O Desafio: processos de segurança eficientes para comportar a expansão
Nos últimos anos, a Smartsheet mais que dobrou seu quadro de colaboradores. À medida que a empresa cresce, sua equipe de engenharia se esforça para garantir a instituição de práticas de segurança duradouras para defender a plataforma contra ameaças. Com a expansão das operações, os desenvolvedores precisam proteger os produtos da forma mais fácil e eficiente possível, alavancando a automação da segurança de aplicativos.
"Estamos avançando bastante no desenvolvimento de software. Por isso, enfrentamos o desafio de garantir que o código aberto que usamos tenha um gerenciamento de segurança e riscos adequado", explica Chris Peake, CISO da Smartsheet. "Mas também tem um outro lado: os licenciamentos, tanto do ponto de vista legal quanto da perspectiva da segurança."
A Smartsheet queria automatizar a verificação de vulnerabilidades e o gerenciamento de licenças do seu código aberto para capacitar os desenvolvedores a administrar a segurança e, ao mesmo tempo, atender ao crescimento da criação de software. Para isso, os desenvolvedores precisavam de uma ferramenta que pudesse sinalizar problemas automaticamente, no momento certo e com as informações contextuais certas, permitindo-lhes tomar decisões mais rápido e preservar a segurança da empresa.
"Para a nossa equipe pequena, criar uma ferramenta de segurança capaz de impulsionar a ação do desenvolvedor não era uma solução realista", lembra Jason Bubolz, engenheiro principal de segurança da Smartsheet. "Com a Snyk, conseguimos fomentar a ação do desenvolvedor ao fornecer automaticamente a inteligência de ameaças e as correções necessárias."
A solução: segurança eficiente com foco no desenvolvedor
Ao procurar uma solução, a Smartsheet avaliou quatro produtos: Snyk, Whitesource, Blackduck e Veracode. A avaliação comprovou que o Snyk Open Source era a ferramenta mais útil, acionável e focada no desenvolvedor, pois permitia adoção uniforme e integração rápida. A equipe da Smartsheet também ficou impressionada com a capacidade da Snyk de apresentar opções de remediação acionáveis para o desenvolvedor.
"O banco de dados de vulnerabilidades da Snyk é o mais abrangente e detalhado disponível", reconhece Bubolz. "Para o engenheiro que está tentando oferecer boa segurança, a Snyk tem uma solução melhor em cada ponto do ciclo de desenvolvimento de software. Agora nossos engenheiros têm acesso às informações e às ferramentas necessárias no momento da tomada de decisões. Esse é o valor que continuo a ver na Snyk."
A Snyk identifica o upgrade mínimo necessário para solucionar uma vulnerabilidade e avisa quando existe um risco de violação do código. Esses resultados precisos e pontuais são fundamentais para que a empresa capacite a equipe de desenvolvimento a tomar decisões sobre proteção sem depender da equipe de segurança.
Snyk Container: desenvolvedores capacitados para prevenir vulnerabilidades
A Smartsheet sabia que precisava criar uma experiência sem atritos para que os desenvolvedores pudessem melhorar a segurança dos contêineres, então integrou o Snyk Container aos seus fluxos de trabalho de desenvolvimento. Como o Snyk Container funciona em toda a SDLC, ele ajuda a Smartsheet a corrigir problemas logo no início, identificando vulnerabilidades prioritárias antes que o contêiner entre em produção.
"Nossos desenvolvedores usam o feedback da Snyk para saber se devem escolher uma imagem de base específica no início do processo de desenvolvimento", descreve Bubolz. "Isso serve como um sinal claro para eles e evita que desperdicem muito tempo analisando outra opção."
A API da Snyk: automação do gerenciamento e administração de dados
Ao avaliar ferramentas de verificação de segurança, a Smartsheet examinou as APIs de várias opções e viu que a Snyk oferecia a solução de implementação mais simples. A equipe da empresa usou a API da Snyk para automatizar o relatório de dados de vários projetos e gerenciar o manejo de centenas de repositórios do GitHub.
"Eu precisava de dados para alimentar automaticamente outro sistema que realizaria ações para mim", explica Bubolz. "Eu sou apenas um, mas há mais de 400 desenvolvedores criando código todos os dias na Smartsheet. A API da Snyk me diz quando há um novo repositório ou quando outra pessoa assume um repositório. Sem uma API eficaz, não conseguiríamos usar qualquer produto de verificação de segurança."
O impacto: vulnerabilidades eliminadas quase imediatamente com o foco da Snyk no desenvolvedor
Graças à abordagem colaborativa adotada pela Snyk para integrar novos clientes, o programa da Smartsheet foi um sucesso desde o início. A Snyk dedicou tempo para compreender como a ferramenta se ajustava ao ecossistema mais amplo da empresa, integrando-a a cada pipeline de integração contínua (CI).
"Antes mesmo da integração completa, a Snyk já cumpria seu objetivo", lembra Bubolz. "Depois que o aplicativo enviava um e-mail aos desenvolvedores, era mais fácil resolver logo o problema, o que os deixava com mais vontade de arregaçar as mangas e cuidar da segurança por conta própria."
A facilidade de implementação contribuiu para os desenvolvedores assumirem a responsabilidade pela segurança
Com o rápido processo de integração da Snyk, a Smartsheet pôde começar imediatamente a trabalhar sem sobrecarregar desnecessariamente suas equipes de segurança e desenvolvimento. Como a Snyk é usada em toda a SDLC, os engenheiros agora lidam com problemas que podem resolver, em vez de uma série de falhas que precisavam analisar para determinar soluções por conta própria. A Snyk relata problemas de segurança acompanhados do contexto necessário, e o desenvolvedor consegue implementar a grande maioria das correções; em alguns casos, com um só clique.
"Temos resultados melhores", diz Bubolz. "Nossas equipes nunca estiveram tão preparadas como agora para se concentrar na segurança."
Menos sobrecarga jurídica com o gerenciamento de licenças de código aberto
Antes da implementação da Snyk, o departamento jurídico da Smartsheet tinha o desafio de rastrear as licenças em uso em todas as dependências de produtos da empresa. A Snyk proporcionou à equipe jurídica e aos desenvolvedores visibilidade integral de todos os códigos licenciados de seus projetos em só lugar. Isso permitiu adotar um ritmo acelerado de desenvolvimento e, ao mesmo tempo, manter a conformidade com o licenciamento de software de código aberto e outros requisitos.
"O departamento jurídico gostou de poder saber quais produtos de código aberto estamos usando", comenta Peake. "Antes, eles tinham que manter a lista manualmente, o que dava muito trabalho. Um console de gerenciamento único é um grande benefício e agrega valor aos benefícios que a equipe obtém da Snyk."