Aikido se basa principalmente en herramientas ya disponibles, lo que hace factible replicar las funcionalidades técnicas básicas que ofrece. Esto significa que no están introduciendo ninguna característica novedosa de escaneo de seguridad. También son muy abiertos al respecto al proporcionar algunas referencias sobre cómo y con qué herramienta se encontró un determinado hallazgo. Para nuestro caso de uso específico, creo que la fortaleza de Aikido radica en otras áreas, principalmente en abordar falsos positivos y proporcionar una plataforma fácil de usar para tener una comprensión completa de su situación de seguridad. Abordar los falsos positivos se logra considerando factores como el entorno (desarrollo/producción) y si la función o característica vulnerable está presente en su base de código. Si desarrolláramos nuestras propias herramientas de seguridad utilizando pipelines de CI/CD o algo comparable, estaríamos atrapados con numerosas alertas falsas cada semana, lo que requeriría una revisión manual. Como se mencionó anteriormente, replicar las características técnicas básicas que Aikido proporciona es posible. Aunque sería una tarea que consume muchos recursos y tediosa, ciertamente es alcanzable (lo cual comenzamos a hacer en algún momento antes de empezar a usar Aikido). Sin embargo, un aspecto desafiante de replicar es la capacidad de integrar varias herramientas de seguridad en una sola plataforma/interfaz, adaptada tanto para el personal de gestión como técnico.

En una era donde las vulnerabilidades de seguridad son abundantes, es crucial equipar tu ciclo de vida de desarrollo de software con un conjunto completo de herramientas que puedan cubrir cada aspecto de la seguridad. Recientemente, tuve la oportunidad de probar Aikido, que reúne una multitud de características bajo un mismo techo. Como usuario de esta herramienta de seguridad, he encontrado que el Escaneo de Dependencias de Código Abierto (SCA), el Análisis de Código Estático, el Escaneo de Licencias de Código Abierto y la Detección de Malware en Dependencias son una parte integral de mi flujo de trabajo de desarrollo. El SCA me mantiene libre de preocupaciones sobre vulnerabilidades, y me encanta cómo el Análisis de Código Estático detecta problemas antes de que lleguen al código principal. El escaneo de licencias me ha ahorrado muchos dolores de cabeza, informándome si hay peligros ocultos en las licencias que estoy usando. ¿Y la Detección de Malware? Es como tener un guardián silencioso vigilando mi código, asegurándose de que nada malicioso se infiltre. Todas estas características se sienten bien pensadas y diseñadas con un desarrollador como yo en mente. No se trata solo de seguridad; se trata de tranquilidad, sabiendo que mi trabajo está seguro y protegido. Ha sido una gran experiencia, y no querría programar sin estas herramientas a mi lado.

Our teams have been able to quickly deploy and get value out of Aikido where our previous solution was noisey and cumbersome. The fact that we get all the code coverage we need with SAST+, SCA, IaC, Secrets Detection, Licensing, etc. all in one product is amazing and makes it easy for our engineering teams to see problem areas and fix them quickly. The other major feature of auto-triage has been such a time saver for our teams, telling us if we are actually using those libraries or certain modules in libraries and excluding them if they aren't relevant is so huge for us. This enables our business to focus on fixing critical issues, ignoring irrelevant ones and delivering product to our customers. Lastly I'd just call out the speed of development/features we are seeing in Aikido. The team fixes bugs quickly, is executing on their roadmap and they are always open to feedback.