAST y SAST en una única plataforma, integrar los hallazgos en Slack y Linear y establecer una cadencia de revisión semanal, Render hizo de la seguridad de las aplicaciones parte del trabajo de ingeniería habitual.
