Le défi : des pratiques d’un autre temps, difficiles à appliquer plus largement
Panther disposait de nombreuses pratiques de sécurité, mais face à une clientèle toujours plus nombreuse, ses processus manuels ne suivaient plus. L’entreprise avait également besoin d’assurer le maintien de la conformité de son programme de sécurité aux normes SOC2. Pour résoudre ces difficultés, Panther a cherché à refondre ses pratiques de sécurité pour les rendre plus performantes, mais aussi automatiser l’assurance qualité et la sécurité des applications dans divers langages, et ce tout au long du cycle du développement logiciel. Dans cette optique, elle avait besoin de nouveaux outils prenant en charge la détection des vulnérabilités en Go, Python et JavaScript, à la fois dans les dépendances open source et dans son code interne. Panther ne dispose que d’une équipe réduite d’ingénieurs : il lui fallait donc une solution offrant une protection complète et permettant le déploiement massif et rapide de pratiques de développement.
« Nos clients veulent savoir ce que nous faisons pour protéger leurs données », affirme Joren McReynolds, directeur de l’ingénierie de Panther Labs. « Un maillon clé de cette protection consiste à s’assurer que le code de notre produit est analysé de manière intelligente et automatisée pour détecter les vulnérabilités introduites via les dépendances des paquets ou par nous-mêmes. Nous voulons nous assurer qu’aucune des lignes de code que nous écrivons ne met en danger les informations de nos clients. »
La solution : des décisions rapides et une correction automatisée
Au cours de sa quête d’une solution d’automatisation des scans de sécurité, Panther a évalué plusieurs produits. Après s’être penchée sur des offres open source et commerciales, l’entreprise a considéré que Snyk Open Source et Snyk Code généraient les résultats les plus axés sur les développeurs, contextualisés et exploitables. De plus, en analysant et validant le code lors des pull requests, Snyk a permis aux ingénieurs de repérer divers problèmes dès le début du processus de développement. Panther a ainsi pu les résoudre rapidement et efficacement en interne.
« Nous avons constaté que Snyk permettait à nos ingénieurs de prendre des décisions rapidement », explique Joren McReynolds. « Cet outil leur donne les informations nécessaires pour prendre des décisions plus sûres en lien avec les mises à niveau et les correctifs de notre code, des paquets ou des dépendances tierces. Ils sont informés qu’une mise à jour est nécessaire, mais voient aussi ce que cette mise à niveau implique. Dans de nombreux cas, l'automatisation de Snyk permet de corriger le code d'un simple clic sur un bouton vert dans GitHub, qui déclenche la fusion d’une pull request générée automatiquement. »
Snyk Code permet de corriger rapidement les vulnérabilités
Panther a découvert qu’avec Snyk, son équipe de développement pouvait exécuter des scans de sécurité dès le début de la phase de build, par le biais de tests de sécurité des applications statiques automatisés. Panther a adopté Snyk Code pour permettre de détecter les vulnérabilités aussi rapidement que possible dans les workflows des développeurs. Pendant sa période d’évaluation, l’entreprise a constaté que les autres outils étaient lents, peu précis et/ou ne prenaient en charge que des configurations limitées. A contrario, Snyk Code est pensé pour suggérer des correctifs efficaces et exploitables à mesure que les développeurs rédigent leur code dans leur interface native, avant le déploiement.
« Snyk Code nous a apporté une nouvelle capacité nette à ajouter à notre arsenal », affirme Joren McReynolds. « Il analyse rapidement le code que nous écrivons et fournit des informations légitimes et exploitables que les ingénieurs peuvent utiliser pendant le développement et dans les workflows de construction. La vue Snyk permet aux ingénieurs de détecter rapidement les éventuels problèmes de code, les autres sources de ce problème, ainsi que la façon dont d’autres ingénieurs du secteur l’ont résolu. Elle nous apporte des résultats d’analyse statique significatifs sur lesquels nous pouvons agir immédiatement ».
Une sécurité exhaustive du code open source
En tant qu’éditeur de plateforme de sécurité, Panther travaille avec des clients d’envergure qui ne peuvent se passer d’une analyse du code et des bibliothèques open source. Snyk Open Source surveille chaque dépendance et permet à Panther de détecter les problèmes graves et de les corriger dès qu’ils apparaissent. Snyk fournit également des conseils exploitables pour résoudre tous les problèmes de sécurité détectés. Enfin, Snyk aide les développeurs à gagner du temps lors de la correction des problèmes en triant ceux-ci en fonction de leur gravité et de leur impact potentiel.
« Snyk est le produit le plus complet du marché », affirme Joren McReynolds. « Comparés aux concurrents, ses outils trouvent systématiquement plus de paquets vulnérables. En plus, son analyse est plus rapide. Il se distingue sur toute la ligne. »
L’impact : l’assurance d’une sécurité intégrée à grande échelle
En déployant la puissante solution SAST de Snyk et l’analyse des dépendances open source, Panther s’assure que ses développeurs bénéficient d’informations de sécurité détaillées et exploitables sans compliquer leurs workflows ou leur imposer de se transformer en experts de la sécurité. De plus, Snyk s’intègre à son processus de développement et permet de hiérarchiser les vulnérabilités pour accélérer la correction. Snyk a ainsi permis à Panther de conquérir davantage de parts de marché tout en l’aidant à bénéficier d’une visibilité complète sur son code et à améliorer la qualité logicielle des fonctions innovantes attendues par ses clients.
« Snyk nous permet vraiment d’aller plus loin, plus vite », détaille Joren McReynolds. « L’outil s’intègre automatiquement à GitHub. Il nous suffit de cliquer sur quelques boutons. Je n’ai pas besoin de recruter une personne dont le rôle serait de travailler sur les vulnérabilités ou d’analyser notre code tous les jours. Nous pouvons nous concentrer sur le développement tout en sachant que les vulnérabilités potentielles des dépendances des paquets et de notre base de code sont vues. C’est un argument de poids en interne, mais aussi pour nos clients. »
Avec Snyk, Panther a pu mettre en place une approche de la sécurité centrée sur le développement sans ralentir le déploiement. Les solutions automatisées de Snyk détectent les problèmes et les vulnérabilités de sécurité avant la fusion du code, de sorte que les équipes techniques de Panther savent que la sécurité du code a été validée avant que l’application n’arrive dans un environnement de pré-déploiement ou de production. Chacune de ces actions permet également à Panther de maintenir sa conformité à SOC2, entre autres normes.
« Au final, Snyk nous permet de nous concentrer sur la croissance de notre activité plutôt que sur les questions de sécurité complexes que nous ne sommes pas les plus à même de résoudre », justifie Joren McReynolds. « Nous sommes très satisfaits du ROI de Snyk. Ses solutions nous aident non seulement à respecter nos obligations de conformité, mais nous offrent aussi des résultats pertinents et exploitables qui renforcent la sécurité de notre produit. Nous avons ainsi une totale confiance dans la qualité du code que nous proposons à nos clients. »