La société britannique de cybersécurité Glasswall, spécialisée dans la protection des fichiers grâce à la technologie CDR (Content Disarm and Reconstruction), a remplacé Snyk, Wiz et Black Duck un seul Aikido , a obtenu la couverture VC Package C++ en moins de deux semaines et a déployé Safe Chain sur tous les pipelines de production utilisant les paquets pris en charge.
En un coup d'œil
- Aikido Black Duck remplacé Snyk, Wiz et Black Duck
- Le pack VC avec prise en charge du C++ est livré dans les deux semaines suivant la demande
- Fonction AutoFix accessible d'un simple clic pour les dépendances vulnérables
- Directement connecté aux référentiels Azure DevOps et aux registres de conteneurs
- Sécurisation unifiée du code, des dépendances et des conteneurs au sein d'une seule plateforme
- Safe Chain est déployé sur tous les pipelines de production impliquant les paquets pris en charge
- Évaluation pentest IA comme la prochaine étape dans l'évolution des tests offensifs
Enjeu
Chris Holman dirige le département de sécurité des applications chez Glasswall, une entreprise britannique de cybersécurité spécialisée dans la protection des organisations contre les menaces liées aux fichiers. En tant que fournisseur de solutions de cybersécurité, Glasswall a évalué ses AppSec avec la même rigueur que celle dont elle fait preuve pour ses propres produits.
Lorsque Chris a pris ses fonctions, AppSec de Glasswall s'était progressivement étendu à plusieurs fournisseurs au fil du temps.
Snyk analyse des dépendances. Wiz s'est occupé de l'analyse au niveau du code. Black Duck la gouvernance open source. SonarQube s'occupait de la qualité du code. Chaque outil résolvait un problème spécifique, mais ensemble, ils créaient une complexité opérationnelle. Les développeurs avaient déjà été déçus par des outils générant des résultats auxquels ils ne pouvaient pas se fier, et l'équipe de sécurité passait son temps à trier le bon grain de l'ivraie au lieu de corriger les problèmes.
« Nous utilisions Snyk, Wiz et Black Duck différents services de l'entreprise. Chacun d'entre eux était un bon outil en soi. Mais ensemble, c'était un véritable casse-tête. »
Le chevauchement entre les outils a entraîné la duplication des résultats, une hiérarchisation fragmentée et une charge administrative croissante. De plus, l'empreinte des achats avait dépassé la valeur que l'équipe en retirait.
Parallèlement, l'environnement C++ de l'équipe posait un autre défi. Glasswall s'appuie fortement sur VC Package, un outil de gestion des dépendances que de nombreux scanners modernes ne prenaient que partiellement en charge, voire pas du tout. L'équipe avait besoin d'une solution de couverture capable de fonctionner directement avec son environnement, plutôt que d'obliger les équipes d'ingénieurs à recourir à des solutions de contournement.
« Notre environnement repose en grande partie sur VC Package. La plupart des scanners que nous avons testés ne le prenaient pas en charge, ou alors très mal. Aikido à le fournir, et ils l'ont livré en deux semaines. »
Solution
Pour Chris, ce qui a fait la différence, c'était la rapidité d'exécution et la réactivité.
Alors que les grands fournisseurs fonctionnaient selon des cycles de lancement trimestriels, Aikido les fonctionnalités demandées en quelques semaines. La prise en charge de VC Package en est l'exemple le plus parlant. Après que Glasswall eut formulé cette demande, Aikido une solution prête à l'emploi en l'espace de deux semaines. Cette réactivité a immédiatement changé la donne.
Au cours du processus d'évaluation, Glasswall a également fait tourner Aikido avec Wiz sur la même base de code de production. Les résultats étaient suffisamment comparables pour que les avantages économiques deviennent difficiles à ignorer.
« Nous avons testé Aikido Wiz en parallèle. Les résultats étaient comparables, et Aikido nettement moins cher. C'est à ce moment-là que la décision a été prise. »
Aikido s'est Aikido intégré directement aux référentiels Azure DevOps et aux registres de conteneurs de Glasswall, offrant ainsi à l'équipe une visibilité centralisée sur le code, les dépendances et les conteneurs.
La mise en œuvre s'est déroulée au même rythme. En l'espace d'une seule journée, Glasswall est passé Aikido inexistant à une couverture complète de tous les pipelines. La connexion des référentiels Azure et des registres de conteneurs s'est faite en un clic, sans qu'il soit nécessaire de créer des modèles de pipeline ou d'intégrer manuellement des outils CLI, ce qui était essentiel pour une petite DevSecOps où le temps d'ingénierie est la ressource la plus rare.
