O Desafio: expandir a verificação de segurança para toda a organização
À medida que a Atlassian crescia para alcançar mais de 200.000 clientes e 2,6 milhões de membros da comunidade, a importância de garantir a segurança dos aplicativos para reduzir a exposição da empresa a riscos ficou cada vez mais evidente. Com a expansão, a empresa queria ter certeza de que suas ferramentas eram seguras e estavam em conformidade com as regulamentações do setor. Para isso, recorreu à Snyk, certa de seu talento para capacitar o desenvolvedor a assumir a responsabilidade pela segurança e integrá-la ao aplicativo.
"Estávamos usando nossas ferramentas antigas como solução temporária para a varredura de contêineres no produto Trello, mas precisávamos de uma solução que pudesse crescer em escala", explica Will Ratner, engenheiro sênior de segurança de produto da Atlassian. "Queríamos um produto que não exigisse mudanças na nossa infraestrutura e que oferecesse dados úteis para ajudar o desenvolvedor a remediar vulnerabilidades com mais destreza."
A solução: expansão da Snyk para milhares de desenvolvedores
Depois de avaliar várias opções, a Atlassian decidiu pelo Snyk Container, já que a empresa poderia expandir a varredura de contêineres para seus produtos e equipes de desenvolvimento sem precisar alterar sua infraestrutura interna. Como 99% dos serviços da Atlassian são implantados em contêineres, a Snyk pode ajudar a garantir a segurança de todas as soluções de software da empresa.
"Começamos a avaliar a Snyk principalmente porque estávamos em busca de uma boa substituta para a ferramenta de varredura de contêiner que já tínhamos", revela Sharada Moorthy, engenheira sênior de segurança de produto da Atlassian. "Queríamos migrar para uma plataforma que permitisse expansão para outros produtos."
Além disso, com o Snyk Open Source a Atlassian pode fazer varreduras para detectar vulnerabilidades em dependências de código aberto. Como a Atlassian queria realizar varreduras em repositórios individuais de cada ambiente de construção, a Snyk criou um recurso de varredura em massa para acomodar a solicitação. Essa nova funcionalidade passou a fazer parte do fluxo de trabalho de varredura de dependências da Atlassian.
"Uma das principais vantagens da Snyk é sua facilidade de integração ao pipeline do desenvolvedor", afirma Matthew Bass, engenheiro de segurança de produtos da Atlassian. "Quando as varreduras centralizadas não são suficientes, podemos explicar aos desenvolvedores as etapas necessárias para que eles mesmos integrem a varredura de SCA."
A Snyk oferece usabilidade e conhecimentos acionáveis
Usabilidade e eficiência também foram razões importantes para a escolha da Snyk. Em vez integrá-la a cada pipeline de CI/CD da equipe de desenvolvimento, a Atlassian realiza uma varredura automática em contêineres e dependências durante os eventos de implantação e divulga as percepções resultantes para milhares de desenvolvedores por meio de solicitações de tíquetes de remediação.
Concluída a varredura do projeto, a equipe de segurança da Atlassian cria tíquetes para todas as vulnerabilidades que precisam ser remediadas pelos desenvolvedores. Os metadados fornecidos pela Snyk, como gravidade, grau de prioridade e outros, ajudam a empresa a priorizar a solução das vulnerabilidades mais importantes, evitando desperdiçar tempo da equipe de desenvolvimento na análise de vulnerabilidades de baixo risco que talvez nem tenham uma correção disponível.
"Além da usabilidade, a qualidade das percepções produzidas é um grande benefício", acrescenta Chris Walz, engenheiro sênior de segurança da Atlassian. "Comparada a outras soluções de varredura, a Snyk relata menos falsos positivos ou problemas que não são vulnerabilidades reais."
O impacto: redução significativa nas vulnerabilidades abertas
Antes, a Atlassian só contava com uma cobertura muito pequena de varredura de contêineres, abrangendo apenas um produto. Desde então, a empresa tem 100% de cobertura para toda a organização. E o mais importante: em poucos meses, as vulnerabilidades graves e críticas de contêiner em aberto diminuíram 65% e 39%, respectivamente.
"Agora estamos contabilizando todos os contêineres implantados para garantir que todos passem por varredura e sejam criados tíquetes para corrigir eventuais vulnerabilidades", detalha Ratner. "As métricas são rastreadas pela liderança para assegurar que a eficácia dos recursos de varredura de contêiner e SCA."
Até hoje, a Atlassian realizou 5,5 milhões de varreduras em dependências e 3,7 milhões de varreduras em contêineres com a Snyk. Com o sucesso da expansão da remediação de vulnerabilidades de contêineres e a significativa redução das vulnerabilidades em poucos meses, a Atlassian agora planeja criar tíquetes de correção para as descobertas do Snyk Open Source.
"Foi ótimo ver a Snyk começando a criar recursos adicionais e a melhorar a documentação para nos ajudar", conclui Ratner. "O processo de implementação foi robusto, e estamos tendo bons resultados e feedback dos desenvolvedores, em comparação com outras ferramentas de varredura."