Hilti booste son cycle de développement logiciel avec des pipelines CI/CD et un scanning de sécurité performant

Hilti fournit des solutions complètes aux professionnels de la construction du monde entier, en les équipant de technologies, de logiciels et de services de pointe. L'une des divisions de Hilti se concentre plus particulièrement sur les solutions d'outillage destinées aux entités commerciales. Cette équipe conçoit des logiciels pour les clients exerçant dans le domaine des outils de développement logiciel. Elle veille à livrer des logiciels qui répondent aux réglementations en matière de gouvernance, de risque et de conformité. Hilti s'assure que les bonnes procédures sont en place pour être en conformité avec les réglementations en vigueur dans les différentes régions du globe.

Il y a environ deux ans, Hilti était à la recherche d'une plateforme logicielle pour reconstruire ses projets. L'entreprise avait précédemment externalisé l'un de ses projets de développement logiciel à un fournisseur externe, car elle n'était pas en mesure de gérer ses capacités logicielles de bout en bout en interne. Le code source appartenait à une coentreprise qui utilisait GitHub. Hilti possédait la majorité de la coentreprise, mais elle n'hébergeait pas le code source en interne. Il n'y avait pas de processus CI/CD interne et les équipes ne réalisaient pas de tests de sécurité conformes aux normes les plus strictes. Cette situation était difficile, car les équipes logicielles souhaitaient disposer d'une visibilité et d'une gestion totales sur leur code.

L'objectif de Hilti était d'intégrer le développement logiciel en interne pour permettre aux équipes d'ingénierie et d'architecture de mener des revues de code efficaces, de collaborer véritablement et de partager les bonnes pratiques avec d'autres équipes. Comme Hilti souhaitait une solution qui respecte les normes les plus élevées, l'outil idéal devait être facile à intégrer, intuitif et permettre une intégration fluide. « Nous voulions intégrer un outil dans nos propres systèmes afin de l'avoir sous notre contrôle, et aussi d'en disposer en temps réel. Ça a vraiment été un grand pas en avant », déclare Raphael Hauser, Head of Governance chez Hilti. Le scanning de sécurité figurait en bonne place sur la liste des priorités. Hilti compte entre 10 et 15 équipes réparties dans le monde entier, travaillant en parallèle sur des solutions à grande échelle. La sécurité doit être maîtrisée et agrégée de sorte qu'au moment où on sort une nouvelle version de logiciel, les vulnérabilités aient été détectées en amont. Hilti avait besoin d'un outil avec des fonctionnalités de sécurité puissantes et fiables.

Auparavant, les équipes de développement et de test travaillaient constamment en « mode réactif » lorsqu'elles identifiaient des bogues. Un outil qui offre un moyen de trouver des vulnérabilités dans le pipeline s'avère plus efficace, accélère le workflow tout en responsabilisant les développeurs. « Je veux m'assurer qu'une fois qu'un paquet est déployé en production, il n'introduit aucun autre paquet de code qui pourrait présenter un risque pour Hilti. Le fait d'exposer le code source pose un problème de sécurité d'accès, pas un problème de mise en place d'un scanner de code de sécurité », ajoute Raphael Hauser.

Après avoir étudié et testé différents outils, Hilti a adopté GitLab pour sa facilité d'intégration, ses fonctionnalités de gestion du code source et son scanning de sécurité complet. GitLab a permis de maintenir des normes élevées en matière de performance logicielle et de réaliser rapidement plusieurs types d'analyses approfondies. Hilti utilise les tests statiques et dynamiques de sécurité des applications de GitLab (SAST et DAST, respectivement), ainsi que l'analyse des conteneurs, l'analyse des dépendances, la détection des secrets et la conformité des licences logicielles. « GitLab a une longueur d'avance sur ses concurrents et propose un produit facile à configurer et à mettre en œuvre, avec toutes ces fonctionnalités intégrées », déclare Daniel Widerin, Head of Software Delivery.

