O desafio: Práticas de segurança obsoletas de difícil escalabilidade
A Panther tinha várias práticas de segurança implementadas. No entanto, a crescente base de clientes dificultava a manutenção manual dessas práticas em grande escala. Além disso, a empresa precisava garantir que o programa de segurança continuasse cumprindo os padrões do SOC2. Para ajudar a empresa a aumentar a escala sem interferir com o cumprimento dos requisitos de conformidade, a Panther queria adotar práticas de segurança novas e aprimoradas para automatizar a segurança de aplicativos desenvolvidos em diversas linguagens e a garantia de qualidade em todo o ciclo de vida do desenvolvimento de software (SDLC). Para isso, eram necessárias novas ferramentas que permitissem detectar vulnerabilidades em Go, Python e JavaScript em dependências de código aberto e código personalizado. Com uma pequena equipe de engenheiros, a Panther precisava de uma solução de segurança que oferecesse proteção abrangente e práticas de desenvolvimento ágeis em grande escala.
“Nossos clientes queriam saber o que fazíamos para proteger seus dados”, disse Joren McReynolds, diretor de engenharia da Panther Labs. “Um componente essencial dessa proteção é garantir que o código do produto seja examinado de forma inteligente e automática para detectar vulnerabilidades introduzidas por dependências de pacotes ou pelo código que desenvolvemos. Queremos garantir que todo o código que fornecemos mantenha a segurança das informações dos clientes.”
A solução: habilitar decisões rápidas e correção automática
A Panther considerou vários produtos em sua busca por uma solução automatizada de verificação de segurança. Após avaliar soluções de código aberto e comerciais, o Snyk Open Source e o Snyk Code mostraram oferecer os resultados de segurança mais voltados a desenvolvedores, baseados em contexto e acionáveis. Além disso, ao analisar e validar código durante as solicitações de pull, o Snyk permitia que os engenheiros detectassem problemas logo no início do processo de desenvolvimento, possibilitando a correção rápida e eficiente dos problemas pela própria Panther.
“Percebemos que a Snyk realmente capacita os engenheiros a tomar decisões rápidas”, afirmou McReynolds. “Ela capacita os engenheiros com o conhecimento necessário para tomar decisões mais seguras sobre atualizações ou correções em nosso próprio código, em pacotes ou em dependências de terceiros. Além de saber se uma atualização é necessária, eles também veem detalhes sobre o esforço necessário para essa atualização. Em muitos casos, a automação do Snyk permite aplicar correções simplesmente clicando em um botão verde no GitHub para mesclar a solicitação de pull gerada automaticamente.”
Snyk Code permite corrigir vulnerabilidades a tempo
A Panther descobriu que a Snyk podia capacitar a equipe de desenvolvedores para começar a aplicar verificações de segurança logo no início da fase de criação usando testes estáticos de segurança de aplicativos (SAST). A Panther adotou o Snyk Code para habilitar a conscientização de vulnerabilidades o mais cedo possível nos fluxos de trabalho de desenvolvedores. Durante o período de avaliação, a Panther percebeu que as outras ferramentas de SAST eram limitadas por verificações lentas, baixa precisão e/ou detalhamento e abrangência limitados. No entanto, o Snyk Code foi projetado para oferecer sugestões eficientes e acionáveis para correção imediata de vulnerabilidades à medida que os desenvolvedores criam código, antes da implantação.
“O Snyk Code nos deu a capacidade inédita de ampliar nosso arsenal”, comentou McReynolds. “Ele analisa rapidamente o código que escrevemos e fornece informações legítimas e acionáveis que os engenheiros podem usar no desenvolvimento e nos fluxos de trabalho de compilação. A exibição da Snyk permite que os engenheiros encontrem rapidamente problemas de código, outras fontes para esse problema e exemplos de soluções executadas por outros engenheiros do setor. Isso nos proporciona resultados significativos de análise estática que podemos usar imediatamente.”
Segurança abrangente de código aberto
Como provedor de segurança, a Panther trabalha com clientes de grande porte. Para eles, é imperativa a monitoração ativa de vulnerabilidades em código e bibliotecas de código aberto. O Snyk Open Source monitora todas as dependências e permite que a Panther identifique e corrija problemas graves assim que aparecem. O Snyk fornece orientações acionáveis para corrigir todos os problemas de segurança descobertos. Além disso, o Snyk ajuda os desenvolvedores a economizar tempo, corrigindo os problemas priorizados por gravidade e possível impacto.
Segundo McReynolds, “De um ponto de vista abrangente, não há nenhum produto como o Snyk. O Snyk sempre encontra mais pacotes vulneráveis em menos tempo que qualquer outro produto. Em comparação, os outros produtos simplesmente se arrastam.”
O impacto: confiança com segurança integrada em grande escala
A avançada solução de SAST da Snyk, implementada pela Panther em conjunto com a verificação de dependências de código aberto, garante a entrega de tarefas de segurança detalhadas e acionáveis diretamente a engenheiros, sem complicar seus fluxos de trabalho ou exigir especialização em segurança. Além disso, o Snyk é integrado ao processo de criação e ajuda a priorizar vulnerabilidades para acelerar a correção. Dessa forma, a Snyk permitiu que a Panther aumentasse a escala dos negócios e ofereceu visibilidade completa e qualidade aprimorada de software para os recursos inovadores desejados pelos clientes.
“Com a Snyk, realmente podemos aumentar rapidamente a escala dos negócios”, afirmou McReynolds. “O Snyk se integra automaticamente ao GitHub. Basta clicar em alguns botões e usar. Não preciso contratar uma pessoa em tempo integral dedicada a vulnerabilidades ou analisar código todos os dias. Podemos manter o foco no desenvolvimento, sabendo que os aplicativos são analisados para detectar dependências de pacotes vulneráveis e que a base de código foi totalmente verificada. É uma história interna forte, para nós e para os clientes.”
Com o Snyk, a Panther adotou uma abordagem de segurança voltada à engenharia sem retardar a implantação. As soluções automatizadas da Snyk detectam problemas de código e vulnerabilidades de segurança antes da mesclagem do código. Assim, as equipes de engenharia da Panther sabem que a segurança foi validada antes que o aplicativo chegue aos ambientes de preparação ou produção. Além disso, cada uma dessas ações ajuda a Panther a manter a conformidade com SOC2, entre outros padrões.
Nas palavras de McReynolds, “Na essência, com a Snyk, podemos manter o foco no crescimento da empresa, em vez de nos dedicarmos a desafios de segurança complicados que não estamos totalmente capacitados a resolver. Estamos muito satisfeitos com o ROI que obtemos do Snyk. Além de nos ajudar a cumprir obrigações de conformidade, ele oferece resultados significativos e acionáveis que aumentam a segurança dos nossos produtos. Dessa forma, temos confiança na qualidade do código que entregamos aos clientes.”
