Aikido

Wie Believe mit Aikido AppSec in Frankreich, den USA und Japan unter einem Dach vereinte

Migriert von -
Open-Source-Tools,  
Semgrep,  
3
Kontinente unter einer Sicherheitsplattform
20→41%
Patch-Rate nach der Einführung von Aikido
1
Self-Service-Registrierung
1
Vereinheitlichte Ansicht über Code und Container

Auf einen Blick

  • Konsolidierte AppSec über globale Geschäftseinheiten hinweg auf einer Plattform
  • Verdoppelte die Patch-Rate innerhalb des ersten Jahres von 20 Prozent auf 41 Prozent
  • Die anfängliche Registrierung unter aikido.dev selbst vorgenommen, ohne Beschaffungsaufwand
  • Hat Container-Scanning in dieselbe Ansicht wie Code-Findings integriert
  • Neu veröffentlichte CVEs mit der Codebasis abgeglichen
  • Stellte Entwickelnden ein IDE-Plugin zur Verfügung, um Probleme direkt zu beheben, ohne ein Ticket zu öffnen.

Herausforderung

Eine globale Engineering-Präsenz mit regionalen Arbeitsweisen

Believe ist ein globales digitales Musikunternehmen mit Niederlassungen in Frankreich, New York und Japan. Yolanda Amorim leitet die Anwendungssicherheit innerhalb dieser verteilten Engineering-Organisation. Jede Region hatte ihre eigenen Arbeitsweisen und Werkzeugpräferenzen, was zu einer ungleichmäßigen AppSec-Abdeckung für ein Produkt führte, das eigentlich einheitlich sein sollte.

Yolanda benötigte eine Plattform, die alle regionalen Teams ohne Umschulung nutzen konnten, eine konsistente Ansicht für die Sicherheitsleitung und eine Feedback-Schleife, mit der die Entwickelnden tatsächlich interagieren würden, anstatt sie zu umgehen.

Believe benötigte keine vertriebsgesteuerte Evaluierung. Es ging darum, die Plattform auszuprobieren und den Wert intern nachzuweisen.

“Wir wollten uns auf ein Tool konsolidieren, das in unseren globalen Teams funktioniert. Die Self-Service-Option auf aikido.dev bedeutete, dass wir einfach loslegen konnten, ohne einen langen Beschaffungsprozess durchlaufen zu müssen.”

Lösung

Yolandas Team führte jede regionale Einheit auf Aikido mit derselben Konfiguration und demselben Workflow zusammen. SAST, SCA und Container-Scanning waren in einer einzigen Ansicht zusammengefasst.

Das sichtbarste operative Ergebnis war die Patch-Rate. Vor Aikido patchte Believe etwa 20 Prozent der identifizierten Schwachstellen. Nach der Konsolidierung und der Einführung von AutoFix und dem IDE-Plugin verdoppelte sich diese Zahl ungefähr.

“Unsere Patch-Rate stieg nach der Umstellung von 20 Prozent auf 41 Prozent. Das ist der Unterschied, ob Sicherheit ein Backlog-Element ist oder eine echte Engineering-Metrik.”

Wenn eine neue CVE veröffentlicht wurde, konnte Yolandas Team prüfen, ob sie davon betroffen waren, und die Pakete sichern, die in die aktuelle Release einfließen sollten.

“Letzte Woche kam ein Entwickelnder wirklich beeindruckt zu mir. Eine neue CVE war veröffentlicht worden, und wir hatten alle Pakete für diese Release gerettet.”

Warum Believe sich für Aikido entschied

Believe wog Aikido gegen die Beibehaltung des regionalen Flickenteppichs und gegen mehrere etablierte Anbieter ab. Die Entscheidung hing von einer kleinen Anzahl von Faktoren ab.

  • Eine Plattform, die Code und Container abdeckt
  • Self-Service-Onboarding unter aikido.dev ohne Beschaffungsaufwand
  • Abdeckung der mehreren Sprachen und Frameworks, die in globalen Teams verwendet werden
  • Ein IDE-Plugin, das Entwickelnde Probleme direkt beheben lässt
  • Ein reaktionsschneller Anbieter, wenn neu veröffentlichte CVEs eine schnelle Validierung benötigen

Ergebnisse

Aikido änderte die Dynamik von „das Sicherheitsteam bittet mich, dies zu beheben“ zu „dies ist Teil der Auslieferung der Änderung“. Yolandas Team führt auch gezielte Schulungen für Security Champions durch, die sich auf die Probleme konzentrieren, die jedes Team am häufigsten betreffen.

Zum ersten Mal kann die Sicherheitsleitung von Believe die Sicherheitslage in Frankreich, den USA und Japan anhand derselben Daten und Definitionen vergleichen.

Die Integration von Container-Scanning in Aikido zusammen mit Code-Findings schloss eine langjährige Lücke. Ergebnisse sind nicht länger auf zwei Konsolen und zwei Priorisierungsmodelle aufgeteilt.

Wie Believe seine Nutzung von Aikido erweitert

Wird bereits verwendet

Planung der Einführung

Als Nächstes in der Evaluierung

Fazit

“Aikido ist für mich ein Game Changer. Ein Tool, das mehrere Unternehmen abdeckt, und wir haben unser Sicherheitsniveau schneller erhöht, als ich erwartet hatte.”

Sicherheit jetzt implementieren

Sichern Sie Ihren Code, Ihre Cloud und Ihre Laufzeit in einem zentralen System.
Finden und beheben Sie Schwachstellen schnell und automatisch.

Keine Kreditkarte erforderlich | Scan-Ergebnisse in 32 Sek.