Customers

Skyscanner

Skyscanner corrige ses projets et obtient de la visibilité sur l’exposition aux vulnérabilités de ses dépendances open source

Étude de cas client

Alex Harriss

Senior Security Engineer

Secteur d’activité: Tech
Location: Edinburgh, UK

Products Featured

Snyk Open Source

Points forts:

Conformité aux licences : l’équipe juridique de Skyscanner est désormais en mesure de suivre la conformité aux licences.

Shift left : l’équipe d’ingénierie de sécurité a pu aider les développeurs à assumer la responsabilité de la sécurité des dépendances open source.

Corrections simplifiées : l’équipe de développement de Skyscanner est désormais en mesure de hiérarchiser la correction des vulnérabilités à l’aide de la fonction « requête merge pour correction », et a ainsi pu réduire son exposition.

Déploiement rapide : Skyscanner a pu corriger des problèmes touchant de nombreux projets dans les jours qui ont suivi le déploiement de Snyk.

Défis

De nombreuses équipes se retrouveront dans le profil de Skyscanner : livraisons pour un site Web et une application à fort trafic, développement rapide et étendu, et nécessité d’assurer la sécurité d’une plateforme.

L’intégration de Snyk a permis à Skyscanner de consolider sa visibilité sur les dépendances que ses projets utilisaient de manière directe ou transitive. L’équipe de sécurité voulait s’assurer que le suivi des zones d’exposition était aussi efficace que possible. En effet, elle ne disposait jusque-là d’aucun inventaire centralisé permettant de déterminer les dépendances utilisées par chaque projet. Cette absence de visibilité et de compréhension de la situation empêchait les développeurs de Skyscanner de réduire aussi efficacement qu’ils l’auraient voulu leur exposition aux vulnérabilités des dépendances open source.

L’équipe juridique de l’entreprise avait quant à elle du mal à savoir quelles licences étaient utilisées par les dépendances des projets de Skyscanner. Comme la plupart des entreprises, Skyscanner tient à comprendre dans le détail les licences utilisées dans ses produits. Elle a ainsi la certitude de respecter les licences des dépendances, mais dispose aussi de plus de marge de manœuvre pour l’utilisation de logiciels aux licences moins « permissives » lorsque celles-ci sont compatibles avec le cas d’utilisation, plutôt que de suivre une politique trop restrictive.

« Snyk est l'un des principaux outils de sécurité que nous utilisons chez Skyscanner. C’est lors de son intégration que l’on mesure toute son importance. »

Valeur ajoutée de Snyk

Skyscanner s’est mis en quête d’un outil adapté à son environnement et ses méthodes de développement. Après avoir évalué différentes options, l’entreprise a jugé que seul Snyk était compatible avec son approche visant à donner de l’autonomie aux développeurs.

« Nous avons apprécié son approche multiple, par couches. Snyk s’intègre parfaitement à notre vision de la sécurité. Au lieu d’imposer à l'équipe de sécurité d’être gardienne, de devoir examiner chaque ligne de code et tout signer, nous pouvons donner plus de pouvoir à nos développeurs. Nous pouvons intégrer Snyk dans la gestion du code source GitLab pour que l’analyse intervienne au moment des commits et lors de l’intégration continue pour que les vulnérabilités soient repérées au moment du build. Nous pouvons aussi donner accès à nos développeurs au portail de Snyk, s’ils le souhaitent. Cette approche par couche permet aux équipes d’ingénierie d’utiliser Snyk en fonction de leurs besoins. De notre côté, nous [l’équipe de sécurité] savons que nous pouvons intercepter des vulnérabilités à un moment ou à un autre. »

skyscanner-case-1

La base de données des vulnérabilités de Snyk montre avec précision quelles versions d’une dépendance sont vulnérables et comment remédier au problème. Armés des outils de correction de Snyk, comme l’intégration à GitLab et l’ouverture d’une requête merge, les développeurs de Skyscanner ont pu commencer à corriger les vulnérabilités de leur base de code en appliquant des mises à niveau ou des correctifs mis au point par Snyk.

