El desafío: necesidad de procesos de seguridad eficientes para apoyar el crecimiento
En los últimos años, Smartsheet duplicó con creces su plantilla. A medida que Smartsheet crece, su equipo de ingenieros trabaja para garantizar que son capaces de aplicar prácticas de seguridad preparadas para el futuro con el fin de defender la plataforma de las amenazas a la seguridad. A medida que escalan las operaciones, los desarrolladores necesitan asegurar los productos de la forma más fácil y eficiente posible aprovechando la automatización de la seguridad de las aplicaciones.
“Desarrollamos mucho software. Así que tenemos el desafío de garantizar que el código fuente abierto que utilizamos cuente con la seguridad y la gestión de riesgos adecuadas”, afirma Chris Peake, director de seguridad de la información de Smartsheet. “Pero también tenemos la otra cara de la moneda, que es la concesión de licencias, tanto desde el punto de vista jurídico como de la seguridad”.
Smartsheet buscaba automatizar el escaneo de vulnerabilidades y la gestión de licencias de su código fuente abierto para permitir a los desarrolladores gestionar la seguridad a la vez que satisfacen la escala de creación de software. Para ello, los desarrolladores necesitaban una herramienta que pudiera marcar automáticamente los problemas en el momento oportuno con la información contextual adecuada, lo que les permitiría tomar decisiones más rápidas y mantener la seguridad de la empresa.
“Crear una herramienta de seguridad orientada a los desarrolladores que pudiéramos utilizar para impulsar la acción de los desarrolladores no era realista para nuestro pequeño equipo”, afirma Jason Bubolz, ingeniero principal de seguridad de Smartsheet. “Snyk nos permite impulsar la acción de los desarrolladores proporcionando inteligencia sobre amenazas y ofreciendo las correcciones que necesitamos automáticamente”.
La solución: seguridad eficiente, centrada en el desarrollador
Al buscar una solución, Smartsheet evaluó cuatro productos: Snyk, Whitesource, Blackduck y Veracode. La evaluación demostró que Snyk Open Source es la más orientada a los desarrolladores, útil y práctica, lo que permite una adopción sin problemas y una rápida integración. El equipo de Smartsheet también quedó impresionado con la capacidad de Snyk para presentar al desarrollador opciones de remedio viables.
“La base de datos de vulnerabilidades de Snyk es la más completa y detallada que existe”, afirma Bubolz. “Para un ingeniero que intenta hacer bien la seguridad, Snyk ofrece una solución superior para cada punto del ciclo de vida del desarrollo de software. Ahora proporcionamos a los ingenieros herramientas en el momento en que toman decisiones, dándoles la información sobre la que pueden actuar. Ese es el valor que sigo viendo en Snyk”.
Snyk identifica la actualización mínima necesaria para eliminar una vulnerabilidad y avisa cuando existe riesgo de romper el código. Estos resultados precisos y oportunos son cruciales para Smartsheet, ya que la empresa está cambiando para permitir que el equipo de desarrollo tome sus propias decisiones de seguridad sin depender del equipo de seguridad.
Snyk Container: capacitar a los desarrolladores para prevenir vulnerabilidades
Smartsheet sabía que necesitaba crear una experiencia sin fricciones para los desarrolladores con el fin de mejorar la seguridad de los contenedores. Por eso integró Snyk Container en sus flujos de trabajo de desarrollo existentes. Dado que Snyk Container funciona a lo largo de todo el SDLC (ciclo de vida de desarrollo de software), ayuda a Smartsheet a solucionar los problemas de forma temprana identificando las vulnerabilidades prioritarias antes de que el contenedor pase a producción.
“Nuestros desarrolladores utilizan los comentarios de Snyk para determinar si deben elegir una determinada imagen base al principio de su proceso de desarrollo”, explica Bubolz. “Eso les da una señal clara antes de que les cueste mucho tiempo tomar una decisión diferente”.
La API de Snyk: automatización de la gestión y administración de datos
Cuando Smartsheet evaluó las herramientas de escaneo de seguridad, la empresa examinó las API de varias empresas, pero descubrió que Snyk era la más sencilla de implantar. El equipo de Smartsheet aprovechó la API de Snyk para automatizar los informes de datos de varios proyectos y gestionar la administración de cientos de repositorios de GitHub cada mes.
“Necesitaba datos que alimentaran automáticamente otro sistema en mi lugar”, explica Bubolz. “Yo soy uno, pero en Smartsheet hay más de 400 desarrolladores que envían código cada día. La API de Snyk me dice cuando tengo un nuevo repositorio o la propiedad cambió. Sin una API eficaz, no habríamos podido utilizar ningún producto de escaneo de seguridad”.
El impacto: eliminación casi inmediata de las vulnerabilidades gracias al enfoque de Snyk, que da prioridad a los desarrolladores
Gracias al enfoque cercano y colaborativo que Snyk adopta a la hora de incorporar nuevos clientes, Smartsheet consiguió que el programa tuviera éxito desde el primer día. Snyk se tomó el tiempo necesario para entender cómo encajaba su herramienta en el ecosistema más amplio de la empresa, consiguiendo que se integrara en todos y cada uno de los pipelines de integración continua (CI).
“Incluso antes de integrar completamente Snyk, ya estaba logrando su propósito”, dijo Bubolz. “Después de que la aplicación enviara un correo electrónico a nuestros desarrolladores, les resultó más fácil resolver los problemas de inmediato, lo que les dio aún más ganas de ponerse manos a la obra y encargarse ellos mismos de la seguridad”.
La facilidad de implementación hizo más sencilla la transición a la responsabilidad de seguridad de los desarrolladores
Gracias al rápido proceso de incorporación de Snyk, Smartsheet pudo empezar a trabajar de inmediato sin sobrecargar innecesariamente a sus equipos de seguridad y desarrollo. Como Snyk se utiliza a lo largo de todo el SDLC, a los ingenieros se les presentan ahora problemas que pueden resolver, en lugar de una serie de fallas que tendrían que examinar y solucionar por su cuenta. Snyk entrega los problemas de seguridad junto con el contexto necesario y los desarrolladores tienen la posibilidad de realizar la gran mayoría de las correcciones por su cuenta y, en algunos casos, simplemente presionando un botón.
“Estamos obteniendo mejores resultados”, afirma Bubolz. “Nuestros equipos están aún más preparados para centrarse en la seguridad de lo que ya estaban”.
Reducción de la carga legal con la gestión de licencias de código abierto
Antes de la implementación de Snyk, el equipo jurídico de Smartsheet tenía un desafío significativo para rastrear qué licencias se estaban utilizando a través de dependencias en los productos de Smartsheet. Snyk proporcionó al equipo jurídico y a los desarrolladores una visibilidad completa de cualquier código con licencia en sus proyectos desde un único lugar. Esto les permitió mantener un rápido ritmo de desarrollo sin dejar de cumplir requisitos como el de licencias de software de código abierto, entre otros.
“El equipo jurídico estaba encantado de poder controlar los productos de código abierto que utilizamos”, dijo Peake. “Antes tenían que mantener manualmente esa lista, y era bastante trabajo. Una visualización unificada es una gran ventaja y se suma al valor que el equipo está obteniendo de Snyk hoy en día”.