Customers

Komatsu

Como a Komatsu reduziu em 62% o tempo médio de correção de vulnerabilidades em um período de três meses

Destaque do cliente

Eric Cheng

Digital Solutions Architect

Location: Australia

Destaques:

Implementação de um único painel com Snyk Open Source e Snyk Code

Fácil integração de verificação de vulnerabilidades a processos existentes de CI/CD

Tempo de verificação duas vezes mais rádio que a solução de verificação de vulnerabilidades anterior

Melhoria de 28% na postura de risco de AppSec em um período de seis meses

Redução de 62% no tempo médio de correção de vulnerabilidades em um período de três meses

O desafio: adoção da segurança desde o início no setor de fabricação

A empresa desejava aprimorar a segurança de aplicativos em todas as unidades de negócios. Para isso, a adoção da segurança desde o início tornou-se uma iniciativa estratégica da Komatsu em 2022. Além disso, a equipe desejava consolidar as ferramentas para obter uma experiência mais integrada.  Com a ajuda da Snyk, a Komatsu está liderando a adoção da segurança desde o início no setor de fabricação em geral.

“Estamos no processo de incorporar o modelo de maturidade de DevSecOps OWASP às nossas estratégias de DevOps”, afirmou Eric Cheng, arquiteto de soluções digitais da Komatsu. “Optamos por usar a Snyk e outras práticas para evoluir o nível do modelo de maturidade e eliminar as lacunas entre nosso estado atual e o futuro.”

A solução: adotar a Snyk para verificação de dependências de código aberto

Quando a Komatsu começou a procurar ferramentas de verificação de segurança, um dos fornecedores da empresa mencionou a Snyk. A Komatsu decidiu adotar o Snyk Open Source para realizar análises de composição de software (SCA). Com a nova ferramenta, equipes de desenvolvimento em toda a Komatsu conseguiram encontrar e corrigir possíveis vulnerabilidades nos pacotes de código aberto utilizados.

Um fator importante na decisão de adotar a Snyk foi a facilidade de uso. Para a Komatsu, foi muito fácil começar a usar o produto integrado ao Visual Studio e ao Azure DevOps para incorporar a Snyk aos fluxos de trabalho e processos de CI/CD atuais dos desenvolvedores. No futuro, a Komatsu planeja implementar a nova integração com Jira da Snyk para criar automaticamente tíquetes para problemas de segurança.

“É um desafio tentar mudar a cultura das equipes de desenvolvimento da empresa. A prioridade delas é criar funcionalidades. Queremos apoiar essa prioridade, mas também queremos priorizar a correção de vulnerabilidades. Como o Snyk é tão voltado a desenvolvedores, fica mais fácil conseguir sua adoção pelas equipes de desenvolvimento.” Chen acrescenta que “O feedback dos desenvolvedores tem sido muito positivo. Além disso, o feedback das equipes de segurança também é positivo, já que a Snyk oferece a tranquilidade de contar com recursos proativos de redução de riscos e monitoramento e resolução de problemas.”

Outro fator importante foi o tempo de verificação. Os desenvolvedores não queriam ficar aguardando a conclusão da verificação quando tentavam enviar código. A velocidade de verificação da Snyk, 100% maior que a solução anterior usada pela Komatsu, facilitou a adoção da plataforma.

“Comparada à ferramenta anterior, a verificação da Snyk é duas vezes mais rápida e muito mais integrada às ferramentas e aos processos”, comentou Cheng. “Além disso, a maior facilidade de navegação também deixa os desenvolvedores muito satisfeitos.”

Depois de avaliar a Snyk e a concorrência, a Komatsu optou pela Snyk pelo seu firme compromisso com a geração de inovação. A Snyk passou a ser uma parte essencial da estratégia de segurança da Komatsu.

A Snyk como um único painel

Após o êxito na adoção do Snyk Open Source, a Komatsu decidiu migrar os testes estáticos de segurança de aplicativos (SAST) do SonarCloud para o Snyk Code. Os desenvolvedores e equipes de segurança da Komatsu passaram a contar com um único painel para garantir a segurança do código de aplicativos e das dependências de código aberto.

Segundo Cheng, “É muito fácil usar o Snyk. Ter tudo dentro do Visual Studio é um grande facilitador. Um único local para ver qualidade de código e vulnerabilidade de código e dependências. Para nós, isso foi uma mudança de patamar. Em vez de usar duas ferramentas separadas, agora temos um único painel.”

O impacto: melhoria da postura de risco de aplicativos

Desde a adoção da Snyk, a Komatsu aumentou consideravelmente a visibilidade da segurança em todo o ciclo de vida de desenvolvimento de software. A principal medida de sucesso da Komatsu é a rapidez com que identifica vulnerabilidades de gravidade crítica e alta e o tempo para corrigi-las. Com os insights da Snyk durante o processo de desenvolvimento, a Komatsu conseguiu reduzir em 62% o tempo médio de correção no período de três meses após a implementação. Além disso, a Snyk ajudou a empresa a acompanhar as novas vulnerabilidades à medida que são descobertas, aprimorando em 28% a postura de riscos em um período de seis meses.

“A Snyk realmente capacitou os desenvolvedores a começa a pensar sobre segurança conforme desenvolvem o código”, explicou Cheng. “Essa mudança também aumentou muito a proatividade dos desenvolvedores na correção de vulnerabilidades. Eles são alertados sempre que novas vulnerabilidades são identificadas, o que permite priorizar seu trabalho.”

Outro benefício adicional foi a capacidade de descobrir antecipadamente vulnerabilidades com base no amplo banco de dados da empresa da Snyk. Das vulnerabilidades de gravidade média ou alta corrigidas pela Komatsu, 19% foram descobertas utilizando a Snyk. Um exemplo recente foi uma vulnerabilidade descoberta ao usar uma API com um aplicativo empresarial de uso frequente. A equipe de engenharia conseguiu corrigir a vulnerabilidade e emitir uma atualização.

“Começamos a usar bastante o Snyk em diversas áreas da empresa e conseguimos detectar muitas vulnerabilidades que antes passavam despercebidas. Além disso, o Snyk permite mitigar e resolver rapidamente essas vulnerabilidades logo no início do ciclo de desenvolvimento.”

No ano passado, o foco da Komatsu era operar o Snyk para melhorar a visibilidade da postura de segurança dos aplicativos. Para a equipe de Cheng, os próximos passos são aumentar a maturidade do programa de AppSec com modelagem de ameaças, padronizar o processo de gerenciamento de vulnerabilidades, aprimorar os relatórios de segurança e outras práticas recomendadas.

“Estamos muito satisfeitos com a Snyk. Sempre que falamos com outros fornecedores sobre segurança, recomendamos a Snyk”, concluiu Cheng. “Dessa forma, nossas práticas de segurança são repassadas para esses fornecedores que, por sua vez, entregam produtos muito mais seguros aos nossos clientes.”

/about/ Komatsu

A Komatsu Australia é líder do setor de distribuição de equipamentos, tecnologias e serviços para os mercados de construção, empilhadeiras, mineração, industrial e manejo florestal.

Patch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo Segment

Snyk é uma plataforma de segurança para desenvolvedores. Integrando-se diretamente a ferramentas de desenvolvimento, fluxos de trabalhos e pipelines de automação, a Snyk possibilita que as equipes encontrem, priorizem e corrijam mais facilmente vulnerabilidades em códigos, dependências, contêineres e infraestrutura como código. Com o suporte do melhor aplicativo do setor e inteligência em segurança, a Snyk coloca a experiência em segurança no kit de ferramentas de todo desenvolvedor.

Comece grátisAgende uma demonstração ao vivo