Aikido

Comment Glasswall a consolidé quatre outils AppSec dans Aikido

Migré depuis -
Snyk,  
Wiz,  
Black Duck,  
Semgrep,  
3
Outils consolidés
2
Délai de traitement des demandes en semaines
1
Vue unifiée du code et du cloud

L'entreprise britannique de cybersécurité Glasswall, spécialisée dans la protection des fichiers via la technologie Content Disarm and Reconstruction (CDR), a remplacé Snyk, Wiz Code et Black Duck par un déploiement unique d'Aikido, a obtenu une couverture VC Package C++ en deux semaines, et a déployé Safe Chain sur chaque pipeline de production utilisant les packages pris en charge.

En un coup d'œil

  • Snyk, Wiz Code et Black Duck remplacés par Aikido
  • Support VC Package C++ livré en deux semaines après la demande
  • AutoFix en un clic pour les dépendances vulnérables
  • Connecté directement aux dépôts Azure DevOps et aux registres de conteneurs
  • Sécurité du code, des dépendances et des conteneurs consolidée sur une seule plateforme
  • Safe Chain déployé sur chaque pipeline de production utilisant les packages pris en charge
  • Évaluation du pentest IA comme prochaine évolution des tests offensifs

Enjeu

Chris Holman dirige la sécurité des applications chez Glasswall, une entreprise britannique de cybersécurité spécialisée dans la protection des organisations contre les menaces basées sur les fichiers. En tant que fournisseur de cybersécurité, Glasswall a évalué ses outils AppSec avec la même rigueur que celle appliquée à ses propres produits.

Lorsque Chris a pris ses fonctions, l'environnement AppSec de Glasswall s'était progressivement étendu à plusieurs fournisseurs au fil du temps.

Snyk gérait l'analyse des dépendances. Wiz Code couvrait l'analyse au niveau du code. Black Duck s'occupait de la gouvernance open source. SonarQube couvrait la qualité du code. Chaque outil résolvait un problème spécifique, mais ensemble, ils créaient une complexité opérationnelle. Les développeurs avaient déjà été échaudés par des outils générant des résultats non fiables, et l'équipe de sécurité passait du temps à trier le signal du bruit au lieu de résoudre les problèmes.

« Nous avions Snyk, Wiz Code et Black Duck dans différentes parties de notre infrastructure. Chacun d'eux était un bon outil individuellement. Ensemble, c'était un désordre. »

Le chevauchement entre les outils entraînait des résultats dupliqués, une priorisation fragmentée et une surcharge de gestion croissante. L'empreinte d'approvisionnement avait également dépassé la valeur que l'équipe en retirait.

Parallèlement, l'environnement C++ de l'équipe posait un autre défi. Glasswall s'appuie fortement sur VC Package, une configuration de gestion des dépendances que de nombreux scanners modernes supportaient mal ou pas du tout. L'équipe avait besoin d'une couverture qui puisse fonctionner directement avec son environnement au lieu de forcer les équipes d'ingénierie à trouver des solutions de contournement.

« Notre environnement dépend fortement de VC Package. La plupart des scanners que nous avons évalués ne le supportaient pas ou le supportaient mal. Aikido s'est engagé à le livrer, et ils l'ont livré en deux semaines. »

Solution

Pour Chris, le principal facteur de différenciation était la vitesse d'exécution et la réactivité.

Là où les grands fournisseurs fonctionnaient sur des cycles de publication trimestriels, Aikido a livré les fonctionnalités demandées en quelques semaines. Le support VC Package en est devenu l'exemple le plus clair. Après que Glasswall ait soulevé l'exigence, Aikido a fourni un support prêt pour la production dans un délai de deux semaines. Cette réactivité a immédiatement modifié l'évaluation.

Glasswall a également exécuté Aikido en parallèle avec Wiz Code sur la même base de code de production pendant le processus d'évaluation. Les résultats étaient suffisamment comparables pour que les aspects économiques deviennent difficiles à ignorer.

“Nous avons exécuté Aikido et Wiz Code côte à côte. Les résultats étaient comparables, et Aikido représentait une fraction du coût. C'est à ce moment-là que la décision a été prise.”

Aikido s'est également intégré directement aux dépôts Azure DevOps et aux registres de conteneurs de Glasswall, offrant à l'équipe une visibilité centralisée sur le code, les dépendances et les conteneurs.

L'implémentation a suivi le même rythme. En une seule journée, Glasswall est passé d'aucun déploiement Aikido à une couverture complète sur chaque pipeline. La connexion des dépôts Azure et des registres de conteneurs s'est faite en un clic plutôt que par la création de modèles de pipeline ou l'injection manuelle d'outils CLI, ce qui était crucial pour une petite équipe DevSecOps où le temps d'ingénierie est la ressource la plus rare.

