Cube Labs (faisant partie de l'écosystème Abstract) développe une blockchain de couche 2 de nouvelle génération conçue pour des applications Web3 rapides et prêtes à l'emploi pour les consommateurs. Soutenue par Founders Fund, l'équipe se concentre sur la fourniture d'une base sécurisée et évolutive pour les développeurs comme pour les utilisateurs.
Lorsque l'équipe a commencé à chercher des moyens de renforcer sa posture de sécurité sans ralentir le développement, elle s'est tournée vers Aikido.
« Aikido nous a donné un excellent aperçu des vulnérabilités potentielles, et la confiance que nous sommes en sécurité en temps de crise. »
Salut Metarsit ! Quel est votre rôle et quelles sont vos responsabilités ?
Je suis Ingénieur Fullstack chez Cube Labs. Mon travail s'articule autour du DevOps, de l'Ingénierie Produit et de la Productivité de l'Ingénierie.
Qu'est-ce qui distingue Abstract dans votre secteur d'activité ?
La meilleure façon de le décrire est dans notre blog : Abstract est une stack blockchain modulaire qui simplifie la façon dont les développeurs construisent des applications Web3. Nous rendons l'expérience Web3 plus accessible et plus sécurisée pour tous.
Quel rôle la sécurité devrait-elle jouer dans votre secteur d'activité ?
C'est le classique : prévenir les piratages et corriger les vulnérabilités. Mais dans l'espace Web3, les hackers sont incroyablement créatifs. Il faut toujours avoir une longueur d'avance.
Quel type de pression vos clients ou investisseurs exercent-ils aujourd'hui sur vos pratiques de sécurité et de conformité ?
Une forte pression, et à juste titre. Des enjeux financiers sont en jeu. Nous devons nous assurer que les fonds et les données de chacun sont en sécurité.
« Notre PDG et notre CTO placent la sécurité au sommet de nos priorités. Nous recherchons toujours de meilleurs outils pour assurer notre sécurité et celle de tous. »
Y a-t-il eu un moment particulier qui a déclenché une approche plus stratégique de la sécurité ?
Notre PDG et notre CTO ont toujours fait de la sécurité une priorité. Elle est intégrée à notre culture. Mais à mesure que nous nous développions, nous voulions des outils qui nous aideraient à rester proactifs, et non seulement réactifs.
Parlez-nous davantage de la décision de rechercher et de choisir Aikido.
Nous connaissions Snyk, mais un ami nous a fait découvrir Aikido. Nous l'avons évalué par rapport à Snyk et à quelques outils populaires du marché, et avons réalisé que c'était la meilleure solution pour notre utilisation et notre workflow.
Les outils que nous utilisions auparavant étaient excellents, mais ils ne nous offraient pas la visibilité ou la réactivité dont nous avions besoin. Aikido nous a semblé différent. Le produit est davantage axé sur les développeurs, plus rapide à itérer, et conçu par une équipe qui se démène réellement pour obtenir des résultats.
« Nous avons évalué plusieurs outils, mais Aikido s'est distingué par la rapidité d'action de l'équipe et la complétude de sa plateforme. »
Quelles étaient vos principales préoccupations en matière de sécurité avant d'adopter Aikido ?
Atteignabilité. Nous utilisions les outils de sécurité intégrés de GitHub, qui signalaient de nombreux problèmes, mais ne précisaient pas s'ils nous affectaient réellement. Nous voulions éviter les mises à niveau de version importantes et risquées qui peuvent introduire de l'instabilité, et Aikido nous a montré quelles mises à jour étaient réellement importantes.
Comment gériez-vous la sécurité avant Aikido ?
Nous avions de bonnes pratiques d'ingénierie et des workflows en place, mais ils étaient chronophages. Aikido nous a aidés à automatiser et à accélérer ce qui prenait auparavant de nombreuses heures d'ingénierie.
Qu'est-ce qui a distingué Aikido lors de l'évaluation ?
L'équipe, avant tout. Ils ont été incroyablement serviables, réactifs et transparents. Et l'offre elle-même, elle avait tout simplement du sens pour nous.
À quel point a-t-il été facile d'intégrer Aikido à vos workflows ?
Globalement facile. Environ 80 % a fonctionné directement, ce qui était impressionnant. Le reste a été rapide à configurer.
