一目でわかる
- SCA、SAST、コンテナスキャンを単一のプラットフォームに統合します。
- 数週間で100のリポジトリに、1人のエンジニアで統合されました。
- GitLab、GitHub、Azure DevOps全体で100人の開発者をサポートします。
- F#、Rust、C++、C#、Python、React/Typescriptに対応した多言語AppSecサポートを提供します。
- マージリクエストワークフローを通じて、早期の修正を可能にします。
- 実用的なインサイトにより、AutoStore のセキュアソフトウェア開発ライフサイクル (SSDLC)を推進します。
- Black DuckおよびEndor LabsよりもAikido Securityを選択しました。
課題
AutoStoreのエンジニアリング組織は成長し多様化し、世界中の多くの言語、コードベース、オフィスで100人近い開発者が働いていました。一部のチームは強力なセキュリティ習慣を持っていましたが、他のチームは一貫性のないプロセスやレガシーなワークフローに依存しており、不均一なカバレッジを生み出していました。同社がよりクラウドネイティブな開発に拡大するにつれて、これらのギャップの管理がより困難になりました。
エンジニアリングマネージャーとCISOは、AutoStoreのセキュアソフトウェア開発ライフサイクル(SSDLC)を強化し、会社全体でセキュリティがどのように扱われるかに明確さと一貫性をもたらすことを目指しました。
AutoStoreは、レガシーおよびクラウドネイティブなリポジトリ全体でAppSecの完全な可視性を提供し、多様な技術スタックをサポートし、GitHub、GitLab、Azure DevOpsと直接統合できるプラットフォームを必要としていました。
AutoStoreのセキュリティソフトウェアエンジニアであるVegard Syre Aaker氏は、「もちろん、100人の開発者や10のチームが独自に物事を行う場合、良いプラクティスもあれば、そうでないプラクティスも出てきます」と述べました。
一方、歴史的にC++システムを中心に構築されてきたオープンソースのリスクプロセスは、最新の開発環境をサポートするためにスケールできませんでした。
「私たちは、すべてのプログラミング言語に対応し、GitHub、GitLab、その他のシステムと連携できるセキュリティツールを探していました。私たちのリポジトリは非常に多様であるため、これは容易ではありませんでした。Aikidoは、私たちが必要とするすべてをサポートできる数少ないツールの1つでした。」
開発者主導の選定
Vegard氏の以前の開発者としての経験が、AutoStoreの評価に影響を与えました。チームは、開発者が実際に使用し、既存のワークフローに摩擦なく統合できるAppSecプラットフォームを必要としていました。
「開発者を力づけることができると確信しているツールを探していました。実際に彼らが採用し、私たちのプロセスとうまく統合できるものです」
この開発者ファーストの要件は、Aikidoのアプローチと強く一致していました。
ソリューション
AutoStoreは、Endor Labs、Black Duck、およびオープンソースツールと並行してAikidoを評価しました。Aikidoは、その直感的な操作性、多言語AppSecサポート、そして複数のセキュリティ機能を単一のプラットフォームに統合できる能力で際立っていました。
「概念実証の際、シンプルで直感的なインターフェースが気に入りました。また、Aikidoは統合が容易で、多くのセキュリティツールを1つのスイートにまとめ、1つのダッシュボードで提供していたため、選択しました。」
Aikidoは、使用されているすべての主要言語をサポートし、複雑なC++ライブラリに対して直接統合とローカルスキャンの両方を提供しました。GitHubとAzure DevOpsはプロセスの初期段階でスムーズに統合されましたが、GitLabの展開はプラットフォームのスケーラビリティを実証しました。
「GitLabの統合のほとんどは、1人のセキュリティエンジニアがわずかな支援で、わずか数週間で完了しました。これには約100のリポジトリと100人の開発者が含まれていました」
Aikidoの迅速なサポートと柔軟性は、デプロイメントの速度に貢献しました。
「統合とロールアウト中のほとんどの問題は、Aikidoと協力して迅速に解決されました。また、必要に応じてソフトウェアに変更を加えることにも柔軟に対応してくれます。」
なぜAutoStoreはAikidoを選択したのか
AutoStoreがAikidoを選んだ理由は次のとおりです。
- C++、Rust、F#を含む、現在使用されている主要なすべての言語をサポートします。
- GitHub、GitLab、Azure DevOpsと直接連携します
- SCA、SAST、コンテナスキャンを単一のプラットフォームに統合します。
- 開発者ファーストのワークフローとマージリクエストの可視性を提供します。
- ノイズを削減し、優先順位付けを導く実用的な結果を提供します
結果
Aikidoは、すべてのチームとリポジトリにわたる脆弱性の一貫したビューを提供します。
「開発者とセキュリティエンジニアは、リスクと脆弱性について、はるかに優れた可視性を得られるようになりました。これは時間の経過とともに私たちのアプリケーションのセキュリティを向上させると確信しています」
Aikidoのマージリクエストワークフローは、問題を早期に発見し、開発者のエンゲージメントを向上させるのに役立ちます。
「マージリクエストのコメントとして表示され、場合によってはブロックされることで、アプリケーションのセキュリティは時間とともに向上するでしょう。」
AikidoはAutoStoreが新たに開示された脆弱性を迅速に検証することも可能にしました。SOCプロバイダーが新たな依存関係の問題を指摘した際、Aikidoはすでに分析結果を提供していました。
「Aikidoのブログ投稿を確認したところ、その脆弱性がすでに数日間追跡されていることがわかりました。私たちのコードベースが影響を受けているかどうかをすぐに確認できました。」
AutoStoreはAikidoの利用をどのように拡大していますか?
すでに利用中
導入計画
次の評価
「私たちのアプリケーションの1つでAIペネトレーションテストを試します。これは、外部ペネトレーションテストの一部を置き換える可能性を秘めています。」
SSDLCの最も実用的なレイヤーとしてのAikido
Vegard氏は、セキュアな開発ライフサイクルには、リスク管理、脅威モデリング、ペネトレーションテストなど、多くのコンポーネントが含まれることを強調しています。実際には、Aikidoがこのフレームワークの中で最も実用的な部分となりました。
「組織の他のメンバーは、Aikidoが実行可能であるため、非常に注目しています。他のより曖昧なトピックと比較して、はるかに実行可能です。」
明確なステップ、迅速な可視性、および開発者中心のワークフローにより、チームは共同でセキュリティを強化できます。
「もしもう一度やるとしたら、かなり迅速にセキュリティツールを選び、その上に構築したでしょう。」
最終的な評価
「Aikidoは、エンジニアリングチームが脆弱性を効果的に管理できるようにする、焦点を絞った製品を提供しています。彼らは使いやすさを明確に優先しており、これにより脆弱性管理がアクセスしやすく、実用的なものになっています。」
