+
Vuoi scoprire cosa può offrire GitLab Ultimate al tuo team?
Piattaforme per le utilità nei mercati regolamentati
Vector Technology Solutions (VTS), società controllata di Vector Group, è il principale distributore di energia elettrica e gas della Nuova Zelanda. Elaborando in tempo reale i dati provenienti dai contatori intelligenti per aziende di utilità e rivenditori di energia, VTS sviluppa su larga scala una piattaforma di gestione dei dati sull'energia rivolta ai fornitori di servizi di gestione dei contatori e di registrazione dei consumi in Nuova Zelanda e Australia.
Con un team di circa 50 ingegneri operativi secondo un modello DevOps, VTS gestisce l'intero ciclo di vita, dai requisiti al supporto in produzione. Per soddisfare gli obblighi di conformità previsti da quadri normativi quali ISO 27001 e SOC 2, VTS necessitava di un livello di visibilità e controllo che gli strumenti in uso faticavano a garantire.
"In un contesto operativo regolamentato, è cruciale avere sempre un piano per affrontare lo scenario peggiore. Con GitLab Duo in modalità Self-Hosted, ci siamo riusciti. Questa soluzione ci offre un controllo totale sull'accesso alla rete."
VTS utilizzava GitHub come piattaforma principale per il codice sorgente, integrata però con un insieme eterogeneo di sei strumenti di terzi dedicati al controllo del codice sorgente, alla qualità del codice, all'analisi delle vulnerabilità, alla CI/CD e alla gestione delle licenze. Per garantire la qualità del codice serviva SonarQube. Per l'analisi delle vulnerabilità erano necessari strumenti separati. Le pipeline CI/CD richiedevano un altro servizio esterno. Questa configurazione frammentata ha aumentato i costi generali generando un rischio crescente di deriva della configurazione tra i vari repository.
"Definirei questo scenario fastidioso, macchinoso e soggetto a lacune nascoste", spiega Jacques Buitendag, Responsabile tecnologico. "I team utilizzavano GitHub, strumento mai realmente considerato una soluzione completa. Per garantire la qualità del codice, dovevamo ricorrere a un altro strumento come SonarQube. Per l'analisi delle vulnerabilità, avevamo bisogno di strumenti come OWASP Dependency-Check. "L'attenzione di GitHub ai repository lasciava spazio a possibili derive della configurazione nelle nostre pipeline".
I requisiti di governance richiedevano risposte chiare: I processi che applichiamo sono corretti? Mettiamo in pratica questi processi con coerenza? Possiamo dimostrare tutto questo? Con gli strumenti distribuiti tra diversi fornitori, la compilazione dei report di audit era diventata un'operazione che richiedeva diversi giorni.
L'audit di conformità della licenza ha messo in luce il problema. Ogni anno, VTS verificava manualmente ogni progetto, estraeva le dipendenze, consolidava i duplicati e li confrontava con i dati degli anni precedenti. Questo processo richiedeva due giorni interi di lavoro da parte dei tecnici.
Anche la visibilità in materia di sicurezza incorreva nello stesso problema. VTS eseguiva l'analisi a livello di repository senza una revisione a livello aziendale, per cui le vulnerabilità venivano individuate in ritardo e dopo che i team si erano già impegnati a rispettare i traguardi definiti con i clienti, rendendo difficile valutare il rischio e decidere se accettare o correggere le vulnerabilità.
VTS ha scelto GitLab Ultimate con deployment in self-hosting per tre motivi: funzionalità di governance consolidate, controllo dell'infrastruttura e un'esperienza DevEx uniforme.
GitLab ha fornito a VTS una visione unificata di tutti i progetti, consolidando la gestione delle vulnerabilità, la conformità della licenza e le analisi di sicurezza. I team hanno ottenuto un chiaro audit trail e non hanno più dovuto integrare strumenti separati né raccogliere manualmente i dati relativi agli audit.
Anche il modello self-hosted si è rivelato fondamentale. VTS doveva pianificare proprio per l'eventualità di dover affrontare gli scenari peggiori. Con GitLab in esecuzione sull'infrastruttura di VTS, il team è stato in grado di isolare i sistemi, interrompere le comunicazioni di rete e definire chiaramente i limiti per la clientela durante un incidente di sicurezza.
"In un contesto operativo regolamentato, è cruciale avere sempre un piano per affrontare lo scenario peggiore. Con GitLab Duo in modalità Self-Hosted, ci siamo riusciti. La soluzione GitLab ci offre un controllo totale sull'accesso alla rete", spiega Buitendag.
VTS ha completato la migrazione in tre mesi. Questo processo ha incluso la realizzazione dell'infrastruttura, la configurazione dei backup e la migrazione di tutti i repository e delle pipeline.
Dal punto di vista ingegneristico, la transizione è stata volutamente impercettibile. GitLab ha raggiunto la parità delle funzionalità con GitHub e il flusso di lavoro di base è rimasto invariato: stessi rami, stesse richieste di merge e stesso processo di revisione. Non è stato necessario formare nuovamente i team.
