Le défi : étendre de l’analyse de sécurité à l’échelle de l’organisation
Le développement d’Atlassian, qui a atteint plus de 200 000 clients et plus de 2,6 millions de membres de la communauté, a contribué à rendre la sécurité des applications d’autant plus essentielle dans l’optique de réduire l’exposition au risque de l’entreprise. Au fur et à mesure de son évolution, Atlassian tient à s’assurer que ses outils sont sûrs et conformes aux réglementations du secteur. L’entreprise s’est ainsi associée à Snyk pour sa capacité éprouvée à permettre aux développeurs de s’approprier et d’intégrer la sécurité dans l’ensemble de l’application.
Nous utilisions notre outil précédent comme un palliatif pour l’analyse des conteneurs sur notre produit Trello, mais nous avions besoin d’un produit capable d’évoluer », explique Will Ratner, ingénieur principal de la sécurité des produits chez Atlassian. « Nous voulions donc un produit qui nous dispense de gérer notre propre infrastructure et qui offre des données conviviales pour les développeurs afin de faciliter la correction des vulnérabilités. »
La solution : déployer Snyk auprès de milliers de développeurs
Après avoir évalué différentes options, Atlassian a retenu Snyk Container parce que l’entreprise pouvait faire évoluer l’analyse des conteneurs à travers ses produits et ses équipes de développement sans gérer sa propre infrastructure. 99 % des services d’Atlassian étant déployés sur des conteneurs, Snyk peut contribuer à garantir la sécurité de tous les logiciels dans l’ensemble de l’entreprise.
« Nous avons commencé à évaluer Snyk car nous recherchions un bon substitut à notre outil d’analyse des conteneurs existant », explique Sharada Moorthy, ingénieur principal de la sécurité des produits chez Atlassian. » « Nous voulions passer à une plateforme capable de s’adapter à nos autres produits. »
En outre, Snyk Open Source permet à Atlassian d’analyser ses dépendances open source à la recherche de vulnérabilités. Atlassian souhaitant analyser les référentiels individuels dans chaque environnement de build, Snyk a été en mesure de déployer une nouvelle fonctionnalité d’analyse d’ensemble pour répondre à ce besoin. Cette nouvelle fonctionnalité fait désormais partie intégrante du workflow d’analyse des dépendances d’Atlassian.
« L’un des principaux avantages de Snyk est qu’il est également plus facile pour les développeurs de l’intégrer dans leurs pipelines », ajoute Matthew Bass, Ingénieur sécurité produit chez Atlassian. « Dans le cas où nos analyses centralisées ne sont pas suffisantes, nous pouvons apporter aux développeurs des étapes concrètes pour intégrer eux-mêmes l’analyse SCA.
Snyk offre une facilité d’utilisation et des informations exploitables
La facilité d’utilisation et l’efficacité de Snyk ont également été des facteurs déterminants dans le choix d’Atlassian de retenir la solution. Au lieu d’intégrer Snyk dans le pipeline CI/CD de chaque équipe de développement, l’entreprise analyse automatiquement les conteneurs et les dépendances lors des événements de déploiement et met les informations à la disposition de milliers de développeurs par le biais de demandes de tickets de remédiation.
Une fois un projet analysé, l’équipe de sécurité d’Atlassian crée des tickets pour toutes les vulnérabilités auxquelles les développeurs doivent remédier. Les métadonnées fournies par Snyk (telles que le niveau de gravité, le score de priorité, etc.) aident l’entreprise à remédier efficacement en premier lieu aux vulnérabilités les plus critiques et à éviter de faire perdre du temps aux développeurs sur des vulnérabilités à faible risque pour lesquelles il se peut même qu’aucun correctif ne soit disponible.
« Outre la facilité d’utilisation, la qualité des résultats que nous obtenons constitue un avantage majeur », explique Chris Walz, ingénieur principal de la sécurité chez Atlassian. « Comparé à d’autres solutions d’analyse, Snyk signale moins de faux positifs ou de problèmes qui ne sont pas réellement des vulnérabilités. »
L’impact : diminution considérable des vulnérabilités ouvertes
Par le passé, Atlassian avait une très faible couverture de l’analyse des conteneurs pour un seul produit, mais l’entreprise a depuis atteint une couverture de 100 % dans l’ensemble de l’organisation. Plus important encore, Atlassian a réduit les vulnérabilités liées à ses conteneurs ouverts de gravité élevée et critique de 65 % et 39 % respectivement en seulement quelques mois.
« Nous comptabilisons désormais tous les conteneurs déployés afin de nous assurer qu’ils ont tous été analysés et que des tickets ont été créés en vue de corriger les vulnérabilités », explique M. Ratner. « Nous suivons ces paramètres au niveau de la direction pour nous assurer que nos capacités d’analyse des conteneurs et SCA sont efficaces. »
À ce jour, Atlassian a exécuté 5,5 millions d’analyses de dépendances et analysé 3,7 millions de conteneurs au moyen de Snyk. Fort du déploiement réussi de la remédiation des vulnérabilités des conteneurs et de la réduction notable des vulnérabilités en seulement quelques mois, Atlassian prévoit désormais de commencer à créer des tickets de correction pour les résultats de Snyk Open Source.
« Nous avons été ravis de voir Snyk commencer à ajouter des fonctionnalités supplémentaires et à améliorer la documentation pour nous aider », conclut Will Ratner. « Le processus de mise en œuvre est solide et nous obtenons de bons résultats et des retours d’expérience positifs sur Snyk de la part des développeurs par rapport à d’autres outils d’analyse. »