« Il a été d'une facilité rafraîchissante de déployer Aikido sur l'ensemble de nos services. »
Comment s'est déroulée votre expérience de collaboration avec l'équipe Aikido ?
Excellent. Ils sont attentifs et réactifs chaque fois que nous avons besoin d'aide.
Quelle est votre fonctionnalité préférée ?
Zen, la protection en temps d’exécution in-app d'Aikido, étonnamment. Cela ajoute une nouvelle couche de protection et nous donne plus de confiance dans le traitement des données utilisateur.
Avant Zen, nous utilisions des outils comme Vercel Security et Sentry pour obtenir des informations sur le runtime. Ils étaient efficaces pour faire remonter l'information, mais Zen est bien plus proactif dans l'identification des menaces et des exploits potentiels, avec la possibilité de les bloquer facilement.
« Zen a mis en lumière des éléments que nous n'aurions pas examinés auparavant, comme de nouveaux points de terminaison sortants potentiellement malveillants. »
Y a-t-il eu un incident spécifique qui vous a fait réaliser que vos protections existantes n'étaient pas suffisantes ?
Il n'y a pas eu d'incident spécifique, mais une fois que nous avons intégré Zen, il a commencé à révéler des endpoints sortants et des activités qui nous ont permis d'être plus rigoureux dans notre surveillance.
Lors de l'évaluation de Zen, qu'est-ce qui vous a convaincu que la protection en temps d’exécution in-app valait la peine d'être ajoutée ?
Nous n'y avons pas trop réfléchi, c'était une couche de défense supplémentaire que nous pouvions facilement ajouter à tous nos services. Une fois activé, Zen a commencé à faire apparaître des vulnérabilités potentielles qui nécessitaient une attention, et cela a été énorme pour nous.
Quelle est votre capacité Zen préférée ?
« La fonctionnalité de découverte d’API est vraiment intéressante. Elle nous aide à voir ce qui est réellement exposé et où, ce qui est crucial dans le Web3. »
Avez-vous constaté une réduction des faux positifs ou un gain de temps depuis l'ajout de Zen ?
Nous ne faisons pas encore de blocage automatique, mais Zen nous aide à examiner les menaces potentielles que nous aurions pu manquer auparavant. Cela nous donne une vision plus claire sans ajouter de surcharge.
Comment Aikido a-t-il changé l'approche de Cube Labs en matière de sécurité et de gestion des vulnérabilités ?
Nous avons désormais des SLA qui garantissent que les vulnérabilités sont corrigées rapidement. Aikido nous aide à mieux comprendre les problèmes et à décider comment les résoudre en fonction de leur impact réel.
Y a-t-il eu un moment où Aikido a fait gagner du temps, réduit le stress ou diminué les risques pour votre équipe ?
« Lors d'une récente attaque de la chaîne d'approvisionnement, nous pouvions être sûrs d'être à l'abri de tout exploit. Cela a été un tournant. »
Comment Aikido aide-t-il face aux exigences croissantes en matière de réglementation et de protection des données ?
Nous sommes extrêmement prudents avec les données des utilisateurs, et Zen ajoute une couche supplémentaire de protection et de conformité. Cela nous aide à garantir le respect de nos promesses de sécurité envers les utilisateurs.
Avez-vous constaté des résultats mesurables, comme une remédiation plus rapide ou moins de vulnérabilités manquées ?
Pas encore en termes quantifiés, mais nous constatons déjà que les choses fonctionnent de manière plus fluide et plus efficace. Nous passons moins de temps à gérer la sécurité et plus de temps à développer.
Si vous deviez décrire l'impact d'Aikido en une phrase ?
Aikido nous a donné un excellent aperçu des vulnérabilités potentielles et la confiance que nous sommes en sécurité en temps de crise.
Le résumé
Cube Labs opère dans l'une des industries les plus ciblées au monde, le Web3, où les défaillances de sécurité peuvent avoir des conséquences financières en quelques secondes. Avec Aikido, l'équipe gagne en clarté, en automatisation et en tranquillité d'esprit. Pour Cube Labs, Aikido n'est pas seulement un outil. C'est un filet de sécurité qui les protège pendant qu'ils construisent l'avenir du web décentralisé.
