Gestion de la sécurité open source
Une des difficultés fréquemment rencontrées dans la gestion de la sécurité d’une entreprise dynamique en croissance réside dans l’attribution de ressources de sécurité, qu’il s’agisse de main-d’œuvre, de budget ou de temps. L’équipe de sécurité de MongoDB doit gérer de nombreuses priorités, et son temps constitue donc une ressource précieuse. Lorsque Stuart et son équipe ont dû passer des heures à vérifier manuellement que les développeurs n’utilisaient pas de bibliothèques open source présentant des vulnérabilités connues et à éplucher des listes sans fin de vulnérabilités et expositions courantes, ils se sont dit qu’il devait exister une solution plus rapide et plus simple.
Avant le déploiement de Snyk, notre approche de la sécurité open source prenait un temps fou. Nous multipliions les contrôles manuels de nos paquets avant de sortir certains produits (beaucoup de recherches sur Google et de signets), et utilisions divers petits outils pour les autres.
L’élargissement de la sécurité constitue un objectif central pour MongoDB
Après avoir évalué plusieurs solutions du marché, l’équipe de sécurité a finalement jugé que Snyk sortait du lot par son approche au service des développeurs et sa fonction de correction automatique. Son déploiement rapide, sa simplicité d’utilisation et son intégration directe aux workflows et outils des développeurs comme GitHub ont contribué à son adoption rapide par les développeurs. MongoDB a également envisagé de développer sa propre solution de sécurité en interne, mais s’est rapidement rendu compte qu’avec des effectifs, du temps et un budget limités, il serait plus simple d’opter pour un outil externe comme Snyk. Une telle décision lui permettrait de se concentrer sur ses priorités de développement actuelles et éviterait de mobiliser du temps et des ressources.
« Nous n’avons que quelques ingénieurs en sécurité dans l’entreprise, et des centaines de développeurs. Nous ne pourrons jamais nous adapter à eux et devons donc leur donner les moyens d’agir de manière proactive. »
Les résultats de Snyk : du temps gagné avec l’automatisation
Après avoir automatisé les processus de sécurité open source avec Snyk, Stuart explique que l’entreprise « ne reviendra jamais » à l’approche manuelle et lente qu’elle suivait jusque-là. Le délai entre l’identification d’un problème de sécurité dans un paquet, la communication de cette information à l’équipe de sécurité de MongoDB et la correction de la vulnérabilité est désormais réduit. MongoDB a créé un workflow simplifié permettant d’éliminer les problèmes de sécurité des dépendances tierces. Avec ce processus automatisé, la détection et la correction des vulnérabilités sont bien plus rapides, ce qui permet à l’équipe de sécurité de se concentrer sur ses autres priorités.
Suivre la sécurité dans l’ensemble de l’équipe
L’équipe de sécurité de MongoDB a intégré un tableau de bord Snyk depuis lequel toutes les parties prenantes peuvent consulter les référentiels Snyk qui les intéressent. Chaque membre de l’équipe de sécurité et de développement connaît le statut des vulnérabilités et le risque, à tout moment. Le tableau de bord Snyk est aussi devenu un outil utile pour communiquer au reste de l’entreprise les problèmes de sécurité et le besoin en ressources spécifiques.
Assurer la protection des données des clients
De plus en plus, les clients veulent savoir comment leurs données sont protégées des vulnérabilités des composants tiers. MongoDB n’hésite pas à leur expliquer comment Snyk s’intègre en profondeur à son cycle du développement logiciel pour garantir que les dépendances tierces sont identifiées et leurs vulnérabilités résolues. Il s’agit là d’une des nombreuses mesures prises par l’équipe pour protéger les données et précieuses ressources des clients.