Scopri come la CI/CD, unita a un affidabile processo di analisi della sicurezza, ha accelerato il ciclo di distribuzione software di Hilti

Hilti è leader mondiale nella progettazione e produzione di tecnologie, software e servizi all'avanguardia per il settore delle costruzioni professionali. Un settore di Hilti si dedica specificamente agli strumenti per business unit. Questo team crea software relativi agli strumenti di sviluppo che soddisfano le normative di governance, rischio e conformità. Hilti garantisce che vengano seguite le procedure corrette per rispettare le normative dei diversi Paesi.

Circa due anni fa, Hilti era alla ricerca di una piattaforma software per ricostruire i propri progetti. In passato avevano affidato a un fornitore esterno uno dei loro progetti di sviluppo software, poiché le relative funzionalità non potevano essere gestite internamente al 100%. Il codice sorgente era di proprietà di una joint venture che utilizzava GitHub. Hilti possedeva la maggior parte della joint venture, ma non ospitava internamente il codice sorgente. Non c'era un processo di CI/CD interno e i team non eseguivano test di sicurezza in base agli standard più elevati. Questa situazione era difficile perché i team software volevano la piena visibilità e gestione del proprio codice.

L'obiettivo di Hilti era spostare internamente lo sviluppo software per consentire ai team tecnici e dell'architettura di condurre revisioni adeguate, collaborare efficacemente e condividere le best practice con gli altri team. Poiché Hilti voleva una soluzione che aderisse ai più alti standard, lo strumento ideale doveva essere facile da adottare, intuitivo e doveva offrire un'integrazione perfetta. "Volevamo portare uno strumento on-premise così da averlo sempre sotto il nostro controllo e poterlo usare in tempo reale. È stato davvero un grande passo avanti", ha dichiarato Raphael Hauser, Responsabile capo della governance di Hilti. L'analisi di sicurezza era in cima alla lista delle priorità. Hilti ha da 10 a 15 team che lavorano in parallelo su soluzioni su larga scala in qualsiasi momento a livello globale. La sicurezza deve essere sempre sotto controllo e aggregata così da poter prevedere le vulnerabilità quando una versione del software è pronta. Hilti aveva bisogno di uno strumento con funzionalità di sicurezza potenti e affidabili.

Prima, i team di sviluppo e test si trovavano in "modalità reattiva" durante la fase di rilevazione dei bug. Uno strumento in grado di trovare le vulnerabilità all'interno della pipeline sarebbe molto più efficiente, aumenterebbe la velocità del flusso di lavoro e agevolerebbe gli sviluppatori. "Voglio essere sicuro che una volta rilasciato un pacchetto in produzione, questo non introduca pacchetti di codice rischiosi per Hilti; esporre il codice sorgente è un problema di sicurezza degli accessi, non un problema di analisi del codice", ha aggiunto Hauser.

Dopo aver utilizzato e rivisto vari strumenti, abbiamo scelto GitLab per la sua facilità di integrazione, le funzionalità di SCM e l'analisi di sicurezza completa. GitLab ha fornito tutte quelle funzionalità necessarie a mantenere alti gli standard delle prestazioni del software e a fornire rapidamente più tipi di analisi approfondite. Hilti utilizza i test statici e dinamici della sicurezza delle applicazioni di GitLab (SAST e DAST, rispettivamente), insieme alla scansione dei container, alla scansione delle dipendenze, al rilevamento dei segreti e alla conformità delle licenze. "GitLab è molto più avanti della concorrenza e offre un prodotto facile da configurare e facile da avviare con tutte queste funzionalità integrate", ha affermato Daniel Widerin, Responsabile della distribuzione del software.

Hilti deve rispettare le normative di conformità, tra cui la revisione delle licenze, i test delle applicazioni e l'accesso al codice sorgente. Hilti ha scelto GitLab Ultimate per poter utilizzare l'analisi di sicurezza e di conformità. "Da un punto di vista del rischio, il fattore chiave è la possibilità di poter controllare molto più da vicino chi ha davvero accesso al codice sorgente, chi lo sta gestendo e lo stato attuale in materia di sicurezza e rispetto della proprietà intellettuale", ha affermato Hauser.

Con GitLab, Hilti ora ha pieno accesso al proprio codice sorgente ed è in grado di gestirlo correttamente. Avere il possesso e la responsabilità del proprio codice riduce il rischio di eventuali perdite di codice sorgente e offre una maggiore autonomia nella modifica del codice. "Ora ho molte più informazioni su ciò che sta effettivamente accadendo all'interno del codice, e inoltre tutto questo avviene in tempo reale. Il processo di approvazione riguardante la sicurezza generale, l'integrità del codice e il rispetto della proprietà intellettuale è ancora più rapido, il che ci consente di ridurre le tempistiche di distribuzione", afferma Hauser.

Oggi, i team tecnici e delle architetture IT di Hilti utilizzano GitLab per gestire il codice sorgente, attuare la CI/CD e implementare dashboard di sicurezza compatibili con lo stack tecnologico dell'azienda. Grazie a GitLab, sono riusciti a sviluppare software sfruttando le proprie risorse interne e a un ritmo più veloce, evitando così di utilizzare un complesso set di strumenti. La facilità di integrazione permette ai team di lavorare con Jira, Docker e Amazon Web Services (AWS). Tutti i servizi integrati con GitLab, inclusi gli artefatti e i runner, sono eseguiti su AWS, mentre il deployment avviene in un cluster Kubernetes.

"GitLab ci permette di lavorare in modo ottimale sul codice sorgente: quando si apre una richiesta di merge, oppure dopo che si inserisce un commento o si esegue il push, il feedback è diretto e immediato", afferma Widerin. "In poche parole, il processo di sviluppo è ora molto più condiviso. GitLab è un pacchetto simile a una suite che viene distribuito con un programma di installazione molto sofisticato. E, in qualche modo, funziona. Si tratta di una soluzione ideale per quelle aziende che necessitano di immediatezza operativa e non vogliono complicazioni." Con GitLab abbiamo ridotto le tempistiche dei cicli di feedback del 50%, ovvero da 6 giorni a 3 giorni, migliorando così l'efficienza e agevolando la collaborazione.

I membri del team apprezzano che la pipeline sia direttamente integrata nel codice sorgente, oltre al fatto di poter ricevere un feedback immediato dalla richiesta di merge, inclusi i risultati delle analisi di sicurezza. "A tutti piace l'idea di poter accedere ai vari microservizi e componenti e visualizzarli in modo centralizzato mentre lavorano, anche tramite un'app mobile o l'interfaccia utente di un'applicazione web", ha aggiunto Widerin. I controlli del codice sono aumentati significativamente, ovvero da sei volte ogni tre mesi a due volte a settimana, contribuendo al mantenimento di una qualità molto elevata.

Anche il ritmo di deployment ha registrato un incremento, perché adesso i team di sviluppo e test hanno il controllo diretto del codice e sono in grado di intercettare in anticipo le vulnerabilità. Grazie a GitLab, i tempi di deployment sono diminuiti da una media di tre ore a soli 15 minuti. Adesso i team hanno una visione chiara degli elementi di ciascuna release e sono in grado di valutare la gravità delle vulnerabilità all'interno del codice. "Ora occorre meno tempo per risolvere le criticità e i nostri team possono lavorare con maggiore tranquillità, in quanto non devono più affannarsi prima delle release perché sanno sempre a che punto si trovano: una volta completato lo sprint, il lavoro di rielaborazione è semplicemente superfluo", afferma Hauser.