En un coup d'œil
- Consolidation du DAST et du SAST en une seule plateforme
- Intégration directe des résultats dans Slack, Linear et Vanta
- Mise en place d'une réunion hebdomadaire pour examiner et clôturer les résultats
- Réduction du bruit à un niveau que l'équipe pouvait gérer de manière réaliste
- Aikido a remplacé Tenable pour le DAST et GitHub Advanced Security pour le SAST
Enjeu
L'équipe de sécurité de Render couvre la sécurité des applications, la sécurité du cloud et la conformité à travers l'organisation. Avec environ 50 développeurs travaillant sur une trentaine de dépôts actifs, l'équipe a besoin d'outils offrant une couverture cohérente sans générer un travail de maintenance constant.
« Nous sommes responsables de la sécurité interne : sécurité des applications, sécurité du cloud, conformité. Un peu de tout. » a déclaré Sean Doughty, responsable de l'ingénierie de l'équipe de sécurité chez Render.
Avant d'adopter Aikido, Render utilisait Tenable pour le DAST et GitHub Advanced Security pour le SAST. Les deux outils étaient techniquement performants. Cependant, des frictions sont apparues quant à leur intégration dans le travail d'ingénierie quotidien. L'organisation manquait d'intégration avec Linear ou Slack, ce qui réduisait la visibilité pour les ingénieurs. Cela rendait également le triage plus difficile. Parallèlement, il était difficile pour l'équipe d'exécuter des scans sur tous ses dépôts. Pour une petite équipe aux responsabilités étendues, maintenir ce niveau de surcharge est devenu ardu.
Repenser la consolidation
Render a initialement évalué Aikido pour le DAST. L'objectif initial était restreint : trouver un outil qui s'intégrerait mieux aux systèmes d'ingénierie déjà utilisés.
« Quand j'ai activé le DAST, j'ai pensé, voyons aussi ce que donne le SAST. Il suffisait de quelques clics pour connecter un dépôt », a déclaré Sean.
Cette première expérience a modifié la discussion en interne. Au lieu de considérer le DAST et le SAST comme des catégories distinctes nécessitant des outils séparés, l'équipe a commencé à envisager le tableau opérationnel plus large. Maintenir deux plateformes signifiait deux workflows, deux sources de vérité et deux systèmes à configurer correctement sur des dizaines de dépôts. Pour une petite équipe, cette fragmentation ajoutait des frictions.
« Avec Aikido, ça a en quelque sorte juste fonctionné et ça a continué à fonctionner pendant plusieurs mois », a déclaré Sean.
La fiabilité a rendu la consolidation moins risquée. L'exécution du DAST et du SAST sur une seule plateforme a réduit le nombre de systèmes que l'équipe devait gérer et a éliminé la configuration des scans au niveau des dépôts. De nouveaux dépôts pouvaient être ajoutés sans répéter les étapes de configuration ni maintenir la logique de scan à plusieurs endroits. Au fil du temps, Render a transféré les deux fonctions vers Aikido.
Ce qui a changé en pratique
La différence la plus notable réside dans la manière dont les constats s'intègrent au flux de travail quotidien.
« Je pense vraiment que les intégrations sont probablement les plus importantes – cela se connecte à Slack, Linear, Vanta. »
Slack et Linear sont les plateformes où se déroulent les conversations d'ingénierie et où le travail est suivi. Avec Aikido intégré directement à ces systèmes, les constats apparaissent dans leur contexte plutôt que dans un tableau de bord distinct nécessitant une surveillance active. D'un point de vue opérationnel, cela a changé la façon dont l'équipe examine et résout les problèmes. Alex Curtiss, ingénieur sécurité chez Render, gère une grande partie de l'utilisation quotidienne d'Aikido et a réussi à transformer la session d'examen hebdomadaire axée sur la clôture des constats en une approche asynchrone grâce aux intégrations. Étant donné que les constats sont déjà connectés à Linear et Slack, le suivi s'effectue au sein des mêmes systèmes que les ingénieurs utilisent pour le travail produit. La cadence hebdomadaire fonctionne car le volume est gérable.
« Le volume était beaucoup plus important auparavant. Aikido arrive à un rythme que nous pouvons gérer. »
Cette différence a rendu réaliste le maintien d'un processus d'examen régulier plutôt que de laisser les problèmes s'accumuler. L'intégration a également été simplifiée.
« C'est un outil où toute notre équipe d'ingénierie est affectée. Ils peuvent s'y connecter très facilement dès leur arrivée. »
Un accès étendu facilite la répartition de la responsabilité de la sécurité au sein de l'organisation.
Soutenir les conversations clients
La sécurité chez Render implique également de répondre aux questions des clients concernant la couverture des scans et les contrôles. Lorsque les clients demandent des preuves, l'équipe doit les fournir rapidement.
« Nous avons eu une question d'un client sur un sujet et nous avons simplement créé un rapport d'audit de sécurité. Nous avons coché quelques-unes des cases des éléments qu'ils demandaient, puis nous l'avons envoyé. »
Avec les constats DAST, SAST et cloud visibles en un seul endroit, la génération de ces rapports ne nécessite plus d'extraire des informations de plusieurs outils.
Conclusion
La décision de Render de consolider ses outils de sécurité a été motivée par des réalités opérationnelles. L'exécution de systèmes distincts nécessitait une configuration manuelle, une coordination et des changements de contexte qu'une petite équipe ne pouvait pas maintenir indéfiniment.
« Nous avions un logiciel puissant, mais avoir quelque chose connecté à nos autres outils et que les ingénieurs utilisent réellement est bien mieux. »
En consolidant le DAST et le SAST sur une seule plateforme, en intégrant les constats dans Slack et Linear et en établissant une cadence d'examen hebdomadaire, Render a fait de la sécurité des applications une partie intégrante du travail d'ingénierie régulier.
