En un coup d'œil
- Consolide SCA, SAST et le scan des conteneurs en une seule plateforme
- Intégré dans 100 référentiels en quelques semaines avec un seul ingénieur
- Prend en charge 100 développeurs sur GitLab, GitHub et Azure DevOps
- Offre AppSec multilingue AppSec pour F#, Rust, C++, C#, Python, React/Typescript.
- Permet des corrections plus rapides grâce aux workflows de demande de fusion
- Fait progresser le cycle de vie sécurisé du développement logiciel (SSDLC) d'AutoStore grâce à des informations exploitables.
- Sélectionné Aikido devant Black Duck et Endor Labs
Défi
L'organisation technique d'AutoStore s'était développée et diversifiée, avec près de 100 développeurs travaillant dans de nombreux langages, bases de code et bureaux à travers le monde. Alors que certaines équipes avaient de solides habitudes en matière de sécurité, d'autres s'appuyaient sur des processus incohérents ou des flux de travail hérités, ce qui créait une couverture inégale. À mesure que l'entreprise se développait dans le domaine du développement cloud, ces écarts devenaient plus difficiles à gérer.
Le directeur technique et le responsable de la sécurité des systèmes d'information (RSSI) ont entrepris de renforcer le cycle de vie sécurisé du développement logiciel (SSDLC) d'AutoStore et d'apporter clarté et cohérence dans la manière dont la sécurité était gérée au sein de l'entreprise.
AutoStore avait besoin d'une plateforme capable d'offrir AppSec complète AppSec dans les référentiels hérités et cloud, de prendre en charge sa pile technologique diversifiée et de s'intégrer directement à GitHub, GitLab et Azure DevOps.
« Bien sûr, lorsque 100 développeurs ou 10 équipes travaillent de manière autonome, certaines pratiques sont efficaces, d'autres moins », explique Vegard Syre Aaker, ingénieur en sécurité logicielle chez AutoStore.
Parallèlement, les processus de gestion des risques open source, qui avaient historiquement été conçus autour des systèmes C++, ne pouvaient pas s'adapter aux environnements de développement modernes.
« Nous recherchions un outil de sécurité capable de prendre en charge tous nos langages de programmation et de fonctionner avec GitHub, GitLab et d'autres systèmes. Nos référentiels sont très différents, ce qui n'a pas facilité notre tâche. Aikido l'un des rares outils à pouvoir répondre à tous nos besoins. »
Une sélection dirigée par les développeurs
L'expérience antérieure de Vegard en tant que développeur a influencé l'évaluation d'AutoStore. L'équipe avait besoin d'une AppSec que les développeurs utiliseraient réellement et qui s'intégrerait sans difficulté dans les flux de travail existants.
« Je cherchais un outil qui, je le savais, donnerait plus de moyens aux développeurs. Quelque chose qu'ils adopteraient réellement et qui s'intégrerait bien à nos processus. »
Cette exigence axée sur les développeurs correspondait parfaitement à l'approche Aikido.
Solution
AutoStore a évalué Aikido Endor Labs, Black Duck des outils open source. Aikido distingué par son expérience intuitive, AppSec multilingue AppSec et sa capacité à regrouper plusieurs fonctionnalités de sécurité au sein d'une seule plateforme.
« Lors de la validation du concept, nous avons apprécié l'interface simple et intuitive. Nous avons également choisi Aikido qu'il était facile à intégrer et qu'il comprenait de nombreux outils de sécurité dans une seule suite avec un seul tableau de bord. »
Aikido tous les principaux langages utilisés et fournissait à la fois des intégrations directes et des analyses locales pour les bibliothèques C++ complexes. Alors que GitHub et Azure DevOps avaient été intégrés sans difficulté plus tôt dans le processus, le déploiement de GitLab a démontré l'évolutivité de la plateforme :
« La majeure partie de l'intégration GitLab a été réalisée par un seul ingénieur en sécurité, avec peu d'aide, en seulement quelques semaines. Cela comprenait environ 100 référentiels et 100 développeurs. »
Le soutien rapide et la flexibilité Aikidoont contribué à la rapidité du déploiement.
