A Veracode fortalece sua plataforma de segurança de software usando serviços escaláveis da AWS

A Veracode é uma parceira líder em segurança de aplicativos por criar software que reduz o risco de violações de segurança e aumenta a produtividade das equipes de segurança e desenvolvimento. Com a combinação de automação de processos, integrações, velocidade e capacidade de resposta, a Veracode ajuda os clientes a obter resultados precisos para que possam concentrar seus esforços na inovação, em vez de corrigir falhas de segurança em seus códigos.  Usada por milhares de clientes globais, a Veracode avaliou trilhões de linhas de código e ajudou os usuários a corrigir dezenas de milhões de falhas de segurança.

 

Quando a Veracode foi fundada em 2006, ela optou por operar seu próprio datacenter e hospedar bancos de dados usando um fornecedor terceirizado. À medida que a empresa amadureceu, a Veracode percebeu que precisava ir além da arquitetura SaaS personalizada. “Vivemos hoje uma escala diferente em comparação com o que tínhamos quando começamos”, diz Tim Jarrett, diretor sênior de gerenciamento de produtos da Veracode. “Todo software pode ter bugs, e alguns desses bugs podem, na verdade, ser vulnerabilidades de segurança. A forma como software é desenvolvido mudou e precisamos escalar exponencialmente para acompanhar a demanda e as expectativas de velocidade dos clientes.”

 

Gerenciar dezenas de milhões de verificações por mês era um desafio com a infraestrutura on-premises. A Veracode precisava de uma infraestrutura que fosse simples de escalar e que oferecesse suporte a novos clientes, capaz de testar um número exponencialmente crescente de aplicativos. Como usava os serviços da AWS desde 2011, a Veracode optou por migrar toda a sua plataforma para a AWS. “Sabíamos que a elasticidade oferecida pela AWS poderia nos levar à escala de que precisávamos”, diz Jarrett. Em 2018, a Veracode e a equipe da AWS planejaram e iniciaram a migração da infraestrutura SaaS restante em três partes. Eles começaram migrando o banco de dados de terceiros para o Amazon Relational Database Service (Amazon RDS) para Oracle, um banco de dados comercial totalmente gerenciado que simplifica a configuração, a operação e a escala das implantações da Oracle na nuvem e permite que os clientes foquem na inovação e desenvolvimento de novos aplicativos, sem precisar gerenciar a infraestrutura.

A visão da Veracode é oferecer uma plataforma de segurança de software contínua abrangente e aberta que reúna as equipes de desenvolvimento e segurança. Buscando uma arquitetura moderna para apoiar a plataforma, a Veracode está usando vários serviços da AWS. Por exemplo, o data lake, que proporciona análises, insights da plataforma e testes comparativos, usa serviços como o Amazon Simple Storage Service (Amazon S3), um serviço de armazenamento de objetos que oferece escalabilidade, disponibilidade de dados, segurança e performance líderes do setor, bem como o AWS Glue, um serviço de integração de dados com tecnologia sem servidor. Na AWS, a Veracode concluiu a primeira parte da migração rapidamente, migrando 10 serviços e entre 50 e 60 fluxos de trabalho em uma única noite.

 

Durante a segunda fase, a Veracode queria expandir para o mercado europeu, que tradicionalmente desconfia de soluções SaaS baseadas fora da região. Ela lançou uma instância dedicada de sua plataforma para o mercado europeu na AWS. Para apoiar os clientes do governo federal dos EUA, a Veracode está trabalhando para obter conformidade com o Programa Federal de Gerenciamento de Autorização e Risco (FedRAMP), que oferece uma abordagem padrão para a avaliação da segurança, a autorização e o monitoramento contínuo de serviços em nuvem. Em 2022, a Veracode expandirá sua base de clientes usando regiões da AWS como AWS GovCloud (EUA), que oferece aos clientes governamentais e seus parceiros a flexibilidade de arquitetar soluções de nuvem seguras.

 

A Veracode conta com o Amazon Redshift, que usa SQL para analisar dados estruturados e semiestruturados, como uma solução de geração de relatórios descritivos. Depois que os dados são extraídos e transformados em lotes do data lake, ela usa o Amazon Redshift para criar relatórios automaticamente. A Veracode pode então acessar essas informações e fornecer informações de segurança importantes para seus clientes. Ela também usa o Amazon ElastiCache, um serviço de cache em memória totalmente gerenciado, para armazenar informações da sessão do usuário e otimizar a experiência do cliente.

 

Ao arquitetar na AWS, a Veracode alcançou escala elástica, alta performance e flexibilidade muito além do que sua arquitetura anterior poderia oferecer. O escalonamento pode ser horizontal, sem reescrever códigos complexos, melhorando a velocidade e a qualidade do serviço. “Uma grande instituição financeira nos pediu que analisássemos cada trecho de código em um fim de semana para identificar bugs presentes. Não poderíamos ter feito isso com a nossa arquitetura anterior”, diz Jarrett. “Os serviços da AWS têm sido fundamentais para nos ajudar a escalar e atender à crescente demanda e nos libertar das restrições que tínhamos em nosso próprio datacenter.”

A Veracode continuará a terceira parte de sua migração otimizando ainda mais sua infraestrutura. Ela está migrando os dados do Amazon RDS para Oracle para o Amazon Aurora, um banco de dados relacional compatível com MySQL e PostgreSQL criado para a nuvem. Devido à natureza agrupada do Aurora, o Veracode pode aumentar a escala de sua camada de banco de dados horizontalmente sem reescrever a maior parte do código. A empresa está criando estratégias para concluir esse projeto, mantendo a consistência de dados e minimizando as interrupções. “O Aurora tem sido nosso banco de dados de vulnerabilidades e uma parte fundamental da nossa arquitetura há muito tempo”, afirma Rob Parrott, vice-presidente e principal arquiteto da Veracode. “Estamos apostando totalmente no Aurora para atender às necessidades do nosso sistema de gerenciamento de banco de dados relacional.”

 

Essa migração para a nuvem exigiu uma série de etapas cuidadosas para manter as workloads de produção durante a migração para uma infraestrutura moderna. A Veracode obteve os principais benefícios, como maior escalabilidade, elasticidade e velocidade para crescimento futuro. No futuro, a empresa espera continuar inovando na AWS para fortalecer sua solução e acompanhar as tendências emergentes, capacitando os clientes a entender melhor sua postura de segurança e mitigar riscos rapidamente. Segundo Jarrett, “Na AWS, podemos oferecer melhor qualidade de serviço aos nossos clientes durante as operações normais e quando houver aumento na demanda”.