Como o CI/CD e a análise de segurança robusta aceleraram o SDLC da Hilti

A Hilti é líder mundial em design e fabricação de tecnologias, software e serviços de ponta para o setor de construção profissional. Uma área da Hilti concentra-se especificamente em soluções de ferramentas para unidades de negócios. Essa equipe cria software para clientes na área de ferramentas de desenvolvimento de software que atendam aos regulamentos de governança, risco e conformidade. A Hilti garante que os procedimentos corretos estejam em vigor para cumprir com os requisitos regulatórios em diferentes regiões.

Há cerca de dois anos, a Hilti buscava uma plataforma de software para reconstruir seus projetos. Eles já haviam terceirizado um de seus projetos de desenvolvimento de software, pois a capacidade do software não podia ser gerenciada 100% internamente. O código-fonte era de propriedade de uma joint venture que usava o GitHub. A Hilti era proprietária da maior parte da joint venture, mas não hospedava o código-fonte internamente. Não havia CI/CD interna e também as equipes não realizavam testes de segurança de acordo com os mais altos padrões. Essa situação era desafiadora, pois as equipes de software queriam visibilidade e gerenciamento total do código.

O objetivo da Hilti era internalizar o desenvolvimento de software para permitir que as equipes de engenharia e arquitetura conduzissem revisões adequadas, colaborassem de verdade e compartilhassem as melhores práticas com outras equipes. Como a Hilti queria uma solução que atendesse aos mais altos padrões, a ferramenta ideal precisaria ser fácil de integrar, intuitiva e oferecer integração perfeita. "Queríamos trazer uma ferramenta para nossas instalações para ter controle e acesso em tempo real. Isso foi realmente um grande passo", disse Raphael Hauser, Chefe de Governança da Hilti. A análise de segurança estava no topo da lista de prioridades. A Hilti tem entre 10 e 15 equipes distribuídas que trabalham em paralelo em soluções de grande escala em todo o mundo. A segurança precisa estar sob controle e agregada para que, quando uma versão do software estiver pronta, as vulnerabilidades fiquem visíveis previamente. A Hilti precisava de uma ferramenta com recursos de segurança poderosos e confiáveis.

As equipes de desenvolvimento e teste antes trabalhavam de forma "reativa" ao detectar bugs. Uma ferramenta que oferecesse uma maneira de encontrar vulnerabilidades dentro do pipeline seria mais eficiente, aumentaria a velocidade do fluxo de trabalho e daria mais controle aos desenvolvedores. "Quero ter certeza de que, assim que enviarmos um pacote para produção, não estaremos enviando um pacote de código que crie um risco para a Hilti. Expor o código-fonte é um problema de segurança de acesso, não um problema de análise de código", acrescentou Hauser.

Após analisar e trabalhar com várias ferramentas, o GitLab foi adotado por sua facilidade de integração, seus recursos de SCM e análise de segurança abrangente. O GitLab forneceu os recursos necessários para manter altos padrões de desempenho de software e fornecer rapidamente vários tipos de análises detalhadas. A Hilti usa os testes estáticos e dinâmicos de segurança de aplicações (SAST e DAST) do GitLab, além da análise de contêineres, análise de dependências, detecção de segredos e conformidade com licenças. "O GitLab está muito à frente dos concorrentes e fornece um único produto fácil de configurar e começar a usar, com todos esses recursos integrados", disse Daniel Widerin, Chefe de Entrega de Software.

A Hilti precisa seguir alguns regulamentos de conformidade, incluindo revisão de licenças, testes de aplicativos e acesso ao código-fonte. Ela optou pelo GitLab Ultimate para usar a análise de conformidade e segurança. "Do ponto de vista do risco, o principal fator foi que agora temos um controle muito mais detalhado e rigoroso de quem realmente tem acesso ao código-fonte e quem o gerencia, e do estado atual da segurança e conformidade de IP", disse Hauser.

Com o GitLab, a Hilti agora tem acesso total ao código-fonte e pode gerenciá-lo de forma adequada. Ter a propriedade do código reduz o risco de vazamentos do código-fonte e aumenta o nível dos recursos de alteração de código. "Isso me deu muito mais informações detalhadas sobre o que realmente está acontecendo no código, em tempo real. Também acelerou a minha maneira de conceder aprovações relacionadas à segurança, segurança de código e conformidade de PI, permitindo acompanhar o ritmo mais rápido de entrega", disse Hauser.

As equipes de engenharia e arquitetura da Hilti agora usam o GitLab para SCM, CI/CD e painéis de segurança compatíveis com sua pilha de tecnologia. Com o GitLab, eles conseguiram criar softwares internamente e em um ritmo mais acelerado do que se tivessem usado um conjunto complicado de ferramentas. A facilidade de integração permite que as equipes trabalhem com Jira, Docker e Amazon Web Services (AWS). Todos os serviços integrados ao GitLab, incluindo artefatos de compilação e runners, são executados na AWS e implantados em um cluster do Kubernetes.

"O GitLab fez um ótimo trabalho com o código-fonte, permitindo receber feedback diretamente após abrir uma solicitação de merge ou fazer um comentário ou envio por push", disse Widerin. "O que quero dizer é que você não precisa desenvolver tudo isso por conta própria. O GitLab é disponibilizado em um pacote, como uma suíte, e vem com um programa de instalação muito sofisticado. E então, de alguma forma, funciona. Isso é muito bom se você é uma empresa que só quer colocá-lo em operação." Com o GitLab, os ciclos de feedback foram reduzidos em 50%, passando de 6 para 3 dias, oferecendo maior eficiência e colaboração.

Os membros da equipe apreciam que o pipeline esteja diretamente integrado ao código-fonte, permitindo obter feedback imediato da solicitação de merge, incluindo os resultados da análise de segurança. "As pessoas realmente gostam de ter um ponto central onde podem fazer login e ver todos os diferentes microsserviços e componentes enquanto trabalham, mesmo com aplicativos móveis e interfaces web", acrescentou Widerin. As verificações de código aumentaram significativamente, passando de seis vezes a cada três meses para duas vezes por semana, mantendo assim a alta qualidade.

As velocidades de implantação aumentaram, pois agora as equipes de desenvolvimento e teste têm propriedade do código e conseguem detectar vulnerabilidades com antecedência. Os tempos de implantação diminuíram de uma média de três horas para apenas 15 minutos com o GitLab. Agora, eles têm orientações claras sobre o que é aceitável para qualquer lançamento em relação à severidade das vulnerabilidades no código. "Conseguimos remediar descobertas críticas mais rapidamente, e as equipes têm um pouco mais de estabilidade, pois não precisam apagar incêndios antes do lançamento (...) Isso nos ajuda a dar a eles uma visão geral de onde estão para que não tenham retrabalho após a conclusão de um sprint", disse Hauser.