El desafío: ampliar el escaneo de seguridad en toda la organización
A medida que Atlassian crece hasta superar los 200 000 clientes y los más de 2,6 millones de miembros de la comunidad, la seguridad de las aplicaciones se vuelve aún más crítica para reducir la exposición de la empresa al riesgo. A medida que Atlassian crece, quiere asegurarse de que sus herramientas son seguras y cumplen las normativas del sector, por lo que se asoció con Snyk debido a su capacidad demostrada para ayudar a los desarrolladores a hacer suya la seguridad de toda la aplicación e integrarla en ella.
“Utilizábamos nuestra herramienta anterior como solución provisional para el escaneo de contenedores en nuestro producto Trello, pero necesitábamos un producto que pudiera escalar”, explicó Will Ratner, ingeniero jefe de seguridad de productos de Atlassian. “Eso significaba que queríamos un producto en el que no tuviéramos que gestionar nuestra propia infraestructura y que ofreciera datos fáciles de usar por los desarrolladores para remediar las vulnerabilidades con mayor facilidad”.
La solución: implementación de Snyk para miles de desarrolladores
Tras evaluar varias opciones, Atlassian eligió Snyk Container porque la empresa podía escalar el escaneo de contenedores a través de sus productos y equipos de desarrollo sin gestionar su propia infraestructura. Dado que el 99 % de los servicios de Atlassian se implementan en contenedores, Snyk puede ayudar a garantizar la seguridad de todo el software en toda la empresa.
“Empezamos a evaluar a Snyk principalmente para encontrar un buen sustituto de nuestra herramienta existente de escaneo de contenedores”, explica Sharada Moorthy, ingeniera sénior de seguridad de productos de Atlassian. “Queríamos cambiar a una plataforma que pudiera escalarse a nuestros otros productos”.
Además, Snyk Open Source permite a Atlassian escanear sus dependencias de código abierto en busca de vulnerabilidades. Como Atlassian quería escanear los repositorios individuales en cada entorno de desarrollo, Snyk pudo desplegar una nueva función de escaneo masivo para satisfacer la solicitud. Esta nueva función se convirtió en parte integral del flujo de trabajo de escaneo de dependencias de Atlassian.
“Uno de los principales beneficios de Snyk es que también es más fácil para los desarrolladores integrarlo en sus pipelines”, declaró Matthew Bass, ingeniero de seguridad de productos de Atlassian. “En caso de que nuestros escaneos centralizados no sean suficientes, podemos dar a los desarrolladores los pasos reales para integrar ellos mismos el escaneo SCA”.
Snyk ofrece facilidad de uso e información práctica
La facilidad de uso y la eficiencia de Snyk también fueron razones clave para que Atlassian eligiera la solución. En lugar de integrar Snyk en el pipeline CI/CD de cada equipo de desarrollo, la empresa escanea automáticamente los contenedores y las dependencias durante los eventos de implementación y pone la información a disposición de miles de desarrolladores a través de solicitudes de tickets de remedio.
Una vez escaneado un proyecto, el equipo de seguridad de Atlassian crea tickets para cualquier vulnerabilidad que los desarrolladores deban remediar. Los metadatos que proporciona Snyk, como la gravedad, la puntuación de prioridad, etc., ayudan a la empresa a corregir de manera eficiente primero las vulnerabilidades más críticas y a evitar que los desarrolladores pierdan el tiempo con vulnerabilidades de bajo riesgo que puede que ni siquiera tengan una solución disponible.
“Además de la facilidad de uso, la calidad de los resultados es un gran beneficio”, explica Chris Walz, ingeniero sénior de seguridad de Atlassian. “En comparación con otras soluciones de escaneo, Snyk informa menos falsos positivos o problemas que no son realmente vulnerabilidades”.
El impacto: reducción drástica de las vulnerabilidades abiertas
En el pasado, Atlassian solo tenía una cobertura muy pequeña de escaneo de contenedores para un producto, pero desde entonces la empresa alcanzó una cobertura del 100 % en toda la organización. Y lo que es más importante, Atlassian redujo sus vulnerabilidades de contenedor abierto de gravedad alta y crítica en un 65 % y un 39 % respectivamente en tan solo unos meses.
“Ahora estamos contabilizando todos los contenedores que se implementan para asegurarnos de que todos se escanean y de que se crean tickets para solucionar cualquier vulnerabilidad”, explica Ratner. “Hacemos un seguimiento de estas métricas a nivel de liderazgo para asegurarnos de que nuestras capacidades de escaneo de contenedores y SCA son eficaces”.
A día de hoy, Atlassian lleva ejecutados 5,5 millones de análisis de dependencias y escaneados 3,7 millones de contenedores con Snyk. Con el éxito del despliegue del remedio de vulnerabilidades de contenedores y la gran reducción de vulnerabilidades en tan solo unos meses, Atlassian planea empezar a crear tickets de corrección para los hallazgos de Snyk Open Source a continuación.
“Es estupendo ver cómo Snyk empieza a agregar funciones adicionales y a mejorar la documentación para ayudarnos”, concluye Ratner. “El proceso de implementación fue sólido y estamos obteniendo buenos resultados y comentarios de los desarrolladores sobre Snyk en comparación con otras herramientas de escaneo”.