Comment Kredi Kayıt Bürosu privilégie la sécurité open source pour le développement

Se protéger et anticiper les vulnérabilités open source avec Nexus Lifecycle

Fondé en 1995, Kredi Kayıt Bürosu (KKB) est le premier et unique bureau de crédit de Turquie. Figurant parmi les plus grandes institutions financières au monde, l'entreprise est fière de montrer l'exemple aux autres et de satisfaire ses clients grâce à ses produits et services innovants. Cependant, comme le souligne KKB, l'innovation ne doit pas se faire au détriment de la sécurité. C'est pourquoi KKB prend la sécurité open source très au sérieux et fait confiance à Nexus Lifecycle pour protéger l'intégralité de son cycle de développement logiciel des vulnérabilités open source.

Intégrer la sécurité au développement : une initiative descendante

Suite aux attaques généralisées sur le composant open source Struts 2 en 2017, qui provenaient d'une vulnérabilité connue, KKB a immédiatement pris conscience du besoin de mieux comprendre et protéger son cycle de développement logiciel. Cette entreprise, qui apprécie la puissance des logiciels open source, savait qu'une telle faille serait catastrophique pour l'unique bureau de crédit de Turquie. 

L'équipe de sécurité de KKB, son équipe DevOps et ses équipes de direction, ont toutes compris l'importance de protéger chaque segment de l'entreprise. La sécurité open source et la protection de la chaîne logistique logicielle ne constituent pas qu'un simple problème de sécurité à résoudre. Comme le souligne l'ingénieur DevOps, Emre Erkek : « N'importe quel type de vulnérabilité poserait un énorme problème à l'entreprise. La sécurité est cruciale pour l'entreprise, nos équipes d'architecture, nos équipes de développement et les autres équipes administratives et commerciales. Toutes les équipes partagent l'idée que la sécurité doit être intégrée au tout début du développement. Dans le cas contraire, cela devient un problème pour toute l'entreprise. » 

Ce respect mutuel et la compréhension des problèmes à résoudre a créé un lien étroit entre les équipes de sécurité et de développement. Comme l'a fait remarquer le collègue d'Erme, Ufuk Tankurt, architecte en chef chez KKB, « Nous, les équipes de développement, communiquons avec l'équipe de sécurité afin de mettre en place des mesures critiques. Lorsque l'équipe de sécurité suggère quelque chose, nous faisons de même, puis nous décidons, ensemble, des mesures à prendre. Nous créons ensuite des pipelines appropriés dans le cycle de développement logiciel. Nous sommes une équipe unie qui travaille en étroite collaboration. » 

Le besoin de précision et d'exactitude, ainsi que la fiabilité et la facilité d'utilisation pour collaborer entre les équipes de développement et de sécurité ont poussé KKB à choisir Nexus Lifecycle pour alimenter son parcours DevSecOps. 

L'importance de la précision et du contrôle pour la sécurité open source : choisir Nexus Lifecycle

Après avoir évalué plusieurs solutions d'analyse de la composition logicielle et de sécurité open source, Ufuk explique que Nexus Lifecycle était la seule adaptée aux besoins de l'entreprise. « Kredi Kayıt Bürosu a choisi Nexus Lifecycle de Sonatype, car la solution fournit une explication bien plus détaillée des vulnérabilités et des dépendances open source que les autres produits. Lorsque de nouvelles vulnérabilités sont détectées, elles apparaissent dans le produit Sonatype en quelques heures ou jours. Cette combinaison de vitesse et de précision est inégalée, et c'est exactement ce dont nous avions besoin. » 

Étant donné que les développeurs de l'entreprise utilisent également Nexus Repository Manager de Sonatype pour gérer leurs binaires et artefacts de build, la puissance que la plateforme Nexus complète a apportée à l'entreprise les a conquis. Ufuk a également indiqué que la possibilité de stocker des données critiques localement, sur site, était l'une des principales raisons pour lesquelles KKB avait choisi Nexus Lifecycle. Les autres solutions basées sur le cloud ne fournissent pas le contrôle dont KKB avait besoin, alors que la solution hybride de Sonatype leur a donné la tranquillité d'esprit et la maîtrise du produit et de leurs données dont ils avaient besoin pour se sentir en sécurité.

« L'assistance est un point important pour nous, et nous sommes extrêmement satisfaits de l'assistance de Nexus. Nous avons rencontré quelques problèmes et l'équipe d'assistance de Nexus a répondu à nos questions en quelques minutes. En fait, c'est même un point TRÈS important pour nous. »
— Emre Erkek, ingénieur DevOps

Prendre le contrôle, trouver un rythme et assurer un succès continu

Lorsque KKB a initié son parcours DevSecOps en 2017, l'entreprise a démarré pas à pas, mais a rapidement intégré Nexus Lifecycle à son pipeline DevOps et ses outils CI/CD. En s'intégrant directement au cycle de développement et en ayant accès à des informations sur le code open source lors de la conception du projet, les développeurs de KKB peuvent prendre des mesures immédiates contre les vulnérabilités ou tout autre éventuel problème de code open source. 

Cette intégration était essentielle pour que l'entreprise réussisse à gérer sa chaîne logistique logicielle. En 2019, l'entreprise a lancé un projet à l'aide de Nexus Lifecycle afin de nettoyer les vulnérabilités de dépendances dans plus de 130 projets. Une tâche intimidante mais qui semble désormais gérable, grâce à l'intégration complète de Sonatype aux outils de développement. Au cours des six mois suivants, l'entreprise s'est concentrée sur la correction de toutes les violations de politiques dans son portefeuille de produits, ce qui représentait des milliers de violations différentes dans ces 130 projets. Avec Nexus Lifecycle, KKB a réussi cet exploit dans un délai relativement court et a pu passer à l'étape suivante de sa transformation : garder une longueur d'avance. 

Après avoir pris le contrôle de sa chaîne logistique logicielle, KKB est devenue encore plus proactive dans ses pratiques de sécurité open source et a mis en échec les builds qui contenaient du code qui enfreignait les politiques de l'entreprise établies dans Nexus Lifecycle. Tous les problèmes et vulnérabilités détectés dans les dépendances doivent impérativement être traités immédiatement avant de pouvoir passer à la prochaine étape du développement. KKB ne constate désormais que très peu de violations dans les applications en production, car l'entreprise bloque ces vulnérabilités avant qu'elles ne puissent nuire. 

Pendant que KKB trouvait ses marques avec Nexus Lifecycle, l'équipe d'assistance de Sonatype est restée, et reste toujours, à ses côtés. « L'assistance est un point important pour nous, et nous sommes extrêmement satisfaits de l'assistance de Nexus. Nous avons rencontré quelques problèmes et l'équipe d'assistance de Nexus a répondu à nos questions en quelques minutes. En fait, c'est même un point TRÈS important pour nous », a remarqué Emre.

Désormais, KKB tire parti de Nexus Lifecycle pour véritablement gérer l'open source ainsi que sa chaîne logistique logicielle à chaque étape du cycle de développement. L'équipe analyse l'intégralité du pipeline DevOps, lors du staging, de la conception et du déploiement. En identifiant les vulnérabilités, à la fois dans l'environnement de staging et l'environnement de production, KKB peut lancer des projets en toute sérénité et se concentrer sur la création de produits innovants pour ses clients, et non sur la présence éventuelle de vulnérabilités.

CONTACTER L'ÉQUIPE COMMERCIALE

Envie d'essayer Sonatype ?

Sécurisez et automatisez votre chaîne logistique logicielle.