Shift5 fournit des solutions innovantes au ministère américain de la défense

Introduction : Créer un environnement de développement sécurisé

Shift5 est une plateforme d'observabilité pour la technologie opérationnelle embarquée (OT), permettant des décisions plus intelligentes et plus rapides pour ses clients dans les domaines de l'aérospatiale, du rail et de la défense. Alors que toute organisation développant des logiciels doit donner la priorité à la sécurité, la base de clients de Shift5 est constituée d'organisations dans des industries hautement réglementées, ce qui rend la création d'un environnement de développement sécurisé primordiale. Avec Chainguard, Shift5 a été en mesure de maintenir une conformité continue avec des cadres critiques tels que FedRAMP et CMMC, tout en établissant une confiance profonde avec ses clients.

Le défi : Maintenir la conformité tout en avançant à la vitesse d'une startup

Shift5 est une startup et son principal client est le Département de la Défense des États-Unis (DoD). Le DoD opère dans les environnements les plus réglementés - et pour que Shift5 puisse fournir les meilleures solutions possibles au DoD, elle doit donner la priorité à la sécurité de sa plateforme. Cela signifie gérer et remédier efficacement aux vulnérabilités et expositions communes (CVE).

L'équipe d'ingénieurs de Shift5 était confrontée à deux défis majeurs : 1) agir rapidement pour construire, tester et fournir de nouvelles fonctionnalités afin d'améliorer sa plateforme, et 2) remédier à toutes les CVE de ses images de conteneurs afin d'être en conformité avec les normes gouvernementales. Il est extrêmement difficile de concilier ces deux priorités et les entreprises sacrifient souvent l'une pour l'autre.

En tant que petite équipe d'ingénieurs, le maintien d'une conformité continue nécessitait des effectifs dédiés à la mise à jour des conteneurs de Shift5. Les ressources déjà limitées ont ainsi été détournées du développement de la plateforme de Shift5, ce qui a ralenti l'innovation et la croissance de l'entreprise.

“

Shift5 est une startup, nous vendons un nouveau produit et nous essayons d'attirer de nouveaux clients. Lorsque nous passons autant de temps à la maintenance, il est plus difficile d'ajouter de la valeur et des fonctionnalités à notre produit ou d'ajouter de la valeur aux plateformes sur lesquelles notre produit est construit afin de créer un meilleur produit.

Shaun McDonnell, directeur de l'ingénierie des plateformes, Shift5

La réglementation fédérale a également imposé la création de guides de mise en œuvre technique de la sécurité (STIG) pour toutes les images de conteneurs de Shift5. Les STIG sont une norme de renforcement de l'infrastructure qui varie en fonction du cas d'utilisation, mais qui nécessite un investissement technique important dans tous les scénarios. Cela a représenté un défi supplémentaire pour Shift5, car l'équipe d'ingénieurs a dû élaborer manuellement des STIG pour chacun de ses conteneurs à partir de la base et obtenir l'approbation de l'Agence des systèmes d'information de la défense (DISA) - tout cela avant d'exécuter le travail de durcissement proprement dit.

"Notre client étant le ministère de la défense, chaque fois que nous étions en pré-déploiement ou que nous voulions faire une mise à jour logicielle pour le client, nous devions préparer des STIG", a déclaré Sam Rajachudamani, directeur principal des produits et des partenariats. "Nous devrions effectuer des analyses du logiciel, ainsi que des dépendances sous-jacentes.

Shift5 a dû tenir compte d'une autre réglementation importante en matière de conformité, à savoir les exigences du NIST relatives à la mise en œuvre et à la validation des normes fédérales de traitement de l'information (Federal Information Processing Standards - FIPS). Le FIPS est un ensemble de normes relatives aux bibliothèques et aux algorithmes de cryptographie que les fournisseurs du DoD doivent respecter afin de garantir une sécurité appropriée des données dans le cadre de la conformité. Comme pour les STIG, la construction et la maintenance de conteneurs conformes à la norme FIPS dès le départ ont exigé une quantité stupéfiante de temps et d'efforts de la part de l'équipe d'ingénieurs de Shift5 - non seulement pour la mise en place initiale, mais aussi sur une base continue pour assurer une conformité permanente.