Hilti doit respecter diverses réglementations de conformité, parmi lesquelles l'examen des licences, les tests d'applications et l'accès au code source. Pour répondre à ces exigences, l'entreprise a choisi GitLab Ultimate afin de tirer parti de ses fonctionnalités d'analyse de conformité et de sécurité. « En termes de gestion des risques, l'élément clé était que nous pouvions désormais contrôler de manière beaucoup plus précise qui a réellement accès au code source, qui en assure la gestion, ainsi que l'état actuel de la sécurité et de la conformité en matière de propriété intellectuelle », indique Raphael Hauser.

Avec GitLab, Hilti bénéficie maintenant d'un accès complet à son code source et est en mesure de le gérer efficacement. Posséder son propre code réduit le risque de fuite et augmente la flexibilité pour apporter des modifications. « Cela m'a permis de mieux comprendre ce qui se passe réellement dans le code et de le faire en temps réel. Cela a également accéléré le processus d'approbation en matière de sécurité, de protection du code et de conformité aux droits de propriété intellectuelle, ce qui nous aide à maintenir un rythme de livraison plus rapide », poursuit Raphael Hauser.

Les équipes d'ingénierie et d'architecture de Hilti ont adopté GitLab pour la gestion du code source (SCM), les processus CI/CD et les tableaux de bord relatifs à la sécurité, car ces fonctionnalités s'harmonisent parfaitement avec leur pile technologique. Avec GitLab, elles ont pu développer des logiciels en interne, plus rapidement que si elles avaient utilisé un ensemble complexe d'outils. La facilité d'intégration leur permet de travailler avec Jira, Docker et Amazon Web Services (AWS). Tous les services intégrés à GitLab, y compris les artefacts de compilation et les runners, s'exécutent sur AWS et sont déployés sur un cluster Kubernetes.

« GitLab a très bien géré le code source en fournissant des commentaires immédiatement après l'ouverture de la merge request, ou après un commentaire ou un push », explique Daniel Widerin. « Cela signifie que vous n'avez pas besoin de développer toutes ces fonctionnalités par vous-même. La solution GitLab est empaquetée comme une suite logicielle complète et livrée avec un programme d'installation ultrasophistiqué. Et tout fonctionne parfaitement. C'est très pratique quand on est une entreprise qui souhaite simplement être opérationnelle rapidement. » Avec GitLab, les boucles de rétroaction ont été réduites de 50 %, passant de 6 jours à 3 jours, ce qui favorise la productivité et la collaboration.

Les membres de l'équipe apprécient que le pipeline soit directement intégré dans le code source et qu'ils puissent recevoir un retour immédiatement à partir de la merge request, y compris les résultats du scanning de sécurité. « Les développeurs aiment vraiment disposer d'un point central où ils peuvent se connecter et visualiser l'ensemble des différents microservices et composants sur lesquels ils travaillent, que ce soit pour des applications mobiles ou une interface utilisateur web », ajoute Daniel Widerin. Les contrôles du code ont considérablement augmenté, passant de six fois par trimestre à deux fois par semaine, ce qui contribue à maintenir un niveau de qualité élevé.

La rapidité de déploiement a également augmenté, car les équipes de développement et de test sont désormais propriétaires et responsables du code, et peuvent détecter les vulnérabilités à l'avance. Avec GitLab, les délais de déploiement sont passés d'une moyenne de 3 heures à seulement 15 minutes. Les équipes ont maintenant à leur disposition des directives claires sur les critères qu'elles peuvent accepter pour une nouvelle version concernant la gravité des vulnérabilités présentes dans le code. « Nous pouvons remédier plus rapidement aux problèmes critiques, et les équipes bénéficient d'une plus grande stabilité, car elles n'ont pas à gérer des imprévus avant la sortie des nouvelles versions. Et elles bénéficient d'une vue d'ensemble claire de l'état du projet afin qu'elles n'aient pas à apporter des retouches une fois le sprint terminé », explique Raphael Hauser.