Glasswall a également déployé Aikido Safe Chain sur chaque pipeline de production qui utilise des packages pris en charge. Suite aux récents incidents de chaîne d'approvisionnement qui ont révélé la rapidité de propagation des packages malveillants, Safe Chain vérifie les dépendances avant leur installation plutôt que de se fier uniquement aux bases de données CVE publiques.

"On ne peut pas se fier uniquement aux bases de données CVE publiques pour savoir si un problème se trouve ou non dans votre package. Il faut ensuite analyser ce package et s'assurer qu'avant de l'installer, il est sûr à utiliser."

Pour les mises à niveau de dépendances vulnérables, Glasswall a considérablement réduit l'effort d'ingénierie manuel requis. Les développeurs peuvent désormais visualiser à la fois la vulnérabilité détectée et le chemin de remédiation dans le même workflow, grâce à des pull requests automatisées générées directement par Aikido.

“Pour la plupart des dépendances vulnérables, c'est un jeu d'enfant. La PR est là, le test est là, vous la mergez.”

Pour Glasswall, la feuille de route était aussi importante que les fonctionnalités actuelles. En tant qu'entreprise de cybersécurité, l'équipe évaluait non seulement l'état actuel des outils AppSec, mais aussi l'orientation des tests de sécurité offensifs au cours des prochaines années. Le pentest IA s'est distingué comme un signal important. Pour Chris, cela a démontré qu'Aikido investissait au-delà des workflows de scan traditionnels et réfléchissait à l'évolution des tests de sécurité offensifs dans les années à venir.

“Ce que vous faites avec l'approche de pentest IA multi-agents va devenir la nouvelle norme. Le bug bounty n'est pas un art mourant, mais de nombreux chercheurs utilisent désormais l'IA. Pourquoi ne pourrions-nous pas adopter l'IA nous-mêmes pour trouver des exploits ?”

Pourquoi Glasswall a choisi Aikido

Plusieurs facteurs ont finalement motivé cette décision :

  • Support des packages VC et C++ livré en deux semaines
  • Intégrations natives Azure DevOps et registres de conteneurs
  • Résultats comparables à Wiz Code pour un coût significativement inférieur
  • Consolidation de la qualité du code sur la même plateforme
  • AutoFix en un clic pour la remédiation des dépendances
  • Une feuille de route alignée sur les tests offensifs basés sur l'IA

Résultats

Le résultat le plus visible a été la consolidation. Snyk, Wiz Code et Black Duck ont été remplacés par un déploiement unique d'Aikido couvrant le code, les dépendances et les conteneurs. L'impact a dépassé les économies d'approvisionnement. La consolidation a réduit la complexité opérationnelle, simplifié la priorisation et offert à l'équipe de sécurité un workflow unique au lieu d'outils fragmentés répartis entre plusieurs fournisseurs.

Glasswall continue également d'étendre sa couverture à d'autres surfaces d'attaque. L'une des prochaines priorités est la sécurisation de l'infrastructure des agents de build elle-même.

"Les agents de build sont notre cible numéro un. S'assurer que nous avons une véritable 'security onion' sur eux est primordial. L'utilisation d'Aikido Device Protection pour nos agents de build garantirait la sécurité de l'écosystème plus large."

Pour Chris, les tests offensifs assistés par l'IA représentent l'une des évolutions les plus importantes de la sécurité des applications aujourd'hui.

“Le pentest IA va devenir la nouvelle norme. De nombreux chercheurs utilisent déjà l'IA pour trouver des exploits. Les équipes de sécurité doivent adopter la même approche.”

Comment Glasswall utilise Aikido aujourd'hui

Utilisation actuelle

  • Analyse SAST et SCA
  • Couverture des dépendances VC Package / C++
  • Analyse de conteneurs
  • Détection de secrets
  • Qualité du code
  • Safe Chain pour la protection de la chaîne d'approvisionnement
  • Correction automatique par IA
  • Intégrations Azure DevOps et registres de conteneurs

Prochainement

En évaluation

Verdict final

« Pour nous, l'approche humaine est primordiale. Nous avons besoin d'un partenaire capable d'évoluer à notre rythme, et Aikido répond à ce besoin. »

Sécurisez votre environnement dès maintenant.

Sécurisez votre code, votre cloud et votre environnement d’exécution dans un système centralisé unique.
Détectez et corrigez les vulnérabilités rapidement et automatiquement.

Aucune carte de crédit requise | Résultats en 32 secondes.