Anduril est à l'avant-garde des solutions de défense basées sur l'IA, développant des systèmes sans pilote tels que des drones et des sous-marins pour protéger la vie des Américains qui servent en première ligne. Ces solutions critiques dépendent du déploiement sécurisé, fiable et rapide de logiciels propriétaires.

Pour répondre aux normes les plus élevées de sécurité et de fiabilité, Anduril s'est tourné vers Chainguard pour l'aider à protéger sa chaîne d'approvisionnement en logiciels. Chaque image de conteneur utilisée par Anduril devait être exempte de vulnérabilités connues et prête pour un déploiement rapide, alimentant les systèmes de défense critiques sans ralentir l'innovation.

Le défi

Avant Chainguard, Anduril était enfermée dans un cycle sans fin de triage des vulnérabilités pour maintenir un mandat zéro-CVE. Pour répondre aux exigences strictes du ministère de la Guerre et des clients en matière de sécurité, il fallait patcher les CVE dans un ensemble d'images de conteneurs en croissance rapide. Cet effort aurait nécessité la mise en place et le maintien d'une équipe importante dédiée au durcissement des images et à la remédiation - à la fois pour le travail initial et pour la maintenance continue.

Joe McCaffrey, RSSI d'Anduril, explique : "Il nous était très difficile de répondre aux exigences de sécurité de la DoW et de nos clients, car nous devions appliquer des correctifs CVE à grande échelle. Compte tenu de la quantité de logiciels que nous créons, il est pratiquement impossible de le faire sur l'ensemble de nos images de conteneurs, ou alors il nous aurait fallu mettre en place et maintenir une grande équipe pour le faire. Et ce n'était pas quelque chose qui nous intéressait".

L'hypercroissance d'Anduril a aggravé le problème. Comme l'explique Amanda Huey, ingénieure en logiciel chez Anduril, "Du fait de notre croissance rapide et de l'augmentation très rapide de nos secteurs d'activité, nous avons introduit beaucoup de code open source dont les vulnérabilités n'avaient pas été vérifiées au préalable. Cela a continué à créer une dette technique du côté de la remédiation et des correctifs".

Ce qui semblait gérable avec une poignée de déploiements est devenu intenable à grande échelle : le temps consacré par les ingénieurs au développement des produits a été consacré au travail sur les vulnérabilités, ce qui a ralenti la livraison des fonctionnalités et brisé l'élan. JP Ratliff, responsable de l'ingénierie logicielle chez Anduril, explique : "La charge était si lourde pour l'équipe d'ingénieurs que nous ne pouvions pas livrer de nouvelles fonctionnalités". L'équipe avait besoin d'un partenaire capable de faire des conteneurs sécurisés, zéro CVE, la solution par défaut, afin que les développeurs puissent reprendre la livraison des fonctionnalités critiques.

La solution

Consciente de la charge et des risques associés à son propre pipeline d'images, Anduril s'est tournée vers Chainguard Containers pour faire le gros du travail. Le délai de rentabilité pour Anduril était immense.

Comme l'explique Amanda, "La mise en place et le fonctionnement de Chainguard ont été très faciles. Nous avons pu nous contenter d'utiliser la documentation fournie. La mise en place a pris environ une journée et nous avons pu utiliser les images de Chainguard rapidement.

Les résultats

Le partenariat avec Chainguard a permis de transformer les équipes de sécurité et d'ingénierie d'Anduril, en remodelant à la fois les opérations et la culture.

Mise à l'échelle des logiciels sécurisés avec rapidité

Grâce à l'open source de Chainguard, les équipes d'Anduril chargées de la sécurité des applications et des plates-formes ont considérablement réduit la charge de travail des ingénieurs. Le temps précédemment consacré à la remédiation des CVE, aux processus ATO et au triage des résultats d'analyse des clients a été récupéré, ce qui a permis aux ingénieurs de se concentrer sur l'innovation de la plateforme et la technologie de défense avancée, plutôt que de maintenir des pipelines d'images sur mesure.

"Ma vie a radicalement changé depuis que j'ai adopté Chainguard. J'ai pu me concentrer davantage sur le développement de fonctionnalités et la conception de nouvelles fonctions pour Anduril plutôt que sur la correction des vulnérabilités", a déclaré Amanda.

La culture de l'open source a également évolué. JP explique : "Avant Chainguard, nous étions très prudents lorsque nous introduisions de nouveaux conteneurs open source, car nous ne savions pas ce que nous allions obtenir. Aujourd'hui, s'il est couvert par Chainguard, nous l'introduisons. Nous n'avons pas besoin de nous en préoccuper, c'est génial".

Le verdict "construire-acheter

La conclusion était claire. Essayer de mettre en place ce que JP appelait une "usine logicielle" interne aurait consommé d'innombrables heures d'ingénierie pour un gain marginal. Chainguard a déjà construit ce que nous appelons l'usine Chainguard. Il est notoirement difficile de mettre en place ce type de pipeline de logiciels sécurisés en interne, mais grâce à la Chainguard Factory, des entreprises comme Anduril n'ont pas à réinventer la roue, ce qui leur permet de se concentrer sur l'innovation critique plutôt que sur le triage des vulnérabilités.

Comme le résume JP : "Ne le faites pas vous-même. N'y pensez même pas. Vous allez perdre tellement d'heures d'ingénierie à essayer de construire une usine logicielle pour gérer cela alors que cela existe déjà avec Chainguard".