+

Como a Vector Technology Solutions alcançou 75% mais rapidez na auditoria de licenças com o GitLab

  • Migração do GitHub sem complicações
  • Maior segurança
  • Custos indiretos reduzidos
Como a Vector Technology Solutions alcançou 75% mais rapidez na auditoria de licenças com o GitLab
IndustryEnergia e serviços públicos
FuncionáriosMais de 50
LocalAuckland, Nova Zelândia

Quer saber o que o GitLab Ultimate pode fazer pela sua equipe?

Comece sua avaliação gratuita

Construção de plataformas para serviços públicos regulamentados

A Vector Technology Solutions (VTS) é uma subsidiária do Vector Group, a maior distribuidora de eletricidade e gás da Nova Zelândia. A VTS desenvolve uma plataforma de gestão de dados de energia em grande escala (hyperscale) destinada a provedores de serviços de medição na Nova Zelândia e na Austrália, processando dados de medidores inteligentes em tempo real para concessionárias e empresas de comercialização de energia.

A VTS conta com uma equipe de cerca de 50 engenheiros que trabalham no modelo DevOps, sendo responsável por todo o ciclo de vida, desde os requisitos até o suporte à produção. Para cumprir as obrigações de conformidade previstas em normas como a ISO 27001 e a SOC 2, a VTS precisava de um nível de visibilidade e controle que suas ferramentas existentes tinham dificuldade em oferecer.

"No setor regulamentado, precisamos estar sempre preparados para o pior cenário possível. Com o GitLab auto-hospedado, temos essa segurança. A auto-hospedagem do GitLab nos dá controle total sobre o acesso à rede."

- Jacques Buitendag, Diretor de Tecnologia, Vector Technology Solutions
Ferramentas desconectadas geraram lacunas de governança

A VTS utilizava o GitHub como sua plataforma principal de código-fonte, mas a complementava com um conjunto heterogêneo de seis ferramentas de terceiros para controle de versão, qualidade de código, análise de vulnerabilidades, CI/CD e gerenciamento de licenças. A qualidade do código exigia o uso do SonarQube. A análise de vulnerabilidades demandava ferramentas distintas. Era necessário usar outro serviço externo para os pipelines CI/CD. Essa configuração fragmentada aumentava a sobrecarga e criava um risco crescente de desvio de configuração entre os repositórios.

"Eu descreveria isso como algo incômodo, trabalhoso e propenso a falhas ocultas", explicou Jacques Buitendag, diretor de tecnologia. "As equipes usavam o GitHub, mas a plataforma nunca teve a proposta de ser uma solução completa. Quando precisávamos de análise da qualidade do código, era necessário recorrer a outra ferramenta, como o SonarQube. Para a análise de vulnerabilidades, usávamos soluções como o OWASP Dependency-Check. Como o foco do GitHub está nos repositórios, isso acabava abrindo espaço para inconsistências e desvios entre nossos pipelines."

Os requisitos de governança exigiam respostas claras: será que temos os processos certos? Estamos colocando isso em prática de forma consistente? Será que podemos provar isso? Com as ferramentas distribuídas entre diferentes fornecedores, reunir relatórios de auditoria passou a ser uma tarefa que levava vários dias.

A auditoria de conformidade de licenças revelou o problema. Todos os anos, a VTS verificava manualmente cada projeto, extraía as dependências, consolidava duplicidades e as comparava com as dos anos anteriores. Esse processo consumia dois dias inteiros de trabalho da equipe de engenharia.

A visibilidade da segurança enfrentava o mesmo problema. A VTS realizava verificações de segurança no nível dos repositórios, sem uma análise abrangente de toda a empresa. Como resultado, as vulnerabilidades só eram identificadas tardiamente — depois que as equipes já haviam assumido compromissos com marcos de entrega para os clientes —, o que dificultava avaliar os riscos e decidir se essas vulnerabilidades deveriam ser aceitas ou corrigidas.

Plataforma auto-hospedada para controle de governança

A VTS escolheu o GitLab Ultimate com implantação auto-hospedada por três motivos: recursos consolidados de governança, controle da infraestrutura e uma experiência integrada para os desenvolvedores.

O GitLab proporcionou à VTS uma visão unificada de todos os projetos, consolidando o gerenciamento de vulnerabilidades, a conformidade de licenças e a análise de segurança. As equipes passaram a contar com uma trilha de auditoria clara e não precisaram mais integrar ferramentas separadas nem reunir manualmente os dados de auditoria.

O modelo auto-hospedado também se mostrou fundamental. A VTS precisava se preparar para os piores cenários possíveis. Ao executar o GitLab na infraestrutura da VTS, a equipe conseguia isolar sistemas, interromper comunicações de rede e demonstrar limites claros aos clientes durante um incidente de segurança.

"No setor regulamentado, precisamos estar sempre preparados para o pior cenário possível. Com o GitLab auto-hospedado, temos essa segurança. A auto-hospedagem do GitLab nos dá controle total sobre o acesso à rede", explicou Buitendag.

Migração em três meses com transição sem complicações

A VTS concluiu sua migração em três meses, incluindo a implantação da infraestrutura, a configuração dos backups e a migração de todos os repositórios e pipelines.

