O desafio: encontrar e corrigir vulnerabilidades sem causar atrasos
A DFDS tem uma história interessante: do transporte de fretes e carga há 150 anos até o gerenciamento de operações de logística em todo o mundo hoje. A DFDS consiste em duas divisões principais: Divisão de Balsas, que transporta frete e passageiros nas rotas de balsas da Europa, e Divisão de Logística, que oferece soluções de transporte e logística.
A Divisão de Logística da DFDS oferece aos clientes diversas ferramentas digitais, como serviços de rastreamento e acompanhamento de remessas em tempo real, simplificação de liberações alfandegárias e reservas para transporte de cargas. Internamente a equipe da DFDS emprega mais de 200 desenvolvedores para manter e inovar seu pacote de produtos.
Quando a equipe da DFDS realizou uma auditoria completa do pipeline de desenvolvimento, inclusive aplicativos e ambientes de nuvem, descobriu lacunas significativas de visibilidade da segurança. Além disso, constatou diversos níveis de maturidade de segurança em toda a organização. Algumas equipes tinham melhor observabilidade do número de vulnerabilidades e uma boa compreensão da segurança dos aplicativos. As demais equipes, não. Cada equipe usava sua própria combinação de ferramentas de código aberto e comerciais, em vez da adoção de uma abordagem padronizada da segurança.
A equipe da DFDS precisava de uma nova solução para facilitar práticas consistentes de segurança em toda a empresa. No entanto, outro fator importante era que os controles não restringissem ou retardassem os desenvolvedores.
“No final das contas, o maior risco era a falta de observabilidade da supply chain”, afirmou John Smith, arquiteto de domínio de SecOps. “Os níveis de maturidade variavam entre as diversas equipes e grupos.”
A solução: Snyk Open Source e Snyk Code
A equipe da DFDS decidiu usar o Snyk Open Source e o Snyk Code em todos os grupos de desenvolvimento para proteger código próprio e de terceiros. O Snyk foi escolhido pela simplicidade de implementação e disponibilidade de sólidos recursos de geração de relatórios.
“Em várias alternativas que encontramos, ainda era necessário colocar um arquivo YAML ou de conflitos em cada repositório”, explicou John. “O maior problema é que, se eu disser aos proprietários de produtos que eles precisam criar um tíquete ou PBI para cada repositório, eles responderão que não têm tempo para isso. Como o Snyk não tem esse inconveniente, consegui criar um processo de implantação que não exige nenhuma intervenção dos proprietários de produtos.”
Outro recurso que encantou a equipe da DFDS foi a atuação do Snyk como “companheiro de segurança” para todos os desenvolvedores, independentemente do nível de experiência. O Snyk Learn começou a ser usado na plataforma para facilitar uma melhor conscientização de segurança.
De acordo com John, “A mensagem importante era fazer as pessoas entenderem ou, pelo menos começarem considerar a aplicação de uma mentalidade de segurança aos sprints. Além disso, refletir um pouco... ‘Vamos examinar os dados que temos e tentar eliminar os maiores problemas’.”
Ferramentas e treinamento certos para o sucesso da segurança
Depois de implementar as soluções de código próprio e de terceiros da Snyk e usar o Snyk Learn para treinar os desenvolvedores, a equipe da DFDS notou um interesse geral nas correções de segurança. Os desenvolvedores se esforçavam para encontrar e corrigir vulnerabilidades. A aplicação de segurança evoluiu de um problema gigantesco e não resolvido para uma iniciativa viável e animadora em todas as equipes de desenvolvimento.
“Desde a implementação do Snyk, percebemos muitas perguntas como ‘O que é isso?’ ‘O que é CVE?’ ‘O que é Mitre?’”, comentou John. “As pessoas estão realmente começando as ler os detalhes das vulnerabilidades no Snyk Learn e tentando entender, por exemplo, o que é uma injeção de SQL. Isso mostra que, com a Snyk, estamos começando a criar indiretamente uma cultura de curiosidade. E essa cultura de curiosidade sobre a segurança é excelente. Se conseguirmos transformar esses curiosos em defensores da segurança, poderemos influenciar as equipes.”
O impacto: redução de vulnerabilidades e aumento de curiosidade
Após a adoção da Snyk, a equipe da DFDS reduziu em 50% todas as vulnerabilidades até hoje. Há algumas semanas, ela relatou zero vulnerabilidades críticas maduras. Agora, o plano é incorporar mais amplamente a Snyk nos IDEs nativos das equipes de desenvolvimento para incentivar a adoção contínua da ferramenta.
“Como \[os desenvolvedores] contam com controles de qualidade e fizeram os sprints de segurança, não precisam mais dedicar tanto tempo às vulnerabilidades críticas em seu dia a dia.”
Graças à Snyk, a DFDS pode adotar uma abordagem de segurança proativa, capacitando os desenvolvedores a liberar produtos e atualizações futuros com agilidade e segurança.