Arpio fait confiance à Chainguard pour accélérer sa conformité et remporter des contrats avec de grandes entreprises
Le défi
Arpio est la seule plateforme de reprise après sinistre automatisée et native pour le cloud pour AWS et Azure. Conçue pour les charges de travail modernes et natives pour le cloud, Arpio offre une reprise après sinistre en un clic pour l'ère du cloud. Avec une équipe d'ingénierie restreinte de 12 personnes soutenant une entreprise de 30 personnes, chaque décision concernant les ressources compte, et la sécurité a toujours été intégrée au fonctionnement de l'équipe.
Début 2025, une opportunité majeure auprès d'une grande entreprise s'est présentée, avec une condition particulière. Le prospect avait besoin qu'Arpio réponde aux exigences FedRAMP avant de pouvoir aller de l'avant, notamment la conformité FIPS 140, des modules cryptographiques vérifiés, une nomenclature logicielle (SBOM) et une attestation de provenance, le tout en un seul trimestre.
Ils savaient qu'ils devaient se mettre en conformité, mais n'étaient pas sûrs de devoir tenter l'aventure seuls dans les délais impartis. Comme l'a expliqué Shaw Terwilliger, cofondateur et directeur technique : « Donnez-moi un an et je peux facilement établir une cartographie NIST 800. Mais en allant si vite, alors que le client disait qu'il fallait s'aligner sur leurs exigences internes et celles des clients de leurs clients, l'inconnu était bien réel. Nous savions que si nous choisissions un partenaire qui avait déjà cartographié tout cela, nous pourrions compter sur lui pour nous fournir les pièces manquantes qu'il était trop risqué de construire nous-mêmes dans ces délais. »
La solution
Arpio a rapidement cherché un partenaire capable de fournir des images conformes à la norme FIPS 140, des SBOM et des attestations de provenance sans obliger l'équipe d'ingénierie à assembler des composants ou à créer des processus de conformité à partir de zéro. Chainguard Containers a coché toutes les cases.
Le modèle de licence a permis à Arpio d'utiliser facilement les mêmes images dans tous les environnements, du développement local à la production. Pour une petite équipe gérant une architecture complexe et multi-environnements, cette cohérence était importante. Comme l'a expliqué Shaw : « Dans notre métier, nous devons assurer la sécurité de bout en bout. »
Quelques jours après le premier accès, l'équipe avait effectué son premier commit en utilisant Chainguard Containers et les avait poussés en production peu de temps après. En 30 jours, Chainguard fonctionnait sous chaque fonction Lambda et chaque conteneur Amazon ECS sur l'ensemble de la plateforme, y compris le code déployé dans les environnements clients, offrant à Arpio un moyen unifié de fournir des correctifs de sécurité à ses propres systèmes et aux comptes de ses clients en un seul processus. Sans cela, le déploiement d'un correctif dans les environnements clients aurait nécessité un processus manuel, compte par compte, à chaque fois qu'une vulnérabilité était découverte.
Une fois le contrat avec la grande entreprise remporté, l'équipe a pris la décision délibérée de normaliser les images conformes à la norme FIPS sur l'ensemble du produit, et pas seulement pour le client qui l'exigeait. Shaw a réfléchi : « C'est agréable de se normaliser sur une plateforme standard. Lorsqu'un client exige la conformité FIPS, nous pouvons la fournir sans personnalisation. »
Les résultats
Un contrat majeur avec une grande entreprise, remporté sans augmenter les effectifs
Le résultat le plus immédiat du déploiement de Chainguard Containers ? Arpio a remporté le client entreprise. Ce qui avait commencé comme un sprint de conformité à enjeux élevés et aux délais serrés s'est transformé en une partie reproductible de la stratégie de mise sur le marché d'Arpio. La conformité FIPS 140, autrefois une exigence spécifique d'un client, est désormais standard sur l'ensemble de la plateforme, permettant à Arpio de prendre en charge les clients utilisant le chiffrement pour des données sensibles du gouvernement américain.
Shaw a estimé que le maintien d'un programme de conformité FIPS et NIST 800 interne aurait nécessité une augmentation des effectifs d'environ 10 %, soit un ou deux ingénieurs seniors dont le temps aurait été entièrement détourné de la construction du produit. Et recruter dans des délais serrés comporte ses propres risques : pour une petite entreprise, embaucher rapidement des personnes seniors aurait rendu la rentabilité du contrat beaucoup moins favorable.
« Ce que Chainguard a apporté à Arpio, c'est l'échelle. Plutôt que d'ajouter un ou deux ingénieurs très expérimentés, nous pouvons fournir des environnements conformes tout en continuant à étendre les capacités de la plateforme. Cela va au-delà de la mise en œuvre initiale jusqu'à la maintenance continue de la norme de conformité », a-t-il expliqué, notant que la gestion des modules cryptographiques, les correctifs et la nomenclature logicielle occuperaient probablement un ingénieur à plein temps.
La liberté de se développer vers les conteneurs
Comme les organisations qu'ils servent, Arpio a progressivement orienté une plus grande partie de son architecture vers les conteneurs, et Chainguard a rendu ce changement plus facile à gérer du point de vue de la conformité. À mesure que la plateforme se développe au-delà des fonctions Lambda vers des calculs plus sophistiqués, la gestion des vulnérabilités au niveau du système d'exploitation, les correctifs et le travail de configuration qui alourdiraient normalement la charge de conformité sont largement couverts. Et parce que Chainguard gère cette couche de manière fiable, l'équipe d'ingénierie n'a pas à s'en soucier. Arpio reconstruit ses images de conteneurs à partir de zéro des dizaines de fois par jour, et le processus fonctionne tout simplement.
Shaw a expliqué : « Nous pouvons dire qu'une grande partie de notre configuration système, de nos correctifs et de notre gestion des vulnérabilités est couverte par Chainguard et que notre application vit au-dessus. C'est la flexibilité nécessaire pour développer notre activité sans ajouter beaucoup plus de complexité et de travail en matière de conformité. »
Des cycles de vente plus rapides et une confiance accrue des clients
La base de conformité fournie par Chainguard a eu des effets en aval sur la façon dont l'équipe de mise sur le marché d'Arpio gère les questionnaires de sécurité, et sur la façon dont les clients réagissent lorsque Chainguard est évoqué dans la conversation. Les questionnaires de sécurité avancent plus rapidement et la réputation de Chainguard résonne auprès des clients.
Comme l'a partagé Shaw : « Chainguard a une excellente réputation. J'ai dit à plusieurs clients : 'Je suis fier de dire que nous utilisons Chainguard pour sécuriser nos images.' Lorsque vous essayez de communiquer votre posture de sécurité, pouvoir désigner un leader de confiance et reconnu dans le domaine fait toute la différence. Les clients comprennent immédiatement notre approche de la sécurité et les normes auxquelles nous nous tenons. »
Quelle est la prochaine étape ?
Arpio ne fait que commencer avec Chainguard. L'équipe travaille à l'adoption des bibliothèques Chainguard pour les dépendances Python et npm, apportant ainsi à ses paquets open source la même base de sécurité que celle fournie au niveau du système d'exploitation.