"La migrazione è avvenuta senza problemi di alcun tipo", osserva Karen Ip, Responsabile dell'ingegneria. "Il forte sostegno dal team di GitLab ha aiutato il nostro staff tecnico a gestire la configurazione dell'infrastruttura con fiducia".
I vantaggi in termini di governance si sono manifestati immediatamente. Le operazioni di analisi di sicurezza, in precedenza frammentate (SAST, DAST, scansione dei container, analisi delle dipendenze e rilevamento dei segreti) sono state integrate nelle funzionalità native di GitLab.
L'audit di conformità della licenza ha dimostrato il miglioramento in termini di efficienza. Ciò che prima richiedeva due giorni interi ora necessita di mezza giornata. Buitendag ha potuto aprire la pagina delle dipendenze di GitLab, scaricare l'elenco consolidato e individuare le modifiche rispetto all'anno precedente.
"Un processo che richiedeva letteralmente diversi giorni ora equivale a una procedura che rende disponibile una risposta in mezza giornata", spiega Buitendag. "Non solo questa nuova procedura è più veloce, ma ha anche migliorato la precisione e la visibilità".
La sicurezza è migliorata notevolmente. Le vulnerabilità vengono ora visualizzate direttamente nelle richieste di merge, consentendo ai team di valutarne l'impatto prima di integrare il codice. Anziché scoprire eventuali problemi solo dopo la consegna ai clienti del prodotto finale, i team possono valutare i rischi in anticipo e prendere decisioni informate sulle misure correttive da adottare.
"L'approccio Shift Left e la visibilità in anticipo sono due elementi di grande aiuto", osserva Ip. "Quando viene segnalata una vulnerabilità, possiamo esaminare la catena di dipendenza transitiva e chiederci innanzitutto se questa si trova in una parte della dipendenza che utilizziamo effettivamente. In caso contrario, possiamo valutare l'opzione più appropriata a seconda della natura della vulnerabilità. Potrebbe essere necessario eliminarla oppure correggerla quando sarà disponibile la patch, se il livello di rischio è basso e l'impatto è improbabile".
L'impatto sull'attività si è riflesso nella fiducia nella capacità di distribuzione. Gli ingegneri hanno potuto così impegnarsi a rispettare le timeline dei clienti, ben coscienti che eventuali problemi di sicurezza venissero alla luce durante lo sviluppo piuttosto che dopo la consegna. Gli audit delle licenze, che un tempo richiedevano due giorni interi, ora necessitano solo mezza giornata, riducendo così i costi generali della governance in tutto il team di ingegneri.
Infine, la dirigenza ha ottenuto la visibilità di cui aveva bisogno in materia di audit. Anziché ricorrere a diversi strumenti, il team è riuscito a generare report completi con informazioni su progetti, licenze, vulnerabilità e controllo dell'accesso.
Le funzionalità di governance e il modello di deployment in modalità self-hosted consentono a VTS di competere nel mercato statunitense soddisfacendo i requisiti statunitensi di sicurezza informatica delle utilità, tra cui una documentazione completa in materia di sicurezza, risposta agli incidenti e controlli sulla governance dei dati.
Grazie alla governance consolidata e al controllo dell'infrastruttura offerti da GitLab, VTS è in grado di rafforzare ulteriormente la propria capacità di dimostrare la security posture richiesta dai mercati regolamentati. Quando i potenziali clienti chiedono informazioni sulla pianificazione degli scenari peggiori o sulle funzionalità di isolamento dei dati, il team può fare riferimento alle funzionalità di GitLab nelle proprie risposte, sottolineandone la capacità di isolare fisicamente i sistemi, interrompere le comunicazioni di rete e mantenere chiari confini di sicurezza.
Per un team di ingegneri impegnato nella realizzazione di infrastrutture critiche nel settore energetico, il consolidamento non era solo una questione di risparmio, ma anche di riduzione dei costi generali, miglioramento della visibilità sulla governance e possibilità per il team stesso di concentrarsi sullo sviluppo di funzionalità innovative di gestione energetica, anziché su quella dell'espansione incontrollata degli strumenti.
Questa idoneità al mercato è fondamentale mentre VTS continua a espandersi oltre i confini della Nuova Zelanda e dell'Australia, cogliendo le opportunità offerte dal settore delle utilità statunitensi.
VTS considera la migrazione iniziale come la prima fase. Il team prevede di utilizzare GitLab per creare automaticamente ambienti temporanei, eseguire suite di test complete e convalidare le modifiche prima dei merge, fornendo indicatori automatici quando si verificano dei problemi. VTS prevede che la seconda fase della migrazione ridurrà i tempi di compilazione fino al 50% grazie alla flessibilità di configurazione offerta da GitLab nell'ambito della sua architettura a livello di pipeline.
"Stiamo valutando in che modo GitLab possa contribuire ulteriormente a migliorare e ottimizzare il nostro processo del ciclo di sviluppo software", spiega Ip. " Ciò che riteniamo importante è avere GitLab come supporto per automatizzare i processi, eseguire i test in ambienti temporanei e convalidare prima di integrare nuovamente il codice nel progetto principale.
Tutte le informazioni e le persone coinvolte nel case study sono accurate al momento della pubblicazione.