O desafio: vulnerabilidades de código aberto causavam um gargalo em processos manuais de segurança
A Natera implementou várias práticas de segurança, mas elas exigiam que os desenvolvedores verificassem manualmente páginas de falsos positivos. Como a rápida obtenção de insights baseados em dados é essencial para o sucesso dos negócios, a empresa queria adotar novas práticas de segurança para ajudar a automatizar a segurança de aplicativos e a garantia de qualidade dentro do ciclo de vida do desenvolvimento de software (SDLC). Para isso, eram necessárias novas ferramentas de descoberta e gerenciamento de vulnerabilidades em código aberto, código personalizado, infraestrutura e contêineres. Com uma equipe de mais de 200 desenvolvedores trabalhando em vários projetos, a Natera precisava de uma abordagem de DevSecOps ampla e de fácil adoção por todas as equipes.
“Nossas revisões eram manuais. Recebíamos a solicitação de pull e tentávamos designar pessoas para resolver os problemas. A segurança era apenas um gargalo”, disse Charlotte Townsley, diretora de engenharia de segurança da Natera. “Eu queria criar e normalizar a prontidão de segurança. Precisávamos de segurança intrínseca e adoção integral da engenharia durante todo o SDLC. Portanto, era necessário aprimorar a colaboração, a conscientização, as habilidades e as ferramentas. O resultado de tudo isso seria bastante valor para a organização.”
A solução: habilitar segurança em todo o processo de desenvolvimento de aplicativos
Ao procurar uma solução, a Natera avaliou vários produtos: Snyk, SonarQube, Blackduck e Veracode. A avaliação comprovou que a Snyk Cloud Native Application Security Platform era a ferramenta mais útil, acionável e concentrada no desenvolvedor, pois permitia adoção uniforme e integração rápida. A plataforma capacita os desenvolvedores a assumirem o controle da segurança em todo o aplicativo, desde código e código aberto até contêineres e infraestrutura de nuvem.
“Escolhemos o Snyk porque é adequado à organização e às nossas metas”, afirmou Townsley. “É um bom projeto, fácil de usar e simples para a equipe de engenharia. O pacote foi bem projetado para examinar dependências, código personalizado, contêineres e infraestrutura como código. É completo.”
Snyk Code permite corrigir vulnerabilidades desde o início do desenvolvimento
A Natera queria garantir que toda a equipe de desenvolvimento assumisse o controle da segurança. Essa visão exigia testes estáticos de segurança de aplicativos (SAST) para oferecer conscientização de vulnerabilidades o mais cedo possível no fluxo de trabalho. A Natera constatou que outras ferramentas de SAST eram limitadas por verificações demoradas com baixa precisão. No entanto, o Snyk Code foi projetado para oferecer sugestões eficientes e acionáveis para correção de vulnerabilidades à medida que os desenvolvedores criam código em interfaces nativas, antes da implantação.
“A decisão foi fácil. Examinamos algumas outras ferramentas, mas não encontramos nada que oferecesse o mesmo tipo de verificações fora das fases de pré-implantação ou implantação. Simplesmente não há nada que se compare.”
Integração com IDE para segurança de código personalizado e aberto
Usando o plugin do Snyk com o IDE JetBrains IntelliJ, a equipe de segurança da Natera conseguiu integrar facilmente a segurança aos fluxos de trabalho de engenharia. No ambiente preferido dos desenvolvedores, o Snyk verifica nativamente os repositórios da equipe de engenharia para detectar vulnerabilidades no código-fonte dos aplicativos e nas suas dependências de código aberto Java. Com a análise e validação do código durante a codificação, os desenvolvedores podem detectar problemas no início do processo de criação e corrigi-los com rapidez e eficiência.
“Quero que todos percebam a área de segurança como parceira e capacitadora”, comentou Townsley. “E é isso o que acontece quando ela está presente desde o início do ciclo de vida. Começamos com a implementação do IDE e a integração com os repositórios. Isso nos ajuda a compreender o contexto das vulnerabilidades de segurança em nossas instalações para podermos tomar decisões fundamentadas.”