« Si vous vous demandez quel outil adopter en priorité, n’oubliez pas l’outil d'analyse des vulnérabilités. Une fois que vous aurez commencé à l’utiliser, vous découvrirez à quel point vous êtes exposé et que vous devez agir. »

Résultats

Skyscanner surveille aujourd’hui près de 500 projets distincts avec Snyk et est en mesure de comprendre leur sécurité et de corriger leurs vulnérabilités et leurs problèmes de licence. Très peu de temps après le déploiement, Skyscanner a été alerté d’une vulnérabilité grave dans QSÖ¿, un composant utilisé dans l’un de ses modèles de projet de base. Ses modèles de projet de base contiennent de nombreuses bibliothèques et servent pour de nombreux projets. Skyscanner a pu utiliser un correctif de Snyk pour résoudre la vulnérabilité sur l’ensemble de ses projets. Des centaines de projets utilisant ce modèle de base ainsi ont été protégés, ce qui a considérablement réduit leur exposition au risque.

3 raisons expliquant pourquoi Skyscanner ne jure que par Snyk

  • Deux clics suffisent pour fusionner le correctif d’une vulnérabilité dans GitLab et sécuriser la version en production

  • Nos développeurs adorent l’intégration à leurs outils en place

  • Snyk s’intègre très facilement aux différentes étapes du cycle du développement logiciel, et nous avons ainsi la certitude d’être protégés

À propos Skyscanner

Fondé en 2003, Skyscanner est l'un des principaux sites mondiaux de recherche de voyages, un endroit où les gens sont inspirés pour planifier et réserver directement parmi des millions d'options de voyage aux meilleurs prix. 70 millions de personnes utilisent le moteur de recherche de voyages chaque mois. Skyscanner emploie plus de 900 personnes et possède des bureaux à Barcelone, Pékin, Budapest, Édimbourg, Glasgow, Londres, Miami, Shenzhen, Singapour et Sofia. Skyscanner fait partie du groupe Ctrip.

Sécurisez votre code généré par l’IA

Créez un compte Snyk gratuitement pour sécuriser votre code généré par l’IA en quelques minutes. Vous pouvez également demander une démonstration avec un expert pour déterminer comment Snyk peut répondre à vos besoins en matière de sécurité des développeurs.

Aucune carte de paiement n’est demandée.

Démarrer gratuitement avec GithubDémarrez gratuitement avec Google

Or Sign up with

SSOBitbucketAzure ADDocker ID

En vous connectant ou en vous inscrivant, vous consentez à respecter nos politiques, y compris nos Conditions générales de service et notre Politique de confidentialité

Patch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo Segment

Snyk est une plateforme de sécurité des développeurs. S’intégrant directement aux outils, workflows et pipelines de développement, Snyk facilite la détection, la priorisation et la correction des failles de sécurité dans le code, les dépendances, les conteneurs et l’infrastructure en tant que code (IaC). Soutenu par une intelligence applicative et sécuritaire de pointe, Snyk intègre l'expertise de la sécurité au sein des outils de chaque développeur.

Démarrez gratuitementRéservez une démo en ligne

Produit

Qu’est-ce que Snyk ?Snyk Code (SAST)Snyk Open Source (SCA)Snyk ContainerSnyk Infrastructure as CodeSnyk AppRisk (ASPM)Plateforme de sécurité des développeursSécurité des applicationsSécurité de la chaîne d’approvisionnement logicielleSécurité du code généré par l’IA DeepCode AITarifsOptions de déploiementIntégrationsPlugins pour les IDESécurité GitSécurité des pipelines de CI/CDSnyk CLISnyk LearnSnyk pour JavaScript

Ressources

DocumentationDocuments sur l’API SnykStatut de l’APIVulnérabilités divulguéesPortail de support et FAQBlogPrincipes fondamentaux de la sécuritéRessources pour les leaders de la sécuritéRessources pour les hackers éthiquesBase de données des vulnérabilitésSnyk OSS AdvisorTop 10 de SnykVidéosRessources client

Société

À proposClientsCarrièresÉvénementsSnyk pour le secteur publicDossier de presseSécurité et confianceMentions légalesConfidentialitéPour les résidents de Californie : Ne vendez pas mes informations à caractère personnelConditions d'utilisation du site web

Connexion

Réservez une démo en ligneContactez-nousSupportSignaler une nouvelle vulnérabilité

Sécurité

Sécurité des applicationsSécurité des conteneursSécurité de la chaîne d’approvisionnementSécurité JavascriptSécurité open sourceSécurité AWSSDLC sécuriséPosture de sécuritéCode sécuriséHacking éthiqueL’IA dans la cybersécuritéVérificateur de codePythonCybersécurité en entrepriseJavaScriptSnyk With GitHubComparaison Snyk/VeracodeSnyk vs Checkmarx

© 2024 Snyk Limited
Enregistré en Angleterre et au Pays de Galles

logo-devseccon