Skip to main content

Cómo el equipo de DFDS consiguió visibilidad de la seguridad con Snyk

Destacado del cliente

John Smith

Domain Architect - SecOps

Location: Denmark

Products Featured

Snyk Code Snyk Open Source

Use Case

Snyk Code y Snyk Open Source

Aspectos destacados:

Estableció una solución de seguridad única y preferida para todos los desarrolladores, independientemente de su nivel de experiencia. 

Redujo en un 100 % las vulnerabilidades maduras conocidas de gravedad crítica en su entorno.

Creó la observabilidad de la postura de seguridad en todo el SDLC.

Disminuyó el número total de vulnerabilidades en un 50 %. 

Proporcionó capacitación accesible en materia de seguridad a los equipos de desarrollo.

Creó impulso e interés por la seguridad en todos los equipos de desarrollo.

El desafío: encontrar y corregir vulnerabilidades sin provocar ralentizaciones

DFDS tiene una rica historia: desde el transporte de mercancías y carga desde hace 150 años, hasta la gestión de operaciones logísticas en todo el mundo en la actualidad. DFDS consta de dos divisiones principales: la División de transbordadores, que mueve mercancías y pasajeros por las rutas europeas de transbordadores, y la División de logística, que ofrece soluciones de transporte y logística.

La División de logística de DFDS ofrece diversas herramientas digitales a sus clientes, como servicios de seguimiento y localización de envíos en tiempo real, simplificación de los trámites aduaneros y reserva de cargas. Detrás de escena, el equipo de DFDS emplea a más de 200 desarrolladores para mantener e innovar este conjunto de productos.

Cuando el equipo de DFDS realizó una auditoría completa de su pipeline de desarrollo, incluidas sus aplicaciones y entornos en la nube, descubrió importantes lagunas en la visibilidad de la seguridad. Además, detectó distintos niveles de madurez de la seguridad en su organización. Algunos equipos tenían una mejor capacidad de observación de su recuento de vulnerabilidades y un buen dominio de la seguridad de las aplicaciones, mientras que otros no. Cada equipo utilizó su propia combinación de herramientas comerciales y de código abierto, en lugar de adoptar un enfoque estandarizado de la seguridad.

El equipo de DFDS necesitaba una nueva solución para facilitar prácticas de seguridad coherentes en toda la empresa. Sin embargo, también era importante para ellos que estos controles no restringieran ni ralentizaran a los desarrolladores.

“Resultó que el mayor riesgo era la falta de observabilidad de nuestra cadena de suministro”, afirmó John Smith, arquitecto de dominio - SecOps. “Encontramos en los distintos equipos y tribus un nivel de madurez diferente”.

La solución: Snyk Open Source y Code

El equipo de DFDS decidió utilizar Snyk Open Source y Code en todos sus grupos de desarrollo, lo que les permitió proteger tanto el código propio como el de terceros. Eligió Snyk porque era fácil de implementar e incluía sólidas funciones de elaboración de informes. 

“Así que con muchas de las alternativas que encontramos, seguía siendo necesario poner un archivo YAML o un archivo de conflicto en cada repositorio”, explicó John. “Ahora, el mayor problema es que si voy a los propietarios de los productos y les digo «Necesito que escribas un problema o un PBI para cada repositorio», me van a decir que no tienen tiempo. Como Snyk no tiene esa barrera, pude diseñar un proceso de implementación que no requería ninguna intervención de los propietarios de los productos”.

El equipo de DFDS también apreció que Snyk pudiera servir de “compañero de seguridad” para cada desarrollador, independientemente de su nivel de conocimientos. Empezó a aprovechar SnykLearn desde la plataforma para facilitar una mejora en los conocimientos de seguridad. 

Según John, “el mensaje importante era conseguir que la gente entendiera (o al menos empezara a pensar) en aplicar una mentalidad de seguridad en el sprint. Y también pensar para sí mismos: «...veamos los datos que tenemos actualmente e intentemos reducir a los peores infractores»”. 

Herramientas y formación adecuadas para garantizar la seguridad

Tras implementar las soluciones de código propio y de terceros de Snyk y utilizar SnykLearn para la formación de desarrolladores, el equipo de DFDS observó un mayor interés general en el remedio de la seguridad, con desarrolladores que hacían un esfuerzo adicional para encontrar y corregir vulnerabilidades. La seguridad de las aplicaciones pasó de ser un problema abrumador sin resolver, a una iniciativa factible e interesante para todos los equipos de desarrollo.  

“Desde que implementamos Snyk, recibimos muchas preguntas: ¿Qué es esto? ¿Qué es el CVE? ¿Qué es MITRE?”, dijo John. “La gente está empezando a leer los detalles de las vulnerabilidades en Snyk Learn e intentando comprender, por ejemplo, qué es la inyección de SQL. Y eso demuestra que, con Snyk, indirectamente estamos empezando a crear una cultura de la curiosidad. Y una cultura de la curiosidad en torno a la seguridad es genial porque si podemos tomar esa curiosidad y convertirla en un defensor de la seguridad, entonces tienes influencia dentro de un equipo”.

El impacto: disminución de las vulnerabilidades y aumento de la curiosidad

Tras adoptar Snyk, el equipo de DFDS redujo hasta la fecha el 50 % de todas las vulnerabilidades. Y hasta hace unas semanas, informaron que no había ninguna vulnerabilidad crítica madura. A continuación, tienen previsto integrar Snyk con mayor profundidad en los IDE nativos de sus equipos de desarrollo para fomentar la adopción continuada de la herramienta.

“Como los desarrolladores manejan las puertas de la calidad e hicieron los sprints de seguridad, pueden centrarse mucho menos en las vulnerabilidades críticas en su día a día”.

Gracias a Snyk, DFDS puede adoptar un enfoque proactivo de la seguridad, lo que permite a los desarrolladores lanzar futuras ofertas y actualizaciones con rapidez y seguridad.