Glasswall a également déployé Aikido Chain sur tous les pipelines de production impliquant des paquets pris en charge. À la suite des récents incidents survenus dans la chaîne d'approvisionnement, qui ont mis en évidence la rapidité avec laquelle des paquets malveillants peuvent se propager, Safe Chain vérifie les dépendances avant leur installation, plutôt que de se fier uniquement aux bases de données CVE publiques.
« On ne peut pas se contenter de se fier aux bases de données CVE publiques pour savoir si un problème concerne ou non son propre paquet. Il faut ensuite procéder à une analyse approfondie de ce paquet et s'assurer, avant de l'installer, qu'il peut être utilisé en toute sécurité. »
En ce qui concerne les mises à jour des dépendances à risque, Glasswall a considérablement réduit la charge de travail manuel nécessaire. Les développeurs peuvent désormais consulter à la fois le problème identifié et la procédure de correction au sein d'un même flux de travail, grâce à des pull requests générées automatiquement par Aikido.
« Pour la plupart des dépendances vulnérables, il suffit d'appuyer sur un bouton. La PR là, le test est là, il merge de merge . »
Pour Glasswall, la feuille de route revêtait autant d'importance que les fonctionnalités actuelles. En tant qu'entreprise spécialisée dans la cybersécurité, l'équipe évaluait non seulement l'état actuel AppSec , mais aussi l'orientation que prendraient les tests de sécurité offensifs au cours des prochaines années. pentest IA imposée comme un indicateur majeur. Pour Chris, cela démontrait Aikido au-delà des workflows de scan traditionnels et réfléchissait à la manière dont les tests de sécurité offensifs allaient évoluer dans les années à venir.
« Ce que vous faites avec cette pentest IA multi-agents pentest IA va devenir la nouvelle norme. Les programmes de chasse aux bugs ne sont pas en voie de disparition, mais de nombreux chercheurs ont désormais recours à l'IA. Pourquoi ne pourrions-nous pas nous aussi adopter l'IA pour trouver des failles ? »
Pourquoi Glasswall a choisi Aikido
Plusieurs facteurs ont finalement motivé cette décision :
- Le pack VC et la prise en charge du C++ seront disponibles d'ici deux semaines
- Intégrations natives avec Azure DevOps et le registre de conteneurs
- Des résultats comparables à ceux de Wiz , à un coût nettement inférieur
- Intégration de la qualité du code au sein d'une même plateforme
- Fonction AutoFix accessible d'un simple clic pour la correction des dépendances
- Une feuille de route adaptée aux tests d'intrusion basés sur l'IA
Résultats
Le résultat le plus tangible a été la consolidation. Snyk, Wiz et Black Duck remplacés par un Aikido unique Aikido couvrant le code, les dépendances et les conteneurs. L'impact ne s'est pas limité aux économies réalisées sur les achats. La consolidation a permis de réduire la complexité opérationnelle, de simplifier la hiérarchisation des priorités et d'offrir à l'équipe de sécurité un workflow unique, au lieu d'un ensemble d'outils fragmentés provenant de plusieurs fournisseurs.
Glasswall continue également d'étendre sa couverture à d'autres surfaces d'attaque. L'une des prochaines priorités consiste à sécuriser l'infrastructure des agents de compilation elle-même.
« Nos agents de compilation sont notre priorité absolue. Il est primordial de veiller à ce qu’ils bénéficient d’une véritable protection multicouche. L’utilisation Aikido Protection pour nos agents de compilation garantirait la sécurité de l’ensemble de l’écosystème. »
Pour Chris, les tests offensifs assistés par l'IA constituent l'une des évolutions les plus importantes que connaît actuellement le domaine de la sécurité des applications.
«pentest IA devenir la nouvelle norme. De nombreux chercheurs utilisent déjà l'IA pour identifier des failles. Les équipes de sécurité doivent adopter la même approche. »
Comment Glasswall utilise Aikido
J'utilise actuellement
- SCA SAST SCA
- Package VC / Couverture des dépendances C++
- Scan des conteneurs
- Détection de secrets
- Qualité du code
- Safe Chain pour la protection de la chaîne d'approvisionnement
- Correction automatique par IA
- Intégrations avec Azure DevOps et les registres de conteneurs
Prochaine étape
- Protection des agents de compilationpar Aikido
Évaluation
Verdict final
« Pour nous, c’est l’approche humaine qui prime. Nous avons besoin d’un partenaire capable de suivre notre rythme, et Aikido . »
