Customers

Reddit

Como o Reddit usou a API da Snyk para automatizar e ajustar a escala da segurança dos aplicativos

Destaque do cliente

Spencer Koch

Security Wizard

Setor: Tecnologia
Location: San Francisco, California

Products Featured

Snyk Open Source

Destaques:

Usou a API da Snyk para automatizar a verificação de segurança em mais de 1.000 repositórios

Simplificou a adoção da Snyk com o cliente Python da Snyk

Integrou a Snyk ao GitHub Enterprise para sincronização automática de repositórios

O desafio: usar uma pequena equipe de AppSec em um ambiente de grande escala

Uma das maiores plataformas de redes sociais atuais, o Reddit se dedica a criar comunidades no estilo de fórum em que as pessoas discutem interesses comuns. No entanto, com o crescimento da empresa, aumentou o número de repositórios de código e a abrangência de tecnologias utilizados pela plataforma. O Reddit formalizou suas iniciativas de AppSec adotando a Snyk para mitigar riscos na base de código em evolução.

Além disso, a pequena equipe de segurança do Reddit foi encarregada de aumentar a escala de suas atividades entre diversas equipes de desenvolvimento com cerca de 600 engenheiros. Com a plataforma Snyk já disponível para análises da composição de software, o Reddit precisava de uma API robusta e facilmente integrável à toda a pilha de tecnologia para automatizar tarefas tediosas de AppSec.

“Até há pouco tempo, eu era a equipe de segurança do Reddit”, revelou Spencer Koch, profissional de segurança do Reddit. “Quando você tem apenas alguns repositórios, é fácil interagir com a interface de usuário da Snyk, mas o Reddit tem mais de mil repositórios. Eu não tinha a opção de simplesmente navegar pela interface de usuário para resolver problemas, adicionar repositórios ou lidar com outras tarefas administrativas.

A solução: usar a API da Snyk para correções automáticas

A interface de usuário da Snyk é conveniente para organizações que têm apenas alguns repositórios de código, mas não era eficiente fazer alterações manuais na escala necessária para o Reddit. A API da Snyk, além de automatizar as tarefas repetitivas do Reddit, também integrou perfeitamente a verificação de segurança ao GitHub Enterprise (GHE). Com essa integração, o Reddit pode detectar automaticamente vulnerabilidades de código aberto e corrigi-las usando solicitações de pull.

“Depois de limpar nossos repositórios, alteramos o script para causar a falha de solicitações de pull que continham qualquer vulnerabilidade de segurança”, afirmou Koch. “Dessa forma, o Reddit migrou a abordagem das correções de um modelo reativo, iniciado pela equipe de segurança, para um modelo voltado a desenvolvedores e sob seu controle. Usar a API da Snyk foi a única forma de conseguirmos gerenciar todo esse trabalho.”

A API e o wrapper Python da Snyk

Além de usar diretamente a API da Snyk, o Reddit também utiliza o wrapper Python da Snyk. Como uma grande parte da pilha de tecnologia do Reddit foi desenvolvida em Python, o cliente pysnyk se integra perfeitamente às ferramentas atuais dos desenvolvedores. Essa forte integração reduziu inconvenientes e acelerou a adoção da plataforma Snyk no fluxo de trabalho dos desenvolvedores. Por sua vez, a equipe de segurança do Reddit obteve, de forma imediata, insights sobre os riscos de vulnerabilidades nos aplicativos.

Além disso, o Reddit também criou uma integração com o GHE, disponibilizada posteriormente como código aberto para a comunidade de AppSec. O Reddit criou o snyk-sync para executar um trabalho de cron agendado regularmente todas as semanas para sincronizar todas as alterações com os repositórios do GHE. Entre essas alterações, estavam a adição de novos repositórios ou remoção dos repositórios inativas, a definição das configurações adequadas para a integração com o GHE e a emissão de alertas quando era necessário executar uma etapa manual de CI no Snyk CLI. O Reddit também usa o pysnyk para executar ações em massa, como supressão de problemas sinalizados em bases de código de terceiros ou projetos de código aberto que não são relevantes para a base de código do Reddit.

“Gostamos da Snyk pela sua capacidade de centralizar algumas ferramentas e por podermos interagir em grande escala com os fluxos de trabalho dos desenvolvedores”, disse Koch.

A Snyk tem um foco intenso nos desenvolvedores e foi fácil aumentarmos a escala horizontal sem interromper as atividades de desenvolvimento. Os testes de solicitação de pull com o GHE para obtermos feedback dos desenvolvedores se adaptaram muito bem aos nossos fluxos de trabalho atuais, reduzindo inconvenientes.

O impacto: aumento de escala da segurança para mais de 1000 repositórios

Usando a API e o cliente Python da Snyk, o Reddit acelerou drasticamente a obtenção de observabilidade de segurança e gerenciamento de vulnerabilidades, recursos úteis para desenvolvedores e engenheiros de segurança. Na verdade, a equipe de segurança do Reddit implementou a plataforma Snyk em poucas semanas, abrangendo a maioria da base de código do Reddit com relativa facilidade e conseguindo verificar dependências de código aberto em grande escala, o que levou a um rápido retorno sobre o investimento.

“O elemento humano é extremamente importante”, destacou Koch. “Sem a API da Snyk, várias tarefas de segurança levariam muito tempo, considerando a escala do Reddit. As automações reduziram a sobrecarga operacional e o custo total de propriedade da adoção da plataforma Snyk.”

Patch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo SegmentPatch Logo Segment

Snyk é uma plataforma de segurança para desenvolvedores. Integrando-se diretamente a ferramentas de desenvolvimento, fluxos de trabalhos e pipelines de automação, a Snyk possibilita que as equipes encontrem, priorizem e corrijam mais facilmente vulnerabilidades em códigos, dependências, contêineres e infraestrutura como código. Com o suporte do melhor aplicativo do setor e inteligência em segurança, a Snyk coloca a experiência em segurança no kit de ferramentas de todo desenvolvedor.

Comece grátisAgende uma demonstração ao vivo