James Hoscheit, vice-président de l'ingénierie de terrain, a décrit le processus : "Pour déployer le logiciel Shift5 dans l'espace fédéral, nous devons respecter un certain nombre de normes. Il s'agit non seulement des STIG, mais aussi de la validation FIPS, qui est un processus complet permettant de valider que les algorithmes de cryptographie utilisés dans le conteneur sont conformes aux normes gouvernementales.

Les STIG, le FIPS et la nécessité de remédier à tous les CVE dans l'environnement de Shift5 ont été réunis dans le cadre des efforts déployés par l'entreprise pour obtenir une autorisation d'exploitation (ATO) dans les environnements du gouvernement fédéral. Un ATO est nécessaire pour tout fournisseur de logiciels afin de pouvoir exploiter ou fournir des logiciels aux clients du gouvernement dans des environnements classifiés et non classifiés. Pour Shift5, l'obtention d'une ATO était directement liée à d'importantes opportunités de revenus et au succès global de l'entreprise.

“

Nous avons pu raccourcir les allers-retours en matière de gestion des vulnérabilités pour toutes les dépendances et les images de base en disant : " Voici les images Chainguard que nous utilisons ". Et c'était fait en une seule fois, sans avoir besoin de faire un grand nombre d'allers-retours. Cela nous a permis de gagner pas mal de temps tout au long du processus ATO.

Sam Rajachudamani, directeur principal des produits et des partenariats, Shift5

Shift5 devait maintenir le rythme de développement de ses produits tout en conservant son ATO avec des ressources limitées. Les processus manuels actuellement en place n'étaient pas viables, et il fallait trouver une meilleure solution pour poursuivre la croissance de l'entreprise.

La solution : Les conteneurs Chainguard comme base de sécurisation des infrastructures critiques

Shift5 recherchait une solution de conteneur qui lui permettrait de maintenir la conformité nécessaire pour son ATO et de redonner du temps à son équipe d'ingénieurs pour construire et expédier des produits. Ces besoins ont finalement conduit Shift5 vers les images de conteneurs minimales et zéro CVE de Chainguard qui offrent une cryptographie validée par FIPS et des STIG au niveau du système d'exploitation.

Faciliter la conformité

Dès leur mise en œuvre, les conteneurs Chainguard ont permis de soulager immédiatement les difficultés liées à la gestion des vulnérabilités. Auparavant, l'équipe d'ingénieurs de Shift5 devait gérer des milliers de CVE dans les images de conteneurs de l'entreprise. Après la mise en œuvre de Chainguard Containers, ce nombre a été réduit à zéro.

"Chainguard élimine les problèmes de construction et de maintenance des images parce qu'ils font tout le travail à votre place et vous livrent un produit propre", a déclaré Shaun.

Le passage à Chainguard Containers a permis à Shift5 d'offrir une meilleure sécurité à ses clients, dont beaucoup travaillent sur des projets critiques et hautement sensibles, à la fois sur le terrain et dans le nuage. Avec Chainguard, Shift5 a pu utiliser une approche de déploiement uniforme sans CVE, quel que soit le cas d'utilisation, que son logiciel soit déployé dans un environnement de bord à ressources limitées (comme un avion ou un wagon de chemin de fer) ou dans un environnement de nuage infiniment évolutif.

Shift5 a également utilisé les images FIPS de Chainguard, et les STIG qui les accompagnent, pour être immédiatement conforme aux réglementations strictes en matière de cryptographie et de renforcement nécessaires pour son ATO. Grâce à la réduction du fardeau de la gestion des vulnérabilités, Shift5 a pu utiliser ces fonctionnalités pour mettre plus rapidement sa plate-forme entre les mains et dans les systèmes de ses clients fédéraux, accélérant ainsi les revenus, ce qui était essentiel pour que l'entreprise continue à se développer.

