Skip to main content
Customers

Skyscanner

Skyscanner corrige ses projets et obtient de la visibilité sur l’exposition aux vulnérabilités de ses dépendances open source

Étude de cas client

Alex Harriss

Senior Security Engineer

Secteur d’activité: Tech
Location: Edinburgh, UK

Products Featured

Snyk Open Source

Points forts:

Conformité aux licences : l’équipe juridique de Skyscanner est désormais en mesure de suivre la conformité aux licences.

Shift left : l’équipe d’ingénierie de sécurité a pu aider les développeurs à assumer la responsabilité de la sécurité des dépendances open source.

Corrections simplifiées : l’équipe de développement de Skyscanner est désormais en mesure de hiérarchiser la correction des vulnérabilités à l’aide de la fonction « requête merge pour correction », et a ainsi pu réduire son exposition.

Déploiement rapide : Skyscanner a pu corriger des problèmes touchant de nombreux projets dans les jours qui ont suivi le déploiement de Snyk.

Défis

De nombreuses équipes se retrouveront dans le profil de Skyscanner : livraisons pour un site Web et une application à fort trafic, développement rapide et étendu, et nécessité d’assurer la sécurité d’une plateforme.

L’intégration de Snyk a permis à Skyscanner de consolider sa visibilité sur les dépendances que ses projets utilisaient de manière directe ou transitive. L’équipe de sécurité voulait s’assurer que le suivi des zones d’exposition était aussi efficace que possible. En effet, elle ne disposait jusque-là d’aucun inventaire centralisé permettant de déterminer les dépendances utilisées par chaque projet. Cette absence de visibilité et de compréhension de la situation empêchait les développeurs de Skyscanner de réduire aussi efficacement qu’ils l’auraient voulu leur exposition aux vulnérabilités des dépendances open source.

L’équipe juridique de l’entreprise avait quant à elle du mal à savoir quelles licences étaient utilisées par les dépendances des projets de Skyscanner. Comme la plupart des entreprises, Skyscanner tient à comprendre dans le détail les licences utilisées dans ses produits. Elle a ainsi la certitude de respecter les licences des dépendances, mais dispose aussi de plus de marge de manœuvre pour l’utilisation de logiciels aux licences moins « permissives » lorsque celles-ci sont compatibles avec le cas d’utilisation, plutôt que de suivre une politique trop restrictive.

« Snyk est l'un des principaux outils de sécurité que nous utilisons chez Skyscanner. C’est lors de son intégration que l’on mesure toute son importance. »

Valeur ajoutée de Snyk

Skyscanner s’est mis en quête d’un outil adapté à son environnement et ses méthodes de développement. Après avoir évalué différentes options, l’entreprise a jugé que seul Snyk était compatible avec son approche visant à donner de l’autonomie aux développeurs.

« Nous avons apprécié son approche multiple, par couches. Snyk s’intègre parfaitement à notre vision de la sécurité. Au lieu d’imposer à l'équipe de sécurité d’être gardienne, de devoir examiner chaque ligne de code et tout signer, nous pouvons donner plus de pouvoir à nos développeurs. Nous pouvons intégrer Snyk dans la gestion du code source GitLab pour que l’analyse intervienne au moment des commits et lors de l’intégration continue pour que les vulnérabilités soient repérées au moment du build. Nous pouvons aussi donner accès à nos développeurs au portail de Snyk, s’ils le souhaitent. Cette approche par couche permet aux équipes d’ingénierie d’utiliser Snyk en fonction de leurs besoins. De notre côté, nous [l’équipe de sécurité] savons que nous pouvons intercepter des vulnérabilités à un moment ou à un autre. »

skyscanner-case-1

La base de données des vulnérabilités de Snyk montre avec précision quelles versions d’une dépendance sont vulnérables et comment remédier au problème. Armés des outils de correction de Snyk, comme l’intégration à GitLab et l’ouverture d’une requête merge, les développeurs de Skyscanner ont pu commencer à corriger les vulnérabilités de leur base de code en appliquant des mises à niveau ou des correctifs mis au point par Snyk.

« Si vous vous demandez quel outil adopter en priorité, n’oubliez pas l’outil d'analyse des vulnérabilités. Une fois que vous aurez commencé à l’utiliser, vous découvrirez à quel point vous êtes exposé et que vous devez agir. »

Résultats

Skyscanner surveille aujourd’hui près de 500 projets distincts avec Snyk et est en mesure de comprendre leur sécurité et de corriger leurs vulnérabilités et leurs problèmes de licence. Très peu de temps après le déploiement, Skyscanner a été alerté d’une vulnérabilité grave dans QSÖ¿, un composant utilisé dans l’un de ses modèles de projet de base. Ses modèles de projet de base contiennent de nombreuses bibliothèques et servent pour de nombreux projets. Skyscanner a pu utiliser un correctif de Snyk pour résoudre la vulnérabilité sur l’ensemble de ses projets. Des centaines de projets utilisant ce modèle de base ainsi ont été protégés, ce qui a considérablement réduit leur exposition au risque.

3 raisons expliquant pourquoi Skyscanner ne jure que par Snyk

  • Deux clics suffisent pour fusionner le correctif d’une vulnérabilité dans GitLab et sécuriser la version en production

  • Nos développeurs adorent l’intégration à leurs outils en place

  • Snyk s’intègre très facilement aux différentes étapes du cycle du développement logiciel, et nous avons ainsi la certitude d’être protégés

À propos Skyscanner

Fondé en 2003, Skyscanner est l’un des principaux sites mondiaux de recherche de voyages, un portail inspirant pour planifier et réserver directement parmi des millions d’options de voyage aux meilleurs prix. 70 millions de personnes utilisent le moteur de recherche de voyages chaque mois. Skyscanner emploie plus de 900 personnes et possède des bureaux à Barcelone, Pékin, Budapest, Édimbourg, Glasgow, Londres, Miami, Shenzhen, Singapour et Sofia. Skyscanner fait partie du groupe Ctrip.