O desafio: acompanhar as vulnerabilidades de código aberto em todo o ecossistema da software supply chain
O ShopBack Group, a principal plataforma de compras, recompensas e pagamentos da região Ásia-Pacífico, atende a mais de 38 milhões de compradores. O grupo trabalha com mais de 15.000 parceiros comerciantes online e em lojas, gerando anualmente mais de US$ 3,7 bilhões em vendas.
No ano passado, o ShopBack ampliou seus serviços financeiros com o lançamento dos produtos ShopBack Pay e PayLater. Cerca de 300 desenvolvedores em Singapura, Vietnã e Taiwan trabalham na manutenção e ampliação da plataforma.
A equipe do ShopBack estava preocupada com vulnerabilidades críticas de código aberto, como o Log4j. Essencialmente, ela precisava de uma forma de compreender, analisar e resolver as vulnerabilidades de código aberto em seu software, mas não sabiam por onde começar.
Dipin Thomas, gerente de engenharia, explicou: “Quando uma vulnerabilidade aparecia no mercado, todos trabalhavam para corrigi-la. Para nós, era difícil entender analisar e questões como ‘Estamos vulneráveis?’ ou ‘Como podemos corrigir facilmente essa vulnerabilidade?’.”
A solução: Snyk Open Source
A equipe do ShopBack implementou o Snyk Open Source para descobrir e corrigir vulnerabilidades de código aberto. Conhecendo a Snyk por meio de sua parceria premium com a AWS, o grupo decidiu realizar uma avaliação do Snyk e algumas ferramentas semelhantes. O grupo testou os recursos dessas soluções de segurança usando um conjunto de bases de código comuns. O Snyk Open Source se destacou das demais soluções devido às integrações com pipelines e aos recursos de CLI.
“Os maiores diferenciais foram o suporte à rede privada do GitLab, a fácil integração com GitLab CI e a agilidade dos resultados”, afirmou Dipin. “Além disso, o Snyk disponibiliza vários recursos na CLI. Por exemplo, é possível filtrar ou direcionar vulnerabilidades específicas por nível, tipo ou localização. A maioria das outras ferramentas que usei não oferecem esse mecanismo de filtragem. Em vez disso, recebo o relatório inteiro e precisamos criar um mecanismo de filtragem. É muito mais inconveniente.”
Além disso, a equipe do ShopBack usa a inteligência de segurança da Snyk para se manter informada sobre CVEs, divulgações de terceiros provedores e outras questões de segurança pertinentes.
De acordo com Tao-Sheng Chen, vice-presidente de engenharia, “Você nunca sabe quando uma nova vulnerabilidade de código aberto será anunciada. A evolução é rápida e um aplicativo que hoje você considera seguro poderá conter amanhã uma nova vulnerabilidade. É ótimo contar com uma fonte confiável de informações sobre todos os nossos softwares de terceiros. Nossos desenvolvedores são os primeiros a saber sobre qualquer vulnerabilidade crítica.”
Recursos para encontrar e corrigir vulnerabilidades
Além disso, os desenvolvedores do ShopBack gostam dos recursos de correção automática da plataforma Snyk Open Source. Em vez de procurar soluções para cada vulnerabilidade descoberta, os desenvolvedores simplesmente clicam em um botão para corrigir o problema em questão de segundos. A equipe também aprecia a fácil integração desse recurso com seu ecossistema, que inclui arquivos Node.js e Docker.
Dipin comentou que “Com o recurso de autocorreção, o desenvolvedor não precisa pesquisar e ficar imaginando ‘Como resolvo isso?’. Em vez disso, é só clicar em um botão para preparar a correção ou o upgrade correto. Em seguida, basta mesclá-lo.”
O impacto: resultados positivos em menos de 60 dias
Embora a implementação da Snyk seja recente, a equipe do ShopBack já nota resultados significativos. A visibilidade da postura de segurança da software supply chain está muito maior. Em 30 dias, essa melhoria reduziu em 16% as vulnerabilidades de gravidade crítica e alta. E a adoção do Snyk Open Source pelos desenvolvedores para proteger projetos aumentou em 247% nos últimos dois meses.
Agora que já conta com uma solução de segurança, a equipe pretende passar pelo processo de certificação ISO. Além disso, ela espera avaliar outras soluções Snyk no futuro.
Segundo Tao-Sheng, “Acredito que tivemos sucesso nessas etapas iniciais porque a plataforma está bem integrada ao nosso ecossistema. Esperamos continuar sendo bem-sucedidos com a continuidade da adoção da ferramenta.”