Como a The Zebra alcançou pipelines seguros, preto no branco

A The Zebra foi criada para disponibilizar aos clientes uma maneira simplificada de comparar provedores de seguros. Fundada em 2012, a The Zebra é uma loja online de comparação de seguros que pesquisa opções de seguros de carro e oferece as melhores taxas disponíveis. A The Zebra expandiu-se recentemente para o setor de seguros de proprietários e locatários.

A The Zebra usava o GitHub como repositório e o Jenkins para implantações. As equipes também usavam o Terraform para implantar na AWS. O número de plugins do Jenkins criou uma quantidade esmagadora de trabalho de gerenciamento. Além disso, a variedade de plugins causava vulnerabilidades de segurança, pois algumas ferramentas não eram mais compatíveis ou eram muito frágeis para serem atualizadas no ambiente de implantação.

"O nosso maior problema era usar o Jenkins para fazer nossas implantações antes do GitLab. Usamos muitos plugins para isso. Era tão frágil que ninguém queria mexer nisso", disse Dan Bereczki, Gerente de software sênior. "Todos que tentavam o quebravam, e as implantações ficavam inativas por 12 ou até 24 horas para tentar consertar ou atualizar tudo."

As equipes queriam melhorar o processo de CI/CD existente, mas isso significava adicionar plugins ao Jenkins, complicando ainda mais o nível de manutenção existente. A The Zebra precisava de uma nova solução que integrasse testes e segurança, além de permitir implantações em diversas plataformas.

A The Zebra pesquisou várias plataformas para substituir os plugins existentes e diminuir o estresse da gestão. Ela adotou o GitLab pois ele fornece um repositório aprimorado sem a necessidade de gerenciar plugins. Além disso, os recursos de CI/CD foram o principal atributo de destaque.

Não só isso, mas as equipes estavam ansiosas para adotar o GitLab, pois ele oferece recursos que outras soluções não oferecem, como segurança integrada. "As pessoas perceberam como tinham mais controle sobre seus processos e como era fácil fazer a transição. Concluímos a migração em menos de três meses", disse Bereczki. Noventa e cinco por cento do código do Jenkins foi migrado nesse período e, desde então, eles abandonaram completamente o Jenkins e o GitHub.

Todas as seis equipes de desenvolvimento de aplicações e até mesmo algumas equipes de fora do desenvolvimento estão usando o GitLab. "Agora, em vez de ter uma ou duas pessoas que entendem as complexidades do Jenkins e conseguem resolver os problemas, todos sabem como trabalhar com o pipeline do GitLab", disse Bereczki. As equipes, que antes usavam 3 ferramentas (GitHub, Codeship CI e Jenkins Deploy), passaram a usar apenas a CI/CD do GitLab, de forma totalmente integrada e automatizada.

Com o GitLab, a The Zebra agora pode se concentrar em alcançar uma implantação contínua, pois as equipes conseguem implantar à vontade, sem esperar por outras programações. Todas as equipes de desenvolvimento têm um papel maior no processo de implantação, pois entendem como o pipeline de CI funciona e conseguem trabalhar dentro dele. Além disso, a infraestrutura não é mais um gargalo para a implantação.

O fluxo de trabalho geralmente começa com uma solicitação do marketing. A partir daí, ela se torna um resumo técnico que é dividido em um conjunto de tíquetes do JIRA e, depois, atribuído à equipe apropriada. Em seguida, o trabalho se inicia, o código é gerado e entra no repositório do GitLab. Então, a equipe usa o pipeline de CI/CD do GitLab para implantá-lo no ambiente de desenvolvimento. O Terraform é usado para implementar a infraestrutura como código para garantir que as alterações de configuração sejam mantidas durante todo o processo de teste e implantação.

As equipes usam o Amazon EKS com o RDS. O roteamento de tráfego é inicialmente feito pelo Cloudflare e, em seguida, pelo Elastic Load Balancing interno. Quando os desenvolvedores precisam conectar os serviços da The Zebra a serviços externos de terceiros, usam a Virtual Private Cloud da Amazon. "Não queremos sistemas que são como uma caixa preta que ninguém sabe como funciona. Estamos aos poucos nos livrando disso", disse Bereczki.

O GitLab possibilitou relacionamentos multifuncionais entre as equipes de desenvolvimento, pois agora elas têm a propriedade do código até o início da produção. Os desenvolvedores conseguem entender cada etapa da implantação, resolver quaisquer problemas e fazer alterações sem se preocupar em interromper outras partes do fluxo de trabalho.

O SAST e DAST do GitLab facilitam a conformidade com a certificação SOC2 Tipo 1, e agora as equipes estão obtendo a certificação SOC2 Tipo 2. Ele também ofereceu testes e medidas de segurança adicionais para reduzir o risco. "O maior impacto é que temos um monte de vulnerabilidades que nem sabíamos que existiam, e agora podemos resolvê-las. Estamos trabalhando em corrigi-las", afirma Bereczki. Até agora, eles já eliminaram todas as vulnerabilidades Críticas e Altas identificadas em quatro projetos. "O bom é que, como isso agora faz parte do pipeline, não vamos ter surpresas quando agendarmos um teste de penetração ou quando fizermos testes trimestrais ou semestrais", acrescentou Bereczki.