Do ponto de vista da engenharia, a transição foi deliberadamente imperceptível. O GitLab entregou paridade de recursos com o GitHub, e o fluxo de trabalho principal permaneceu inalterado — os mesmos branches, as mesmas solicitações de merge e o mesmo processo de revisão. As equipes não precisaram passar por um novo treinamento.

"A migração ocorreu de forma muito tranquila", afirmou Karen Ip, chefe de engenharia. "Contamos com um forte apoio dos profissionais do GitLab, que ajudaram nossa equipe técnica a lidar com a configuração da infraestrutura de modo confiante."

Ganhos em governança se traduzem em maior confiança na entrega

Os benefícios em termos de governança se manifestaram imediatamente. As análises de segurança antes dispersas — SAST, DAST, análise de contêiner, Dependency Scanning e detecção de segredos — foram consolidadas nos recursos nativos do GitLab.

A auditoria de conformidade de licenças demonstrou o ganho de eficiência. O que anteriormente demandava dois dias completos passou a ser feito em meio dia. Buitendag acessou a visualização de dependências do GitLab, baixou a lista consolidada e identificou as alterações em relação ao ano anterior.

"Eu reduzi um processo de vários dias para obter minha resposta em meio dia", explicou Buitendag. "Não foi só mais rápido, como também aumentou a precisão e a visibilidade."

A segurança melhorou substancialmente. Agora, as vulnerabilidades aparecem nas solicitações de merge, permitindo que as equipes avaliem o impacto antes que o código seja mesclado. Em vez de descobrirem problemas depois de se comprometerem com as entregas aos clientes, as equipes podem avaliar os riscos antecipadamente e tomar decisões fundamentadas sobre as medidas de remediação.

"Antecipar o ciclo de desenvolvimento e ter visibilidade com antecedência é uma grande ajuda", observou Ip. "Quando uma vulnerabilidade é identificada, podemos examinar a cadeia de dependências transitivas e perguntar: isso faz parte da dependência que realmente usamos? Se a resposta for não, podemos avaliar a opção mais adequada conforme a natureza da vulnerabilidade, seja removê-la ou corrigi-la quando o patch estiver disponível, caso o nível de risco seja baixo e o impacto seja improvável."

O impacto para os negócios se traduziu em maior confiança na entrega. Os engenheiros podiam se comprometer com os prazos dos clientes sabendo que os problemas de segurança surgiriam durante o desenvolvimento, e não após os compromissos de entrega. As auditorias de licenças, que antes levavam dois dias inteiros, passaram a demorar meio dia, reduzindo a carga administrativa relacionada à governança em toda a equipe de engenharia.

A liderança obteve a visibilidade necessária sobre a auditoria. Em vez de depender de várias ferramentas, eles podiam gerar relatórios completos diretamente no GitLab, mostrando projetos, licenças, vulnerabilidades e controle de acesso.

Preparação para a expansão do mercado regulamentado

Os recursos de governança e o modelo de implantação auto-hospedado permitem que a VTS concorra no mercado dos Estados Unidos, atendendo aos requisitos de segurança cibernética das concessionárias de serviços públicos americanas, incluindo documentação robusta sobre controles de segurança, resposta a incidentes e governança de dados.

Com a governança consolidada e o controle de infraestrutura do GitLab, a VTS consegue fortalecer ainda mais sua capacidade de comprovar o nível de segurança exigido pelos mercados regulamentados. Quando clientes em potencial perguntam sobre o planejamento para o pior cenário possível ou sobre os recursos de isolamento de dados, a equipe pode aproveitar e citar os recursos do GitLab nas respostas, destacando sua capacidade de isolar fisicamente sistemas, interromper as comunicações de rede e manter limites de segurança bem definidos.

Para uma equipe de engenharia responsável pela construção de infraestrutura crítica no setor de energia, a consolidação não se resumia apenas à redução de custos — tratava-se de diminuir as despesas gerais, melhorar a visibilidade da governança e permitir que a equipe se concentrasse no desenvolvimento de recursos inovadores de gestão de energia, em vez de ter que lidar com a proliferação de ferramentas.

Essa preparação para o mercado é fundamental, já que a VTS continua a se expandir para além da Nova Zelândia e da Austrália, buscando oportunidades no setor de serviços públicos dos Estados Unidos.

Maximização dos recursos da plataforma

A VTS considera a migração inicial como a primeira fase. A equipe planeja usar o GitLab para criar automaticamente ambientes temporários, executar conjuntos completos de testes e validar alterações antes do merge — fornecendo indicadores automatizados quando algo não estiver correto. A VTS prevê que a segunda fase da migração reduzirá o tempo de compilação em até 50%, graças à flexibilidade de configuração do GitLab em toda a sua arquitetura de pipeline.

"Estamos analisando como o GitLab pode ajudar ainda mais a melhorar e otimizar nosso processo do ciclo de vida do desenvolvimento de software", explicou Ip. " O GitLab automatiza processos, realiza testes em ambientes temporários e faz a validação antes de integrar de volta ao código principal, e isso é realmente importante."

Todas as informações e pessoas mencionadas no estudo de caso refletem a realidade na data da publicação.