O desafio: adoção da segurança desde o início no setor de fabricação
A empresa desejava aprimorar a segurança de aplicativos em todas as unidades de negócios. Para isso, a adoção da segurança desde o início tornou-se uma iniciativa estratégica da Komatsu em 2022. Além disso, a equipe desejava consolidar as ferramentas para obter uma experiência mais integrada. Com a ajuda da Snyk, a Komatsu está liderando a adoção da segurança desde o início no setor de fabricação em geral.
“Estamos no processo de incorporar o modelo de maturidade de DevSecOps OWASP às nossas estratégias de DevOps”, afirmou Eric Cheng, arquiteto de soluções digitais da Komatsu. “Optamos por usar a Snyk e outras práticas para evoluir o nível do modelo de maturidade e eliminar as lacunas entre nosso estado atual e o futuro.”
A solução: adotar a Snyk para verificação de dependências de código aberto
Quando a Komatsu começou a procurar ferramentas de verificação de segurança, um dos fornecedores da empresa mencionou a Snyk. A Komatsu decidiu adotar o Snyk Open Source para realizar análises de composição de software (SCA). Com a nova ferramenta, equipes de desenvolvimento em toda a Komatsu conseguiram encontrar e corrigir possíveis vulnerabilidades nos pacotes de código aberto utilizados.
Um fator importante na decisão de adotar a Snyk foi a facilidade de uso. Para a Komatsu, foi muito fácil começar a usar o produto integrado ao Visual Studio e ao Azure DevOps para incorporar a Snyk aos fluxos de trabalho e processos de CI/CD atuais dos desenvolvedores. No futuro, a Komatsu planeja implementar a nova integração com Jira da Snyk para criar automaticamente tíquetes para problemas de segurança.
“É um desafio tentar mudar a cultura das equipes de desenvolvimento da empresa. A prioridade delas é criar funcionalidades. Queremos apoiar essa prioridade, mas também queremos priorizar a correção de vulnerabilidades. Como o Snyk é tão voltado a desenvolvedores, fica mais fácil conseguir sua adoção pelas equipes de desenvolvimento.” Chen acrescenta que “O feedback dos desenvolvedores tem sido muito positivo. Além disso, o feedback das equipes de segurança também é positivo, já que a Snyk oferece a tranquilidade de contar com recursos proativos de redução de riscos e monitoramento e resolução de problemas.”
Outro fator importante foi o tempo de verificação. Os desenvolvedores não queriam ficar aguardando a conclusão da verificação quando tentavam enviar código. A velocidade de verificação da Snyk, 100% maior que a solução anterior usada pela Komatsu, facilitou a adoção da plataforma.
“Comparada à ferramenta anterior, a verificação da Snyk é duas vezes mais rápida e muito mais integrada às ferramentas e aos processos”, comentou Cheng. “Além disso, a maior facilidade de navegação também deixa os desenvolvedores muito satisfeitos.”
Depois de avaliar a Snyk e a concorrência, a Komatsu optou pela Snyk pelo seu firme compromisso com a geração de inovação. A Snyk passou a ser uma parte essencial da estratégia de segurança da Komatsu.
A Snyk como um único painel
Após o êxito na adoção do Snyk Open Source, a Komatsu decidiu migrar os testes estáticos de segurança de aplicativos (SAST) do SonarCloud para o Snyk Code. Os desenvolvedores e equipes de segurança da Komatsu passaram a contar com um único painel para garantir a segurança do código de aplicativos e das dependências de código aberto.
Segundo Cheng, “É muito fácil usar o Snyk. Ter tudo dentro do Visual Studio é um grande facilitador. Um único local para ver qualidade de código e vulnerabilidade de código e dependências. Para nós, isso foi uma mudança de patamar. Em vez de usar duas ferramentas separadas, agora temos um único painel.”
O impacto: melhoria da postura de risco de aplicativos
Desde a adoção da Snyk, a Komatsu aumentou consideravelmente a visibilidade da segurança em todo o ciclo de vida de desenvolvimento de software. A principal medida de sucesso da Komatsu é a rapidez com que identifica vulnerabilidades de gravidade crítica e alta e o tempo para corrigi-las. Com os insights da Snyk durante o processo de desenvolvimento, a Komatsu conseguiu reduzir em 62% o tempo médio de correção no período de três meses após a implementação. Além disso, a Snyk ajudou a empresa a acompanhar as novas vulnerabilidades à medida que são descobertas, aprimorando em 28% a postura de riscos em um período de seis meses.
“A Snyk realmente capacitou os desenvolvedores a começa a pensar sobre segurança conforme desenvolvem o código”, explicou Cheng. “Essa mudança também aumentou muito a proatividade dos desenvolvedores na correção de vulnerabilidades. Eles são alertados sempre que novas vulnerabilidades são identificadas, o que permite priorizar seu trabalho.”
Outro benefício adicional foi a capacidade de descobrir antecipadamente vulnerabilidades com base no amplo banco de dados da empresa da Snyk. Das vulnerabilidades de gravidade média ou alta corrigidas pela Komatsu, 19% foram descobertas utilizando a Snyk. Um exemplo recente foi uma vulnerabilidade descoberta ao usar uma API com um aplicativo empresarial de uso frequente. A equipe de engenharia conseguiu corrigir a vulnerabilidade e emitir uma atualização.
“Começamos a usar bastante o Snyk em diversas áreas da empresa e conseguimos detectar muitas vulnerabilidades que antes passavam despercebidas. Além disso, o Snyk permite mitigar e resolver rapidamente essas vulnerabilidades logo no início do ciclo de desenvolvimento.”
No ano passado, o foco da Komatsu era operar o Snyk para melhorar a visibilidade da postura de segurança dos aplicativos. Para a equipe de Cheng, os próximos passos são aumentar a maturidade do programa de AppSec com modelagem de ameaças, padronizar o processo de gerenciamento de vulnerabilidades, aprimorar os relatórios de segurança e outras práticas recomendadas.
“Estamos muito satisfeitos com a Snyk. Sempre que falamos com outros fornecedores sobre segurança, recomendamos a Snyk”, concluiu Cheng. “Dessa forma, nossas práticas de segurança são repassadas para esses fornecedores que, por sua vez, entregam produtos muito mais seguros aos nossos clientes.”