James l'explique simplement : "Pour les clients de Shift5, la chose la plus importante qu'ils ont remarquée n'est pas nécessairement que nous utilisons les conteneurs Chainguard, mais que nous sommes beaucoup plus réactifs et rapides pour répondre à toutes leurs exigences, ce qui leur facilite la vie parce que nous pouvons aller plus vite."

Débloquer les ressources d'ingénierie

Avec Chainguard Containers, Shift5 a déplacé ses ressources d'ingénierie limitées de la gestion des vulnérabilités, et a donné à ses développeurs les moyens de construire et d'étendre la plate-forme pour mieux répondre aux besoins de ses clients.

“

Chainguard a permis à notre équipe de se concentrer sur la fourniture de fonctionnalités et de capacités de produit qui sont au cœur de la force de notre produit et dont nous avons besoin pour sortir, et de le faire d'une manière sécurisée.

Sam Rajachudamani, directeur principal des produits et des partenariats, Shift5

Shift5 a estimé que l'adoption de Chainguard Containers a permis à son équipe d'ingénieurs d'économiser plus de deux mois et demi d'heures de travail par personne pour remédier aux CVE et maintenir d'autres normes de conformité importantes. Pour une startup aux ressources limitées, ce gain de temps considérable a permis aux ingénieurs de Shift5 de revenir à ce qu'ils aiment faire : créer des logiciels.

Un avantage supplémentaire inattendu

Comme le souligne Shaun sur X, ce gain de temps s'est traduit non seulement par une augmentation de la productivité, mais aussi par un avantage inattendu : une soirée sans stress avec sa femme.

A tweet from Shaun McDonnell that reads, "Guys. Chainguard is worth every penny. I got to go on a date with my wife last night because I didn't have to remove CVEs from my container images."

Conclusion : Le gain de temps et de sécurité

que représente l'utilisation de Chainguard Containers par Shift5 s'aligne sur la mission principale de l'organisation qui est de construire un monde plus intelligent, plus sûr et plus sécurisé. En s'assurant que les logiciels déployés dans les infrastructures critiques sont exempts de CVE, Shift5 rassure ses clients et atteint plus rapidement ses objectifs en matière de conformité et de produits.

Les conteneurs Chainguard permettent à Shift5 de continuer à croître et à améliorer sa plateforme, en utilisant une base rationalisée et respectueuse des ressources pour construire en toute sécurité pour l'avenir.

Partagez cet article

Télécharger l'étude de cas

À propos

Shift5 est la plateforme d'observabilité à double usage, basée sur un abonnement, pour la technologie opérationnelle embarquée (OT), permettant des décisions plus intelligentes et plus rapides grâce à l'accès aux données en temps réel, à des informations contextuelles et à des analyses exploitables à la périphérie pour l'aérospatiale, le ferroviaire, le maritime et la défense. Créée par des officiers qui ont mis sur pied le U.S. Army Cyber Command et qui ont été les pionniers de la cyberévaluation des systèmes d'armes modernes, Shift5 défend les flottes commerciales et militaires ainsi que les systèmes d'armes contre les défaillances opérationnelles et les risques de cybersécurité liés à la technologie opérationnelle. Des compagnies d'aviation de renom, des chemins de fer américains et des flottes de l'armée américaine font confiance à Shift5 pour assurer la sécurité, la disponibilité, la sûreté, la résilience et la fiabilité des flottes d'aujourd'hui et des actifs de nouvelle génération de demain.

Industrie

Cybersécurité et défense

Employées

51-200

Produits

Chainguard Containers

Shift5 fournit des solutions innovantes au ministère américain de la défense

Exécuter la commandeInvite du système CG

$ chainguard learn --more

Contactez-nous