CARFAX mejora la seguridad, reduce la gestión de pipelines y los costos con GitLab

Muchos de los clientes de CARFAX interactúan con la empresa en línea. Esto quiere decir que CARFAX confía en el software para mantener y hacer crecer las relaciones con los clientes y mantenerse por delante de los competidores. Para ello, la empresa necesita crear software nuevo, innovador y seguro de manera eficiente y segura, junto con nuevas funcionalidades para sus productos de software más populares. A lo largo de los años, los equipos de desarrollo de CARFAX habían acumulado una cadena de herramientas de DevOps que no satisfacían todas las necesidades de la empresa y, lo que es peor, creaban desafíos adicionales.

«Gastábamos demasiado tiempo y presupuesto en la adquisición y la asistencia de nuestra cadena de herramientas, que había crecido a 12 herramientas», dice Mark Portofe, Director de Ingeniería de Plataformas de CARFAX. «Necesitábamos minimizar el mantenimiento y la asistencia de la cadena de herramientas tanto como fuera posible para que nuestros equipos pudieran centrarse en la creación de nuevas funcionalidades y no solo en ocuparse de todas estas diversas herramientas».

Además de sus preocupaciones en cuanto a la eficiencia y productividad, los equipos de desarrollo de CARFAX necesitaban una forma de encontrar vulnerabilidades en una fase más temprana del ciclo de vida de desarrollo del software. Los problemas que surgían durante los análisis manuales periódicos, en lugar de durante el proceso de desarrollo, le estaban costando tiempo y dinero a la organización. CARFAX quería cambiar esta situación.

Para realizar estos cambios necesarios, CARFAX decidió a mediados de 2020 utilizar la plataforma de DevSecOps de GitLab, concretamente GitLab Ultimate. «Con GitLab, sabíamos que obtendríamos muchas funcionalidades que podríamos aprovechar sin tener que integrarlas todas», dice Portofe.

Para comenzar, CARFAX se centró primero en crear un reflejo del código base en GitLab y aprovechar los análisis de seguridad de GitLab en todo su código. Esto se completó en los primeros seis meses. A continuación, la empresa comenzó a utilizar GitLab para su repositorio de código y las capacidades de pipeline de CI/CD. Si bien no ha habido un mandato o calendario de migración estricto, los equipos de desarrollo de software han creado planes para utilizar la plataforma GitLab dentro de sus planes de desarrollo de productos individuales. Además, para ayudar a los equipos de desarrollo que estaban empezando a usar GitLab, CARFAX estableció un equipo central para trabajar directamente con ellos.

El uso de GitLab en la empresa comenzó en gran medida con las aplicaciones orientadas al cliente. Al mismo tiempo, los equipos comenzaron a migrar los pipelines correspondientes para esas mismas aplicaciones. El software no orientado al cliente, junto con las grandes aplicaciones heredadas, tendrá una ruta de migración más larga.

«Permitimos que los equipos de desarrollo lo planificaran ellos mismos», dice Portofe. «Dimos mucha flexibilidad a nuestros equipos de desarrollo porque muchos de sus planes de desarrollo ya estaban preparados. Hacerlo de esta manera creó entusiasmo porque vieron los beneficios de elementos como los escaneos de seguridad y una mejor comprensión del código».

En las primeras etapas del uso de GitLab, CARFAX reemplazó varias herramientas de DevOps en su cadena de herramientas. Finalmente, Portofe afirma que planea reducir su cadena de herramientas a la mitad.

«La cadena de herramientas completa nos estaba costando dinero, tanto en costos de licencias como en ineficiencias», comenta Portofe. «Al utilizar GitLab, observamos un gran aumento en los análisis de seguridad porque CARFAX pudo analizar todo el código base sin pasos manuales. Y nos dio un panorama mucho mejor de nuestras vulnerabilidades de seguridad. Ahorramos dinero y aumentamos la seguridad».

También señala que la reducción de la cadena de herramientas agiliza las cargas de trabajo de los ingenieros, aumenta la productividad y la eficiencia, y hace que todo el esfuerzo de desarrollo e implementación sea más estable.

