CARFAX améliore la sécurité, réduit la gestion des pipelines et les coûts grâce à GitLab

De nombreux clients de CARFAX interagissent en ligne avec l'entreprise. C'est la raison pour laquelle CARFAX s'appuie sur des logiciels pour entretenir et développer ses relations avec ses clients et garder une longueur d'avance sur ses concurrents. Il est nécessaire pour l'entreprise de créer efficacement de nouveaux logiciels innovants et sécurisés, ainsi que de nouvelles fonctionnalités pour ses produits logiciels les plus populaires. Au fil des ans, les équipes de développement de CARFAX ont multiplié les chaînes d'outils DevOps qui ne répondaient pas à tous les besoins de l'entreprise et, pire encore, entraînaient des défis supplémentaires.

« L'achat et le maintien de notre chaîne d'outils, qui en comptait 12, nous coûtaient trop de temps et d'argent », explique Mark Portofe, Director of Platform Engineering chez CARFAX. Nous devions réduire au maximum la maintenance et l'assistance de la chaîne d'outils autant que possible afin que nos équipes puissent se concentrer sur la création de nouvelles fonctionnalités et pas seulement sur la prise en charge de tous ces différents outils. »

En plus de se préoccuper de la réactivité, du rendement et de la productivité, les équipes de développement de CARFAX requéraient un moyen de détecter les vulnérabilités plus tôt dans le cycle du développement logiciel. Les problèmes révélés par les scans manuels périodiques, plutôt que pendant le processus de développement, coûtaient du temps et de l'argent à l'entreprise. CARFAX voulait inverser la tendance.

Pour effectuer les changements nécessaires, CARFAX a décidé courant 2020 de faire appel à la plateforme DevSecOps de GitLab, en particulier GitLab Ultimate. « Avec GitLab, nous savions que nous pourrions tirer parti de nombreuses fonctionnalités sans nous soucier de les assembler », indique Mark Portofe.

CARFAX s'est d'abord concentrée sur la mise en miroir de la code base dans GitLab et sur l'application des scannings de sécurité GitLab sur l'ensemble de son code. Ces opérations ont été effectuées au cours des six premiers mois. L'entreprise a ensuite commencé à se servir de GitLab pour son dépôt de code et ses capacités de pipeline CI/CD. Bien qu'il n'y ait pas eu de mandat ou de calendrier de migration strict, les équipes de développement logiciel ont planifié l'utilisation de la plateforme GitLab dans leurs feuilles de route de produits individuelles. Pour aider celles qui adoptaient GitLab, CARFAX a mis en place une équipe centrale pour une collaboration directe.

Au début, l'utilisation de GitLab dans l'entreprise a en grande partie concerné des applications orientées client. En parallèle, les équipes ont commencé à migrer les pipelines correspondants. Pour les logiciels non orientés client, ainsi que les grandes applications héritées, la stratégie de migration a été plus longue.

« Nous avons permis aux équipes de développement de définir leur propre calendrier », indique Mark Portofe. « Nous avons accordé une grande flexibilité à nos équipes de développement, car elles avaient déjà établi une grande partie de leurs feuilles de route. Leur enthousiasme n'en a été que plus grand, car elles ont constaté les avantages des scannings de sécurité et de meilleures informations sur le code. »

Lorsqu'elle a commencé à utiliser GitLab, CARFAX a remplacé divers outils DevOps dans sa chaîne d'outils. En fin de compte, Mark Portofe suggère que la chaîne d'outils devrait être réduite de moitié environ.

« La chaîne d'outils complète nous coûtait de l'argent, à la fois pour les licences et en raison des inefficacités », explique Mark Portofe. « Avec GitLab, nous avons constaté une augmentation significative des scannings de sécurité, car CARFAX avait désormais les moyens de scanner l'ensemble de la code base sans étapes manuelles. Nous avons ainsi obtenu une vision bien meilleure de nos failles de sécurité. Nous avons économisé de l'argent et renforcé la sécurité. »

Il souligne également que la réduction de la chaîne d'outils optimise la charge de travail des ingénieurs, augmente la productivité, la réactivité et le rendement, et stabilise l'ensemble des efforts de développement et de déploiement.

