Dirac opère à l'intersection des logiciels en nuage et de l'industrie lourde. Ses clients construisent des avions, des équipements lourds et d'autres systèmes critiques, pour lesquels la fiabilité et la sécurité sont essentielles. BuildOS, le produit phare de Dirac, doit fonctionner de manière fiable dans les environnements cloud gérés, les clouds des clients et les réseaux étroitement contrôlés, aux côtés des systèmes de technologie opérationnelle.

Le défi

Comme de nombreuses startups en pleine évolution, Dirac s'appuie fortement sur l'open source, qu'il s'agisse d'images de base pour les moteurs d'exécution des langages ou d'applications tierces pour les bases de données et l'outillage d'observabilité. Si l'open source permet à Dirac d'évoluer rapidement sans réinventer la roue, cette rapidité a un coût. Au fil du temps, le volume croissant de vulnérabilités dans les images de conteneurs et les dépendances a commencé à dépasser la capacité de l'équipe de 20 personnes à les gérer, transformant la maintenance de la sécurité en un fardeau opérationnel permanent.

Pour Dirac, ces problèmes ne sont pas que des bruits d'ingénierie interne. Comme l'explique Matthew McSpadden, responsable de la sécurité, "pour un produit qui fonctionne dans des environnements de fabrication, parfois avec des données sensibles ITAR/CUI ou des processus critiques pour la sécurité, ce n'était pas viable". Les vulnérabilités et les risques liés à la chaîne d'approvisionnement avaient de réelles implications en termes de sécurité et de conformité, d'autant plus que les clients se montraient de plus en plus vigilants.

Chaque heure passée à traquer les CVE était une heure non consacrée à l'amélioration de BuildOS, et le travail de sécurité réactif commençait à menacer la vitesse de publication et la préparation à l'audit lorsque Dirac a commencé à établir des partenariats avec des fabricants plus importants. L'équipe avait besoin d'un moyen de réduire la surface de vulnérabilité de ses images par défaut, en augmentant le niveau de sécurité de sa chaîne d'approvisionnement open source, de sorte que la sécurité ne soit pas quelque chose qu'elle doive constamment combattre pour la maintenir.

La solution

Dirac a choisi Chainguard pour rehausser le niveau de sécurité de sa chaîne d'approvisionnement en logiciels sans ralentir le développement. L'équipe avait besoin d'un partenaire dont le seul objectif était de sécuriser l'open source et la chaîne d'approvisionnement, ce qui permettait aux ingénieurs de se concentrer sur la construction et l'amélioration de BuildOS plutôt que de remédier constamment aux vulnérabilités.

L'étendue du catalogue d'images de Chainguard a permis à Dirac de normaliser les images renforcées et à faible CVE dans tous les services, réduisant ainsi la surface de vulnérabilité par défaut plutôt qu'au prix d'un effort manuel continu.

L'adoption a été simple et sans friction. "L'intégration s'est faite en douceur", explique M. McSpadden. "Comme nous utilisions déjà en grande partie des images alpines, la transition a été simple et sans friction. De plus, l'équipe de Chainguard a fourni un excellent support d'intégration, ce qui nous a permis d'adopter la plateforme rapidement et en toute confiance".

Les résultats

Un niveau de sécurité plus élevé, par défaut

Depuis l'adoption des conteneurs Chainguard, les services BuildOS de Dirac démarrent désormais avec des images minimales renforcées qui réduisent considérablement le nombre de vulnérabilités connues dans son environnement. Le travail de sécurité s'est déplacé plus tôt dans le cycle de vie, réduisant la remédiation réactive et améliorant la cohérence entre les services.

Résultat : moins de surprises, des audits plus rapides et une réalité beaucoup plus claire pour les clients et les auditeurs sur la façon dont Dirac sécurise et améliore en permanence sa pile open source.

Plus de temps pour construire, moins de temps pour lutter contre les incendies

Avec une base plus solide en place, les ingénieurs passent moins de temps à chasser les CVE et plus de temps à créer des fonctionnalités qui profitent directement aux clients.

Comme le souligne Fil Aronshtein, cofondateur et PDG, "nous passons moins de temps à lutter contre les CVE et plus de temps à développer des fonctionnalités qui profitent directement à nos clients". Ce changement s'est traduit directement par une itération plus rapide et une plus grande capacité à investir dans ce qui rend BuildOS unique : des instructions de travail automatisées en 3D, des flux de travail basés sur des modèles, et aider les fabricants à lancer de nouveaux produits avec moins de risques.

Renforcement de la confiance avec les clients et les auditeurs

Chainguard a également aidé Dirac à renforcer la confiance avec les fabricants opérant dans des environnements réglementés et critiques en termes de sécurité, ouvrant ainsi de nouvelles sources de revenus pour la startup. Le fait de pouvoir expliquer clairement comment sa chaîne d'approvisionnement logicielle est sécurisée a changé le ton des conversations sur la sécurité avec les clients potentiels dans le secteur hautement réglementé de la fabrication.

Cette diligence a permis à Dirac de passer les examens de sécurité et d'accélérer les cycles de vente, tout en renforçant sa position de partenaire sérieux et à long terme auprès de ses clients.

La sécurité comme catalyseur de l'innovation

Plus important encore, Chainguard a changé la façon dont Dirac envisage l'open source. Au lieu d'être un élément à verrouiller après coup, il est devenu une base sûre et vérifiable pour l'innovation.

Comme le résume Fil, "Chainguard nous donne des blocs de construction open source sécurisés et prêts pour la production, ce qui nous permet de nous concentrer sur ce que nous faisons le mieux : aider les fabricants à construire des produits complexes plus rapidement et avec moins de risques. C'est comme si nous avions une équipe de sécurité dédiée à nos images de base et à notre chaîne d'approvisionnement, sans avoir à la doter d'un personnel interne."