Onebrief construit des logiciels de collaboration critiques pour le Département de la Défense des États-Unis (DoD), également appelé Département de la Guerre (DoW), et d'autres clients fédéraux qui sont tenus de maintenir les plus hauts niveaux de sécurité. Avec un environnement d'ingénierie qui doit opérer dans des systèmes déconnectés et sous air, et une clientèle qui exige une conformité rigoureuse, l'équipe de Onebrief est confrontée à certains des défis les plus complexes en matière d'infrastructure.

Nick Wade, ingénieur principal en infrastructure, résume la situation : "En raison des clients de la guerre froide que nous servons, la conformité et la sécurité ne sont pas de simples paroles en l'air. Elles sont au cœur de notre travail.

Le défi

Le logiciel de Onebrief doit répondre aux normes intransigeantes du DoD. Chaque déploiement doit satisfaire à des cadres de conformité stricts tels que DoD IL5, NIST 800-53 et FedRAMP, qui exigent tous des accords de niveau de service stricts sur la correction des vulnérabilités et l'application d'une cryptographie validée par FIPS.

Pour les ingénieurs, cela signifie valider chaque dépendance par rapport aux exigences FIPS, générer des SBOM, produire des analyses de sécurité propres et effectuer des examens mensuels avec les autorités compétentes. Ces exigences ne sont pas des cases à cocher occasionnelles, mais une présence constante dans le travail quotidien de l'équipe d'infrastructure.

En même temps, la plateforme de Onebrief doit fonctionner dans des environnements critiques, sous contrôle aérien, où la connectivité extérieure n'est pas une option. Cela signifie que l'équipe doit gérer elle-même une pile de logiciels libres tentaculaire, sans dépendre de services externes. Garder tous ces logiciels patchés, conformes et cohérents à travers les déploiements segmentés des clients a introduit une complexité significative et a consommé de précieuses heures d'ingénierie.

Avant d'adopter Chainguard, le moindre CVE pouvait faire dérailler l'équipe, obligeant les ingénieurs à rechercher des correctifs, à appliquer des superpositions et à reconstruire des conteneurs juste pour obtenir un correctif. "Nous consacrions beaucoup d'énergie mentale au processus d'application des correctifs, au lieu de nous concentrer sur ce qui est vraiment important : la livraison du correctif pour que nos clients puissent continuer à travailler", explique Nick.

Au lieu de se concentrer sur ce qu'elle fait de mieux, à savoir créer des logiciels de collaboration pour les commandements militaires, l'équipe s'enlisait dans des problèmes de conformité, de prolifération des logiciels libres et de gestion constante des vulnérabilités.

La solution

Après un premier essai, Onebrief s'est tourné vers Chainguard Containers pour réduire la complexité et externaliser les frais généraux et le travail d'ingénierie.

Ce qui a commencé comme un achat unique est rapidement devenu une habitude. "Chaque fois que nous avions besoin d'une nouvelle image, Chainguard l'avait déjà durcie. Chainguard fournit des correctifs rapides et opportuns, il était donc logique de s'appuyer sur leurs images de conteneurs afin que nous puissions nous concentrer sur nos compétences principales", se souvient Nick.

Ce modèle a conduit Onebrief à passer de l'implémentation d'images ponctuelles à un accès complet au catalogue de conteneurs Chainguard, donnant à l'équipe toutes les images sécurisées et pré-patchées dont elle avait besoin sans délai. Comme l'a dit Nick : "Inscrivez-moi. Nous allons tout déplacer."

L'adoption a été simple : "Pour la plupart des dépendances, il suffisait de pointer sur cgr.dev dans notre image repo et la plupart des choses fonctionnaient", explique Nick. La migration vers les images et les cartes Helm de Chainguard, conformes à la norme FIPS, n'a nécessité que des ajustements mineurs.

Les résultats

En passant d'images de conteneurs open source corrigées manuellement aux images sécurisées par conception et mises à jour en continu de Chainguard, l'équipe d'infrastructure de Onebrief a fondamentalement changé la façon dont elle fournit des logiciels en toute sécurité à des clients fédéraux aux enjeux importants.

Des correctifs plus rapides et une charge opérationnelle réduite

Avec Chainguard, l'équipe d'ingénieurs de Onebrief ne perd plus de jours à chercher des correctifs et à reconstruire des conteneurs. Les principales vulnérabilités, qui nécessitaient autrefois trois à cinq jours pour être résolues, le sont aujourd'hui en quelques heures, souvent en six à douze heures seulement. Nick a fait remarquer que Chainguard livrait toujours des versions corrigées rapidement, transformant ce qui était auparavant des exercices d'incendie "au crayon" en un processus prévisible et peu stressant.

Réduction de la charge de travail liée à la conformité et à l'audit

Les images durcies et minimales de Chainguard simplifient les SBOM et les audits, ce qui permet d'expliquer exactement ce qui se trouve dans chaque conteneur et pourquoi. Cette chaîne d'approvisionnement en logiciels plus propre rend plus efficaces les examens mensuels et les analyses de sécurité régulières, tout en donnant aux clients du ministère de la défense et aux responsables de l'approbation une plus grande confiance dans la capacité de Onebrief à maintenir un environnement durci. Nick a noté que la livraison efficace des correctifs de Chainguard met l'équipe sur une base solide lorsqu'elle discute du déploiement continu ou des initiatives Zero Trust avec les responsables.

Plus de temps pour l'innovation critique

Chainguard a également libéré les ingénieurs de Onebrief d'un cycle constant de correctifs et de gestion des vulnérabilités. Nick a estimé qu'il faudrait quatre développeurs à temps plein pour reproduire le niveau de sécurité et de réactivité offert par Chainguard, des ressources que l'entreprise peut désormais rediriger vers sa véritable valeur : fournir un logiciel de collaboration fondamental pour les flux de travail et les prises de décision militaires.

Comme le dit Nick, le changement culturel est clair : les ingénieurs ne se demandent plus "Comment réparer ceci ?" mais se concentrent plutôt sur "Comment pouvons-nous déployer ceci ?" La conformité et la sécurité étant rationalisées, l'équipe passe plus de temps à innover et moins de temps à lutter contre les incendies.

Un changement stratégique

Chainguard n'a pas seulement amélioré la posture de sécurité de Onebrief, il a changé la façon dont l'équipe pense à l'évolution du produit. Le slogan "Chainguard a-t-il une version FIPS ?" est presque devenu le slogan de l'équipe d'infrastructure", a déclaré Nick. "Si c'est le cas, nous pouvons aller de l'avant.