O Desafio: adotar ferramentas modernas de verificação de segurança
O desafio da Visma consistia em manter a segurança em um conjunto diversificado de pilhas de tecnologia.
"Somos uma empresa grande, porém composta por mais de 200 empresas ou equipes menores espalhadas por vários países", explica Per Olsson, conselheiro de segurança de aplicativos da Visma. "Isso complica as coisas quando executamos um programa de segurança centralizado e de grande escala."
Por esse motivo, a empresa está sempre em busca de ferramentas de segurança mais modernas para continuar aprimorando sua postura em relação à segurança.
"Verificamos regularmente se estamos usando as melhores ferramentas disponíveis e concluímos que talvez a resposta fosse negativa em relação aos nossos recursos existentes", revela Nicolai Brogaard, responsável de Software Composition Analysis (SCA) e Static Application Security Testing (SAST) da Visma. "Queríamos migrar para a geração mais moderna de ferramentas de verificação de segurança."
A solução: escolher uma solução com foco no desenvolvedor
Ao avaliar ferramentas de segurança, a Visma percebeu que a capacidade de integrar desenvolvedores automaticamente e oferecer uma interface intuitiva era fundamental. O Snyk Open Source agora permite que mais de 140 equipes de desenvolvimento detectem e corrijam vulnerabilidades nas dependências de terceiros que utilizam. A interface intuitiva incentivou os desenvolvedores a adotar a ferramenta e assumir o cuidado pela segurança sem resistência.
"A principal métrica para o sucesso é a simplicidade de ambientação da ferramenta", conta Brogaard. "A introdução de novas ferramentas, principalmente no mundo da segurança, não é uma tarefa fácil. É preciso comprovar que a ferramenta traz vantagens significativas e, no caso da Snyk, a concordância foi unânime."
Além disso, o Visma Cloud Delivery Model (VCDM) é a estrutura de governança interna da empresa, que inclui o Visma Application Security Program (VASP). Como parte dele, a Visma tem um índice de maturidade que mede cada uma de suas empresas subjacentes usando inúmeras métricas, incluindo o grau de integração das ferramentas de segurança e a quantidade de vulnerabilidades pendentes. Com a API da Snyk, é fácil extrair esses dados de vários projetos de código.
A estratégia plug-and-play da Visma com a Snyk
Com o tamanho e a diversidade da pilha de tecnologia da Visma, as integrações proporcionadas pela Snyk também foram cruciais. Não existem limites de governança para as ferramentas que as equipes de desenvolvimento podem usar; o único requisito é a adoção das ferramentas de verificação de segurança definidas pela equipe responsável. É por isso que o forte ecossistema de plug-ins e integrações da Snyk foi um fator decisivo para permitir que os desenvolvedores da Visma usassem as ferramentas escolhidas com segurança.
"O problema da maioria dessas ferramentas de verificação de segurança é a exigência de um conhecimento prévio amplo, ou seja, não temos liberdade para implementá-las no ambiente sem o devido preparo", lamenta Brogaard. "Um dos diferenciais da Snyk é permitir que o desenvolvedor comece a trabalhar rápido e se familiarize por conta própria."
O impacto: visão das vulnerabilidades em 20.000 projetos
Desde a implementação da Snyk, a Visma realizou mais de 600.000 verificações em mais de 20.000 projetos de código. A maioria dessas verificações foi iniciada automaticamente durante o processo de desenvolvimento. Por meio desses esforços, a Visma conseguiu reduzir em 65% as vulnerabilidades graves e em 39% as vulnerabilidades críticas.
Quer saber mais sobre a jornada da Visma? Assista à apresentação da empresa na SnykCon 2021: Lessons learned from building a developer-first AppSec program (Lições aprendidas com a criação de um programa AppSec com foco no desenvolvedor).
