O desafio: usar uma pequena equipe de AppSec em um ambiente de grande escala
Uma das maiores plataformas de redes sociais atuais, o Reddit se dedica a criar comunidades no estilo de fórum em que as pessoas discutem interesses comuns. No entanto, com o crescimento da empresa, aumentou o número de repositórios de código e a abrangência de tecnologias utilizados pela plataforma. O Reddit formalizou suas iniciativas de AppSec adotando a Snyk para mitigar riscos na base de código em evolução.
Além disso, a pequena equipe de segurança do Reddit foi encarregada de aumentar a escala de suas atividades entre diversas equipes de desenvolvimento com cerca de 600 engenheiros. Com a plataforma Snyk já disponível para análises da composição de software, o Reddit precisava de uma API robusta e facilmente integrável à toda a pilha de tecnologia para automatizar tarefas tediosas de AppSec.
“Até há pouco tempo, eu era a equipe de segurança do Reddit”, revelou Spencer Koch, profissional de segurança do Reddit. “Quando você tem apenas alguns repositórios, é fácil interagir com a interface de usuário da Snyk, mas o Reddit tem mais de mil repositórios. Eu não tinha a opção de simplesmente navegar pela interface de usuário para resolver problemas, adicionar repositórios ou lidar com outras tarefas administrativas.
A solução: usar a API da Snyk para correções automáticas
A interface de usuário da Snyk é conveniente para organizações que têm apenas alguns repositórios de código, mas não era eficiente fazer alterações manuais na escala necessária para o Reddit. A API da Snyk, além de automatizar as tarefas repetitivas do Reddit, também integrou perfeitamente a verificação de segurança ao GitHub Enterprise (GHE). Com essa integração, o Reddit pode detectar automaticamente vulnerabilidades de código aberto e corrigi-las usando solicitações de pull.
“Depois de limpar nossos repositórios, alteramos o script para causar a falha de solicitações de pull que continham qualquer vulnerabilidade de segurança”, afirmou Koch. “Dessa forma, o Reddit migrou a abordagem das correções de um modelo reativo, iniciado pela equipe de segurança, para um modelo voltado a desenvolvedores e sob seu controle. Usar a API da Snyk foi a única forma de conseguirmos gerenciar todo esse trabalho.”
A API e o wrapper Python da Snyk
Além de usar diretamente a API da Snyk, o Reddit também utiliza o wrapper Python da Snyk. Como uma grande parte da pilha de tecnologia do Reddit foi desenvolvida em Python, o cliente pysnyk se integra perfeitamente às ferramentas atuais dos desenvolvedores. Essa forte integração reduziu inconvenientes e acelerou a adoção da plataforma Snyk no fluxo de trabalho dos desenvolvedores. Por sua vez, a equipe de segurança do Reddit obteve, de forma imediata, insights sobre os riscos de vulnerabilidades nos aplicativos.
Além disso, o Reddit também criou uma integração com o GHE, disponibilizada posteriormente como código aberto para a comunidade de AppSec. O Reddit criou o snyk-sync para executar um trabalho de cron agendado regularmente todas as semanas para sincronizar todas as alterações com os repositórios do GHE. Entre essas alterações, estavam a adição de novos repositórios ou remoção dos repositórios inativas, a definição das configurações adequadas para a integração com o GHE e a emissão de alertas quando era necessário executar uma etapa manual de CI no Snyk CLI. O Reddit também usa o pysnyk para executar ações em massa, como supressão de problemas sinalizados em bases de código de terceiros ou projetos de código aberto que não são relevantes para a base de código do Reddit.
“Gostamos da Snyk pela sua capacidade de centralizar algumas ferramentas e por podermos interagir em grande escala com os fluxos de trabalho dos desenvolvedores”, disse Koch.
“A Snyk tem um foco intenso nos desenvolvedores e foi fácil aumentarmos a escala horizontal sem interromper as atividades de desenvolvimento. Os testes de solicitação de pull com o GHE para obtermos feedback dos desenvolvedores se adaptaram muito bem aos nossos fluxos de trabalho atuais, reduzindo inconvenientes.
O impacto: aumento de escala da segurança para mais de 1000 repositórios
Usando a API e o cliente Python da Snyk, o Reddit acelerou drasticamente a obtenção de observabilidade de segurança e gerenciamento de vulnerabilidades, recursos úteis para desenvolvedores e engenheiros de segurança. Na verdade, a equipe de segurança do Reddit implementou a plataforma Snyk em poucas semanas, abrangendo a maioria da base de código do Reddit com relativa facilidade e conseguindo verificar dependências de código aberto em grande escala, o que levou a um rápido retorno sobre o investimento.
“O elemento humano é extremamente importante”, destacou Koch. “Sem a API da Snyk, várias tarefas de segurança levariam muito tempo, considerando a escala do Reddit. As automações reduziram a sobrecarga operacional e o custo total de propriedade da adoção da plataforma Snyk.”