Le défi : besoin de processus de sécurité efficaces pour soutenir la croissance de l’entreprise
Au cours des dernières années, le nombre des employés de Smartsheet a plus que doublé. L’équipe d’ingénieurs de Smartsheet accompagne son développement en travaillant à assurer l’évolutivité des pratiques de sécurité pour défendre la plateforme contre les menaces de sécurité. Au fur et à mesure que les opérations montent en puissance, les développeurs doivent sécuriser les produits aussi aisément et efficacement que possible en tirant parti de l’automatisation de la sécurité des applications.
« Nous développons beaucoup de logiciels. Nous sommes donc confrontés au défi de maintenir un niveau de sécurité et de gestion des risques appropriés pour le code open source que nous utilisons », explique Chris Peake, CISO chez Smartsheet. « L’octroi de licences constitue un autre grand défi, tant du point de vue juridique que du point de vue de la sécurité. »
Smartsheet a cherché à automatiser l’analyse des vulnérabilités et la gestion des licences de son code open source afin de permettre aux développeurs de gérer la sécurité tout en respectant l’échelle de création des logiciels. Pour ce faire, les développeurs avaient besoin d’un outil capable de signaler automatiquement les problèmes au moment opportun, avec les informations contextuelles appropriées, afin de pouvoir prendre des décisions plus rapides et d’assurer la sécurité de l’entreprise.
« Construire un outil de sécurité au service des développeurs que nous pourrions utiliser pour stimuler l’action des développeurs n’était pas réaliste pour notre petite équipe", explique Jason Bubolz, Ingénieur principal de la sécurité, Smartsheet. « Snyk nous permet d’inciter les développeurs à agir en leur fournissant des informations sur les menaces et en leur proposant automatiquement les correctifs dont ils ont besoin.
La solution : une sécurité efficace, au service des développeurs
Lors de la recherche d’une solution, Smartsheet a évalué quatre produits, dont Snyk, Whitesource, Blackduck et Veracode. L’évaluation a montré que Snyk Open Source était le produit le plus axé sur les développeurs, le plus utile et le plus facile à mettre en œuvre, et permettait une adoption transparente et une intégration rapide. L’équipe de Smartsheet a également été impressionnée par la capacité de Snyk à présenter au développeur des options de remédiation exploitables.
« La base de données des vulnérabilités de Snyk est l’option la plus complète et la plus détaillée disponible » selon M. Bubolz. « Pour un ingénieur qui essaie de bien faire en matière de sécurité, Snyk offre une solution de qualité supérieure à chaque étape du cycle de vie du développement logiciel. Nous fournissons maintenant à chaque ingénieur l’outil dont il a besoin au moment de prendre ses décisions, en lui donnant des informations utiles pour agir. C’est toute la valeur que je continue de percevoir dans Snyk ».
Snyk identifie la mise à jour minimale requise pour éliminer une vulnérabilité et vous avertit en cas de risque de rupture du code. Ces résultats précis et opportuns sont déterminants pour Smartsheet, qui s’efforce de donner à l’équipe de développement les moyens de prendre des décisions autonomes en matière de sécurité, sans le soutien de l’équipe de sécurité.
Snyk Container : doter les développeurs des bons outils pour prévenir les vulnérabilités
Smartsheet savait qu’elle devait créer une expérience fluide permettant aux développeurs d’améliorer la sécurité des conteneurs. C’est la raison pour laquelle Smartsheet a intégré Snyk Container dans ses workflows de développement existants. Snyk Container fonctionnant tout au long du cycle du développement logiciel, il aide Smartsheet à résoudre précocement les problèmes en identifiant les vulnérabilités prioritaires en amont de la mise en production du conteneur.
« Nos développeurs utilisent le retour d’information de Snyk pour déterminer s’ils doivent choisir une image de base spécifique en tout début de processus de développement », explique M. Bubolz. « Pour eux, c’est un signal clair donné avant qu’il ne leur en coûte beaucoup de temps pour faire un choix différent. »
L’API Snyk : automatiser la gestion et l’administration des données
Lorsque Smartsheet a évalué les outils d’analyse de sécurité, l’entreprise a examiné les API de plusieurs options, dont il est ressorti que Snyk était la plus simple à mettre en œuvre. L’équipe de Smartsheet a exploité l’API Snyk afin d’automatiser les rapports de données de plusieurs projets et gérer l’administration de centaines de référentiels GitHub chaque mois.
« J’avais besoin de données pour alimenter automatiquement un autre système qui prendrait des mesures en mon nom », explique M.Bubolz. « Si je suis seul dans ma spécialité, il y a plus de 400 développeurs qui modifient le code chaque jour chez Smartsheet. L’API Snyk m’indique quand j’ai un nouveau référentiel, ou quand la propriété a changé. Sans une API efficace, nous n’aurions pas été en mesure d’utiliser un produit d’analyse de sécurité.
L’impact : des vulnérabilités éliminées presque immédiatement grâce à l’approche de Snyk au service des développeurs
Grâce à l’approche étroite et collaborative de Snyk lors de l’intégration de nouveaux clients, Smartsheet a pu assurer la réussite du programme dès le premier jour. Snyk a pris le temps de comprendre comment son outil s’intégrait dans l’écosystème plus large de l’entreprise, en l’intégrant dans chaque pipeline d’intégration continue (CI).
« Avant même d’être complètement intégré, Snyk atteignait déjà son objectif », ajoute M. Bubolz. « Après avoir reçu un e-mail de l’application, nos développeurs ont trouvé plus facile de résoudre les problèmes immédiatement, ce qui les a motivés encore plus à se retrousser les manches et à gérer la sécurité eux-mêmes. »
La facilité de mise en œuvre s’est traduite par une transition en douceur vers la responsabilité de la sécurité des développeurs.
Le processus d’intégration rapide de Snyk a permis à Smartsheet de commencer immédiatement à travailler sans solliciter inutilement ses équipes de sécurité et de développement. Snyk étant utilisé tout au long du cycle du développement logiciel, les ingénieurs se trouvent désormais face à des problèmes qu’ils peuvent résoudre, et non plus face à une série de bugs à étudier et pour lesquels trouver des solutions par eux-mêmes. Snyk transmet les problèmes de sécurité avec le contexte nécessaire. Les développeurs sont, quant à eux, habilités à effectuer la grande majorité des corrections par eux-mêmes et, dans certains cas, d’un simple clic sur un bouton.
« Nous obtenons de meilleurs résultats », constate M. Bubolz. « Nos équipes sont encore mieux préparées à se concentrer sur la sécurité qu’elles ne l’étaient déjà.
Réduction du fardeau juridique grâce à la gestion des licences open source
Avant l’implémentation de Snyk, l’équipe juridique de Smartsheet avait beaucoup de mal à suivre les licences utilisées dans les dépendances des produits Smartsheet. Snyk a fourni à l’équipe juridique et aux développeurs une visibilité complète sur tout le code sous licence de leurs projets, à partir d’un emplacement unique. Ils ont ainsi pu maintenir un rythme de développement rapide tout en restant en conformité avec les licences de logiciels open source et d’autres exigences.
« L’équipe juridique apprécie de pouvoir garder un œil sur les produits open source que nous utilisons », explique M. Peake. « Auparavant, elle devait tenir cette liste à jour manuellement, ce qui représentait un travail considérable. Le fait de disposer d’une seule fenêtre constitue un avantage de taille et une valeur ajoutée pour l’équipe aujourd’hui. »
