Partenaire de premier plan en matière de sécurité des applications, Veracode crée des logiciels qui réduisent le risque de failles de sécurité et augmentent la productivité des équipes de sécurité et de développement. En combinant automatisation des processus, intégrations, rapidité et réactivité, Veracode aide les clients à obtenir des résultats précis afin qu'ils puissent concentrer leurs efforts sur l'innovation plutôt que sur la correction des failles de sécurité de leur code. Utilisé par des milliers de clients dans le monde entier, Veracode a évalué des milliards de lignes de code et a aidé les utilisateurs à corriger des dizaines de millions de failles de sécurité.
Lorsque Veracode a été fondée en 2006, elle a choisi d'exploiter son propre centre de données et d'héberger des bases de données en faisant appel à un fournisseur tiers. Au fur et à mesure que l'entreprise évoluait, Veracode s'est rendu compte qu'elle devait voir plus grand que son architecture SaaS sur mesure. « Les échelles sont différentes aujourd'hui par rapport à ce qu'elles étaient à nos débuts », explique Tim Jarrett, directeur principal de la gestion des produits chez Veracode. « Tous les logiciels peuvent comporter des bogues, et certains de ces bogues peuvent en fait être des failles de sécurité. La conception des logiciels a changé, et nous devons évoluer de manière exponentielle pour répondre à la demande et aux attentes des clients en matière de rapidité. »
La gestion de dizaines de millions de scans par mois était difficile avec une infrastructure sur site. Veracode avait besoin d'une infrastructure simple à mettre à l'échelle, capable de prendre en charge de nouveaux clients et de tester un nombre exponentiel d'applications. Utilisant les services AWS depuis 2011, Veracode a choisi de migrer l'ensemble de sa plateforme vers AWS. « Nous savions que l'élasticité offerte par AWS pouvait nous permettre d'atteindre l'échelle dont nous avions besoin », explique Tim Jarrett. En 2018, Veracode et l'équipe AWS ont planifié et lancé la migration en trois étapes de son infrastructure SaaS restante. Elle a commencé par migrer sa base de données tierce vers
Amazon Relational Database Service (Amazon RDS)
for Oracle. Cette base de données commerciale entièrement gérée simplifie la configuration, l'exploitation et la mise à l'échelle des déploiements Oracle dans le cloud, et permet aux clients de consacrer du temps à l'innovation et à la création de nouvelles applications, sans gérer l'infrastructure.
La vision de Veracode est d'offrir une plateforme de sécurité logicielle continue, complète et ouverte, qui réunit les équipes de développement et de sécurité. Poursuivant une architecture moderne pour soutenir sa plateforme, Veracode utilise plusieurs services AWS. Par exemple, le lac de données qui alimente l'analytique, les informations sur les plateformes et les analyses comparatives utilise des services tels qu'
Amazon Simple Storage Service (Amazon S3), un service de stockage d'objets offrant une capacité de mise à l'échelle, une disponibilité des données, une sécurité et des performances de pointe, ainsi qu'
AWS Glue, un service d'intégration de données sans serveur. Sur AWS, Veracode a réalisé rapidement la première partie de la migration, en migrant 10 services et 50 à 60 flux de travail en une seule nuit.
Au cours de la deuxième phase, Veracode souhaitait se développer sur le marché européen, qui se méfie traditionnellement des solutions SaaS basées en dehors de la région. Elle a lancé une instance dédiée de sa plateforme pour le marché européen sur AWS. Pour aider les clients du gouvernement fédéral américain, Veracode s'efforce de se conformer au
programme fédéral de gestion des risques et des autorisations (FedRAMP), qui propose une approche standard en matière d'évaluation de la sécurité, d'autorisation et de surveillance continue des services cloud. En 2022, Veracode élargira sa clientèle en utilisant des Régions AWS telles qu'
AWS GovCloud (US), qui offrent aux clients gouvernementaux et à leurs partenaires la flexibilité nécessaire pour concevoir des solutions cloud sécurisées.
Veracode s'appuie sur
Amazon Redshift, qui utilise SQL pour analyser des données structurées et semi-structurées, en tant que solution de création de rapports descriptifs. Une fois les données extraites et transformées par lots à partir de son lac de données, elle utilise Amazon Redshift pour créer automatiquement des rapports. Veracode peut ensuite accéder à ces informations et fournir des informations de sécurité importantes à ses clients. Elle utilise également
Amazon ElastiCache, un service de mise en cache en mémoire entièrement géré, pour stocker les informations de session utilisateur et optimiser l'expérience client.
En adoptant une architecture basée sur AWS, Veracode a atteint une mise à l'échelle souple, des performances élevées et une flexibilité bien au-delà de ce que son architecture précédente pouvait offrir. Elle peut évoluer horizontalement sans réécrire du code complexe, améliorant ainsi la vitesse et la qualité du service. « Notre architecture précédente ne nous aurait pas permis de répondre à une grande institution financière qui nous demande d'examiner chaque élément de code pendant un week-end et d'identifier l'origine d'un bogue, explique Tim Jarrett. Les services AWS nous ont aidés à nous mettre à l'échelle pour répondre à la demande croissante et nous affranchir des contraintes liées à notre propre centre de données. »
Veracode poursuivra la troisième partie de sa migration en optimisant davantage son infrastructure. Elle migre les données d'Amazon RDS for Oracle vers
Amazon Aurora, une base de données relationnelle compatible MySQL et PostgreSQL conçue pour le cloud. En raison de la nature clusterisée d'Aurora, Veracode peut faire monter en puissance sa couche de base de données sans réécrire la majeure partie de son code. L'entreprise élabore des stratégies pour mener à bien ce projet tout en maintenant la cohérence des données et en minimisant les interruptions. « Aurora est depuis longtemps notre base de données de vulnérabilités et un élément clé de notre architecture », explique Rob Parrott, vice-président et architecte en chef de Veracode. « Nous envisageons une utilisation intégrale d'Aurora pour nos besoins en matière de systèmes de gestion de bases de données relationnelles. »
Cette migration vers le cloud a nécessité une série d'étapes minutieuses pour maintenir les charges de travail de production tout en migrant vers une infrastructure moderne. Veracode en a tiré des avantages clés, dont une évolutivité, une élasticité et une rapidité accrues pour une croissance future. À l'avenir, elle prévoit de continuer à innover sur AWS afin de renforcer sa solution et de suivre le rythme des tendances émergentes, pour permettre aux clients de mieux comprendre leur niveau de sécurité et d'atténuer rapidement les risques. Et Tim Jarrett de déclarer : « Sur AWS, nous pouvons fournir une meilleure qualité de service à nos clients pendant les opérations normales et en cas de hausse de la demande. »