Snyk Container capacitou desenvolvedores a corrigir imediatamente vulnerabilidades cruciais
Como a Natera usa elementos de aplicativos conteinerizados, a equipe de engenharia tem várias imagens de contêiner em produção. As vulnerabilidades de contêiner poderiam ameaçar a conformidade com regulamento de saúde. Portanto, a equipe de segurança queria limitar as imagens usadas pelos desenvolvedores como parte do registro. A equipe optou pelo Snyk Container para ajudar a controlar imagens indesejadas e corrigir vulnerabilidades nos contêineres aprovados.
“Fiquei muito contente com a verificação de contêineres antes da produção”, disse Townsley. “As pessoas não estavam prestando atenção nas vulnerabilidades nos contêineres, e isso fez a organização ligar o sinal de alerta. Agora estamos mais cientes sobre as vulnerabilidades e conseguimos aumentar a automação. Esse processo está mais alinhado à mentalidade de melhora da qualidade que as equipes de engenharia aplicam às práticas de CI/CD.”
Snyk IaC aumenta a visibilidade dos repositórios
A infraestrutura como código era a última peça do quebra-cabeças de DevSecOps da Natera. Quando entrega e protege insights de dados de resultados de DNA, a Natera usa várias configurações de infraestrutura para apoiar os aplicativos. O Snyk IaC capacita desenvolvedores a proteger as configurações e incorporar práticas recomendadas nos fluxos de trabalho. Essa abordagem de lançamento de produtos da Snyk está alinhada à meta da Natera de integrar fundamentos de segurança em todo o ciclo de vida de desenvolvimento.
Segundo Townsey, “Queríamos uma cobertura abrangente para ajudar a encontrar problemas que poderiam causar vulnerabilidades no ambiente de runtime.” “Esses problemas sequer passavam pela revisão manual. Usar o Snyk foi uma ótima forma de obter visibilidade de todos os repositórios diferentes de IaC.”
O impacto: exame de todo o espectro de vulnerabilidades de segurança
A Natera conseguiu implementar processos e políticas de segurança com o mínimo de interrupções para os desenvolvedores. O Snyk é integrado ao processo de criação e ajuda a priorizar vulnerabilidades para acelerar a correção. Dessa forma, a Natera conta com visibilidade completa e qualidade aprimorada de software, sem atrasar o lançamento dos recursos inovadores desejados pelos clientes.
“O Snyk teve um grande impacto na organização. Antes, realmente não fazíamos nada parecido. A disponibilidade de uma ferramenta que examina todo o espectro de vulnerabilidades de segurança em código personalizado, dependências, contêineres e IaC é como almoçar em um self-service que ninguém conhecia.”
Conformidade de código sem inconvenientes
Desde a implementação da plataforma Snyk, a Natera pode vincular informações coletadas a políticas de segurança específicas e comprovar de forma irrefutável que verifica as possíveis violações. Essa trilha de auditoria é essencial para manter a conformidade com regulamentos do setor de saúde e leis de privacidade de dados como FDA, HIPAA e SOC 2.
“Estamos todos impressionados com a forma como o Snyk Code cumpre os requisitos de sistema de qualidade da FDA”, comentou Townsley. “Já temos usuários adeptos da ferramenta muito ativos e encantados com a facilidade e rapidez de uso. E, o mais importante, ao contrário de ferramentas que geram páginas de falsos positivos, o Snyk é ágil e mostra problemas reais.”
Automação para remover todas as vulnerabilidades dos aplicativos
A Natera implantou o Snyk em toda a equipe, priorizando a capacitação de 40 usuários defensores de segurança para liderar essa iniciativa e, em breve, treinar os demais membros da equipe. Com o Snyk, os defensores e a equipe de segurança da Natera adotaram uma abordagem de segurança voltada à engenharia sem retardar a implantação. As ferramentas automáticas da plataforma detectam vulnerabilidades de segurança antes da mesclagem do código. Assim, as equipes de engenharia da Natera sabem que a segurança foi validada antes que o aplicativo chegue aos ambientes de preparação ou produção.
Nas palavras de Townsley, “Incorporamos o Snyk a um processo e caminhamos rumo à automação. E também caminhamos rumo ao controle de todas as vulnerabilidades. Queremos chegar ao ponto em que tudo é DevSecOps. Logo finalizaremos os ajustes para que tudo isso funcione muito bem para nós, em vez dos processos manuais e inconsistentes que usávamos antes do Snyk.”
