A CARFAX melhora a segurança, reduz o gerenciamento de pipeline e diminui os custos com o GitLab

Muitos dos clientes da CARFAX interagem com a empresa de forma online, por isso, ela depende de software para manter e expandir o relacionamento com os clientes e ficar à frente da concorrência. Para isso, a empresa precisa criar software novo, inovador e seguro com eficiência e segurança, além de novos recursos para seus produtos de software mais populares. Ao longo dos anos, as equipes de desenvolvimento da CARFAX acumularam uma cadeia de ferramentas de DevOps que não atendia a todas as necessidades da empresa e, pior ainda, gerava novos desafios.

"Estávamos gastando muito tempo e orçamento com aquisição e manutenção da nossa cadeia de ferramentas, que já contava com 12 ferramentas", diz Mark Portofe, Diretor de Engenharia de Plataformas da CARFAX. "Precisávamos reduzir ao máximo a manutenção da cadeia de ferramentas para que nossas equipes pudessem se concentrar na criação de novos recursos, em vez de no gerenciamento dessas ferramentas."

Além das preocupações com eficiência e produtividade, as equipes de desenvolvimento da CARFAX precisavam de uma solução para identificar vulnerabilidades mais cedo no ciclo de vida do desenvolvimento de software. Os problemas que surgiam durante as análises manuais periódicas, em vez de serem detectados durante o processo de desenvolvimento, estavam custando tempo e dinheiro à empresa. A CARFAX queria reverter isso.

Para implementar as mudanças necessárias, a CARFAX decidiu, em meados de 2020, adotar a plataforma DevSecOps do GitLab, especificamente o GitLab Ultimate. "Com o GitLab, sabíamos que teríamos muitos recursos para aproveitar sem ter que integrar tudo manualmente", diz Portofe.

Para começar, a CARFAX se concentrou em espelhar o codebase no GitLab e utilizar as análises de segurança da plataforma em todo o código. Isso foi concluído nos primeiros seis meses. Em seguida, a empresa começou a usar o GitLab para seu repositório de códigos e recursos de pipeline de CI/CD. Embora não houvesse um cronograma fixo ou uma ordem rigorosa para a migração, as equipes de desenvolvimento de software criaram planos para integrar a plataforma GitLab em seus roadmaps de produtos individuais. Para ajudar as equipes de desenvolvimento que estavam começando a usar o GitLab, a CARFAX formou uma equipe central para trabalhar diretamente com elas.

O uso do GitLab na empresa começou principalmente com aplicativos voltados para o cliente. Ao mesmo tempo, as equipes começaram a migrar os pipelines correspondentes dessas mesmas aplicações. Os softwares que não são voltados para o cliente, bem como aplicações grandes e legadas, terão um processo de migração mais longo.

"Permitimos que as equipes de desenvolvimento planejassem por conta própria", diz Portofe. "Demos muita flexibilidade às equipes porque muitos de seus roadmaps já haviam sido elaborados. Essa abordagem gerou entusiasmo, pois elas perceberam os benefícios, como análises de segurança e melhores insights de código."

Nas etapas iniciais da adoção do GitLab, a CARFAX substituiu várias ferramentas de DevOps de sua cadeia. Em última análise, Portofe afirma que o plano é reduzir pela metade a cadeia de ferramentas.

"Toda a cadeia de ferramentas estava gerando custos, tanto com licenças quanto com ineficiências", diz Portofe. "Com o GitLab, observamos um grande aumento nas análises de segurança, pois a CARFAX conseguiu verificar todo o codebase sem etapas manuais. Isso nos proporcionou uma visão muito melhor das nossas vulnerabilidades de segurança. Economizamos dinheiro e aumentamos a segurança."

Ele também ressalta que a redução da cadeia de ferramentas otimiza as cargas de trabalho da engenharia, aumenta a produtividade e a eficiência e torna o processo de desenvolvimento e implantação mais estável.

