Timefold desarrolla software de optimización de la planificación de la fuerza laboral. Su motor de código abierto, el Timefold Solver, aborda problemas de planificación NP-hard. Además, ofrecen APIs listas para usar para casos como la planificación de turnos de empleados, el enrutamiento de servicios de campo y el enrutamiento de recogida/entrega, junto con una plataforma SaaS que añade una visión más profunda del rendimiento de la planificación.
A medida que Timefold aceleraba el trabajo de ISO y avanzaba hacia SOC 2, el equipo buscaba una visibilidad de seguridad continua en toda su pila tecnológica, sin ralentizar a los ingenieros ni convertir la seguridad en un cuello de botella.
De un vistazo
- Personas con las que hablamos: Pieter De Schepper (VP de Ingeniería), Jenne (Ingeniero de Fiabilidad del Sitio y Seguridad)
- Por qué Aikido: Preparación para ISO y aceleración de SOC 2 mediante la monitorización continua de la seguridad
- Antes de Aikido: GitHub Dependabot + revisiones de PR sólidas
Herramientas: GitHub (repositorios), Vanta (informes de cumplimiento) - Cobertura de Aikido: repositorios, contenedores, configuración en la nube (Google Cloud), dominios, informes (licencias), escaneo de Kubernetes
Reto: La visibilidad de seguridad no estaba a la altura de la velocidad de cumplimiento.
Timefold siempre ha considerado la seguridad como parte de la ingeniería. Ya contaban con sólidas revisiones de PR, desarrolladores experimentados y Dependabot para las alertas de dependencias.
Pero a medida que los requisitos de cumplimiento aumentaban, se encontraron con una brecha común: la visibilidad. Dependabot ayudó, pero no ofrecía una visión continua de todo lo que ejecutaban. Necesitaban una forma más clara de responder rápidamente a preguntas básicas: qué dependencias se utilizan y dónde, qué versiones están desplegadas y qué necesita realmente atención cuando surge una nueva vulnerabilidad.
Al mismo tiempo, la seguridad no podía convertirse en un cuello de botella. Timefold quería una mejor cobertura sin añadir fricción al proceso ni depender de un pequeño grupo para supervisar todo manualmente.
Solución: Escaneo continuo de toda la pila, en menos de un día.
Aikido se puso en contacto en el momento perfecto. Timefold buscaba activamente herramientas de seguridad para apoyar el trabajo de ISO y acelerar la preparación para SOC 2.
Lo que destacó fue la rapidez con la que pudieron pasar de la evaluación a una cobertura real. Según Jenne, la configuración fue rápida y sencilla.
“Tuvimos el escaneo integrado en CI en menos de un día.”
Timefold trabaja principalmente en GitHub, y Aikido se integra de forma natural en ese flujo de trabajo. Habilitaron el escaneo en sus repositorios clave, activaron las comprobaciones de pull request y ampliaron la cobertura más allá del código y las dependencias al resto de su entorno.
Hoy, Timefold utiliza Aikido para escanear repositorios, contenedores, proyectos de Google Cloud en busca de riesgos de configuración y dominios externos, incluidos los endpoints de GraphQL. También utilizan la generación de informes, incluidos los informes de licencias, lo que resultó especialmente útil durante la diligencia debida en la recaudación de fondos.
Resultado: Menos ruido, actualizaciones más rápidas, cobertura más clara.
Para Timefold, la mayor mejora fue operativa: pasar de revisiones periódicas a monitorización continua.
En lugar de reaccionar solo cuando Dependabot señala algo, ahora tienen una visión general más clara de lo que se ejecuta en toda la pila y una forma más consistente de priorizar las vulnerabilidades. Esto aumentó la rapidez y la frecuencia con la que actualizan los paquetes cuando se descubren problemas.
La reducción de ruido también fue importante. Menos falsos positivos significa que los ingenieros no pierden tiempo en la clasificación y pueden centrarse en el riesgo real.
“La reducción de ruido es enorme. Reduce los falsos positivos para que los ingenieros puedan centrarse en lo que importa.”
Aikido también ayudó a Timefold a responder rápidamente a las principales divulgaciones del ecosistema. Un ejemplo fue la vulnerabilidad de omisión de autenticación de Next.js. Timefold no se vio muy afectado porque Next.js solo se utilizaba para el frontend y la autenticación del backend seguía aplicándose, pero seguía siendo el tipo de problema que querían identificar y solucionar rápidamente.
En cuanto al cumplimiento, Timefold ahora cumple con SOC 2, utilizando la cobertura continua de Aikido junto con las herramientas de cumplimiento existentes como Vanta.
Resumen
Timefold no necesitaba una plataforma de seguridad que exigiera atención. Necesitaban una que mantuviera la seguridad en orden discretamente, apoyara el trabajo de cumplimiento y permitiera a los ingenieros seguir siendo productivos.
Para Pieter, ese es el resultado ideal:
“Aikido está ahí, pero no lo notamos. Y eso es lo que me gusta de ello.”
Aikido se ejecuta en segundo plano, los equipos se mantienen concentrados y la seguridad mejora sin convertirse en un cuello de botella.