« Les autres outils que nous utilisions auparavant présentaient une certaine faiblesse générale, que nous ne retrouvons pas avec GitLab », déclare Mark Portofe. « Indirectement, c'est un avantage pour l'ensemble de l'entreprise. C'est tout à fait ça : comment être le plus efficace possible pour proposer des fonctionnalités aux clients. »

Un autre aspect de la plateforme DevSecOps de GitLab a renforcé la réactivité et le rendement : l'automatisation intégrée a apporté un tout nouveau niveau de sécurité.

CARFAX a pu avoir recours aux fonctionnalités de sécurité automatisées de GitLab pour analyser les dépendances et les conteneurs, ainsi que pour détecter les secrets. « Avant GitLab, les scans de sécurité sur notre code base devaient être effectués manuellement, ce qui était fastidieux. Ils sont beaucoup plus faciles aujourd'hui », révèle Mark Portofe. « La sécurité est certes un combat permanent, mais les fonctionnalités de sécurité de GitLab permettent aux développeurs de détecter plus facilement les problèmes à un stade précoce. »

Les scans automatisés de la plateforme ont permis à CARFAX de détecter près d'un tiers de ses vulnérabilités beaucoup plus tôt dans le cycle de développement au cours de l'année écoulée.

Mark Portofe souligne en outre que l'utilisation d'une plateforme permet à toute l'équipe de développement de réfléchir à la sécurité au plus tôt dans le cycle de vie du logiciel. En se concentrant sur la sécurité le plus en amont possible, les développeurs prennent en compte les besoins et les implications en matière de sécurité au fur et à mesure qu'ils codent et non plus tard en aval, lorsque la résolution des problèmes devient plus difficile, plus coûteuse et moins efficace.

« Nous pensons toujours à la sécurité lorsque nous concevons et compilons un logiciel », déclare-t-il. « Il ne s'agit pas seulement de chercher à lancer des fonctionnalités, mais aussi de s'assurer que celles-ci sont sécurisées. Cette démarche fait partie intégrante de chaque étape du cycle de vie du développement logiciel. Cela permet de gagner du temps et d'accroître notre sécurité. »

CARFAX a réalisé des gains de productivité significatifs avec DevSecOps. En automatisant les processus, en déplaçant la sécurité en amont et en réduisant la complexité de la chaîne d'outils, les équipes ont pu simplifier les processus, booster la productivité et augmenter la vélocité de déploiement. Pour la seule année 2022, l'entreprise a enregistré une augmentation de 14 % des déploiements de production.

« Il semble que le passage du code à la production soit maintenant plus net », affirme Mark Portofe. « Nous proposons davantage de nouvelles fonctionnalités, car les équipes passent plus de temps à créer du code qu'à vérifier que leurs pipelines fonctionnent. »

Plus impressionnant encore, cette augmentation des déploiements chez CARFAX est le fait d'une équipe plus petite.

L'équipe en charge des outils de l'entreprise, qui se concentre sur la construction de pipelines et d'utilitaires communs que les 250 ingénieurs logiciels de CARFAX peuvent utiliser pour créer du code, compte normalement cinq membres. Cependant, ils ne sont plus que deux depuis un certain temps et continuent à obtenir des gains de productivité et de déploiement. « La plateforme nous a permis de continuer à faire avancer les choses avec deux personnes », commente Mark Portofe. « Dans l'ensemble, nos déploiements de production ont augmenté d'environ 25 % au cours des cinq premiers mois de 2023, par rapport à la période de cinq mois précédente. Ce résultat est assez incroyable. »

Différentes équipes de CARFAX, qui fait appel aux capacités d'Amazon Web Services (AWS), ont eu différentes ressources sur le cloud au fil du temps. Une infrastructure sur site est également disponible. Il s'agit d'un environnement mixte. Toutefois, les développeurs migrent désormais la plupart de leur infrastructure, de leurs serveurs et de leur code base vers le cloud, à l'aide de GitLab.

« À cette étape, les outils de GitLab sont utiles pour faciliter le passage au cloud », remarque Mark Portofe, ajoutant que CARFAX consolide également sa plateforme de cloud computing.

Il ajoute que la plateforme de GitLab permet à CARFAX d'être cloud agnostique. « Lorsque nous souhaitons mutualiser nos pipelines CI/CD, nous pouvons les déplacer avec une rampe d'accès commune qui facilite les choses », déclare Mark Portofe.