«Hubo cierta fragilidad general con otras herramientas que hemos utilizado en el pasado y no lo estamos viendo con GitLab», dice Portofe. «Indirectamente, es un beneficio para todo el negocio. De eso se trata realmente: de cómo ser lo más eficiente posible a ofrecer funcionalidades a los clientes».

Otro aspecto de la plataforma de DevSecOps de GitLab que agregó eficiencia fue su automatización incorporada, que brindó un nivel de seguridad completamente nuevo.

CARFAX ha podido utilizar las funcionalidades de seguridad automatizadas de GitLab para realizar el análisis de dependencias y contenedores, así como la detección de secretos. «Antes de utilizar GitLab, realizar análisis de seguridad en nuestro código base era una tarea manual y engorrosa. Hoy es mucho más sencillo», dice Portofe. «Si bien la seguridad es siempre una batalla constante, las funciones de seguridad integradas de GitLab facilitan a los desarrolladores la detección temprana de problemas».

El análisis automatizado de la plataforma ha permitido a CARFAX encontrar casi un tercio de sus vulnerabilidades mucho antes en el ciclo de vida del desarrollo durante el año pasado.

Además, Portofe señala que el uso de una plataforma hace que todo el equipo de desarrollo piense en la seguridad desde el primer momento del ciclo de vida del software. Al cambiar su enfoque en la seguridad a una metodología de prueba shift left, tienen en cuenta las necesidades e implicaciones de seguridad a medida que codifican y no más adelante, cuando es más difícil, más costoso y menos eficaz solucionar cualquier problema.

«Siempre estamos pensando en la seguridad mientras diseñamos y creamos software», comenta. «No se trata solo de tratar de sacar a la luz las funcionalidades, sino también de garantizar que sean seguras. Forma parte de cada paso del ciclo de vida de desarrollo del software. Esto ahorra tiempo y aumenta nuestra seguridad».

CARFAX ha conseguido importantes aumentos de productividad gracias a DevSecOps. Al automatizar los procesos, aplicar la metodología de prueba shift left en cuanto a la seguridad y reducir la complejidad de la cadena de herramientas, los equipos han podido simplificar los procesos, aumentar la productividad e incrementar la velocidad de implementación. Solo en 2022, la empresa experimentó un aumento del 14 % en las implementaciones de producción.

«Parece que todo está más limpio ahora al pasar el código a producción», dice Portofe. «Estamos sacando más funcionalidades de productos nuevos porque los equipos dedican más tiempo a crear código que a asegurarse de que sus pipelines funcionan».

Y lo que es aún más impresionante de este aumento en las implementaciones es que CARFAX lo está consiguiendo con un equipo más pequeño.

El equipo de herramientas de la empresa, que se centra en la creación de pipelines y utilidades comunes que los aproximadamente 250 ingenieros de software de CARFAX puedan utilizar para crear código, normalmente cuenta con cinco miembros. Sin embargo, han bajado a solo dos por un tiempo y siguen logrando aumentos de productividad e implementación. «La plataforma nos ha permitido operar como un equipo de dos personas y seguir adelante», dice Portofe. «En realidad, nuestras implementaciones de producción, en general, aumentaron aproximadamente un 25 % durante los primeros cinco meses de 2023, en comparación con el período de cinco meses anterior. Es realmente sorprendente».

CARFAX, que aprovecha las capacidades de Amazon Web Services (AWS), ha contado con diferentes equipos con diferentes activos en la nube a lo largo del tiempo. También han tenido algo de infraestructura in situ. Ha sido un entorno mixto. Sin embargo, ahora están migrando la mayor parte de su infraestructura, servidores y código base a la nube, con la ayuda de GitLab.

«Al seguir este camino, es útil que GitLab disponga de herramientas para facilitar el paso a la nube», dice Portofe, y agrega que también están consolidando su plataforma de informática en la nube.

Además, agrega que la plataforma de GitLab permite que CARFAX sea independiente de la nube. «Cuando nos disponemos a estandarizar nuestros pipelines de CI/CD, podemos trasladarlos con una rampa de acceso común que facilita el proceso», dice Portofe.