« La plupart des problèmes rencontrés lors de l'intégration et du déploiement ont été rapidement résolus en collaboration avec Aikido, qui fait preuve de flexibilité pour apporter des modifications à son logiciel si nécessaire. »
Pourquoi AutoStore a choisi Aikido
AutoStore a choisi Aikido les raisons suivantes :
- Prend en charge tous les principaux langages utilisés, notamment C++, Rust et F#.
- S'intègre directement à GitHub, GitLab et Azure DevOps
- Consolide les analyses SCA, SAST des conteneurs en une seule plateforme
- Fournit des workflows axés sur les développeurs et une visibilité sur les demandes de fusion.
- Fournit des résultats exploitables qui réduisent le bruit et guident la hiérarchisation des priorités.
Résultats
Aikido offre Aikido une vue cohérente des vulnérabilités dans toutes les équipes et tous les référentiels.
« Les développeurs et les ingénieurs en sécurité ont désormais une bien meilleure visibilité sur les risques et les vulnérabilités. Je suis convaincu que cela améliorera la sécurité de nos applications au fil du temps. »
Les workflows de fusion de requêtes Aikidopermettent de détecter les problèmes plus tôt et d'améliorer l'engagement des développeurs.
« Le fait de l'inclure dans les commentaires des demandes de fusion, ce qui pourrait les bloquer, contribuera à améliorer la sécurité des applications au fil du temps. »
Aikido a Aikido permis à AutoStore de valider rapidement les nouvelles vulnérabilités révélées. Lorsque son fournisseur SOC a signalé un nouveau problème de dépendance, Aikido disposait Aikido d'une analyse.
« J'ai consulté le blog Aikidoet j'ai vu que vous suiviez cette vulnérabilité depuis déjà plusieurs jours. J'ai pu rapidement vérifier si notre base de code était affectée. »
Comment AutoStore étend son utilisation de Aikido
Déjà utilisé
Envisager d'adopter
Évaluer ensuite
« Nous allons tester les tests de pénétration IA sur l'une de nos applications. Cela pourrait potentiellement supprimer en partie nos tests de pénétration externes. »
Aikido couche la plus exploitable du SSDLC
Vegard souligne qu'un cycle de vie de développement sécurisé comprend de nombreux éléments, tels que la gestion des risques, la modélisation des menaces et les tests de pénétration. Dans la pratique, Aikido la partie la plus exploitable du cadre.
« Le reste de l'organisation se concentre beaucoup sur Aikido c'est une discipline concrète. Elle est beaucoup plus concrète que d'autres sujets plus vagues. »
Des étapes claires, une visibilité rapide et des workflows axés sur les développeurs permettent aux équipes de renforcer la sécurité de manière collaborative.
« Si je devais recommencer, je choisirais probablement assez rapidement un outil de sécurité, puis je m'appuierais sur celui-ci pour développer mon projet. »
Verdict final
«Aikido un produit ciblé qui permet aux équipes d'ingénieurs de gérer efficacement les vulnérabilités. Ils ont clairement donné la priorité à la facilité d'utilisation, ce qui rend la gestion des vulnérabilités et exploitable. »
Titre 1
Titre 2
Titre 3
Titre 4
Titre 5
Titre 6
Lorem ipsum dolor sit amet, consectetur adipiscing elit, sed do eiusmod tempor incididunt ut labore et dolore magna aliqua. Ut enim ad minim veniam, quis nostrud exercitation ullamco laboris nisi ut aliquip ex ea commodo consequat. Duis aute irure dolor in reprehenderit in voluptate velit esse cillum dolore eu fugiat nulla pariatur.
Bloc de citation
Liste ordonnée
- Élément 1
- Élément 2
- Élément 3
Liste non ordonnée
- Élément A
- Élément B
- Élément C
Texte en gras
Mise en avant
Exposant
Indice
.avif)