"Havia uma certa fragilidade com outras ferramentas que usamos no passado, o que não ocorre com o GitLab", diz Portofe. "Indiretamente, é um benefício para todo o negócio. E esse é o ponto mais importante: como ser o mais eficiente possível ao oferecer recursos aos clientes."

Outro aspecto da plataforma DevSecOps do GitLab que trouxe mais eficiência foi a automação integrada, que introduziu um novo nível de segurança.

A CARFAX tem usado os recursos de segurança automatizados do GitLab para fazer análises de contêiner e de dependência, bem como a detecção de segredos. "Antes do GitLab, realizar análises de segurança no nosso codebase era uma tarefa manual e complicada. Hoje é muito mais fácil", diz Portofe. "Embora a segurança seja uma batalha contínua, os recursos de segurança do GitLab estão facilitando a detecção precoce de problemas pelos desenvolvedores."

Com a análise automatizada da plataforma, a CARFAX conseguiu, no ano passado, identificar quase um terço de suas vulnerabilidades muito mais cedo no ciclo de desenvolvimento.

Portofe ressalta ainda que o uso de uma plataforma faz com que toda a equipe de desenvolvimento pense na segurança desde o início do ciclo de vida do software. Ao priorizar a segurança o quanto antes, eles passam a considerar as necessidades e implicações de segurança enquanto codificam, em vez de fazê-lo mais tarde, quando corrigir qualquer problema se torna mais difícil, caro e menos eficiente.

"Estamos sempre pensando em segurança enquanto projetamos e criamos software", diz ele. "O objetivo não é apenas lançar novos recursos, mas também garantir que eles sejam seguros. Isso se aplica a todas as etapas do ciclo de vida do desenvolvimento de software. Assim, economizamos tempo e aumentamos nossa segurança."

A CARFAX alcançou ganhos significativos de produtividade com o DevSecOps. Ao automatizar processos, antecipar a segurança e reduzir a complexidade da cadeia de ferramentas, as equipes conseguiram simplificar os processos, elevar a produtividade e aumentar a velocidade de implantação. Somente em 2022, a empresa registrou um aumento de 14% nas implantações de produção.

"Parece que agora a transferência do código para a produção está muito mais simplificada", diz Portofe. "Estamos lançando mais recursos do produto porque as equipes podem dedicar mais tempo à criação de código, em vez de se preocupar com o funcionamento dos pipelines."

E o mais impressionante é que a CARFAX está conseguindo esse aumento nas implantações com uma equipe menor.

A equipe de ferramentas da empresa, responsável por desenvolver pipelines e utilitários comuns que seus quase 250 engenheiros de software usam para criar código, normalmente é composta por cinco membros. No entanto, a equipe foi reduzida a apenas dois membros há algum tempo e, mesmo assim, continua alcançando ganhos de produtividade e implantações. "A plataforma nos permitiu operar com uma equipe de duas pessoas e ainda assim manter tudo funcionando", diz Portofe. "Na verdade, nossas implantações de produção, em geral, aumentaram cerca de 25% nos primeiros cinco meses de 2023, em comparação com os cinco meses anteriores. Isso é incrível."

A CARFAX, que utiliza os recursos da Amazon Web Services (AWS), teve diferentes equipes com diversos ativos na nuvem ao longo do tempo. Ela também mantinha uma infraestrutura no local, ou seja, o ambiente era misto. Agora, com a ajuda do GitLab, a empresa está migrando a maior parte de sua infraestrutura, servidores e codebase para a nuvem.

"Ao seguir essa direção, é útil que o GitLab ofereça ferramentas que facilitam a transição para a nuvem", diz Portofe, que também revela que estão consolidando sua plataforma de computação em nuvem.

Ele ainda acrescenta que a plataforma do GitLab permite que a CARFAX seja agnóstica em relação à nuvem. "Ao padronizar nossos pipelines de CI/CD, podemos movê-los usando um ponto de acesso comum, facilitando o processo", diz Portofe.