Servir la défense et les clients gouvernementaux hautement réglementés signifie que la sécurité et la conformité ne sont pas optionnelles ; elles sont fondamentales. Alors que GovSignals se développait dans des environnements fédéraux hautement sécurisés, l'entreprise devait sécuriser sa chaîne d'approvisionnement logicielle sans ralentir une petite équipe d'ingénieurs ni assumer une dette de remédiation à long terme.

Le défi

L'idéologie de base de GovSignals est l'accélération plutôt que la vélocité - aller vite aujourd'hui tout en s'assurant de pouvoir aller encore plus vite demain. Comme l'a expliqué Conner Aldrich, directeur technique et cofondateur, l'open source joue un rôle central dans cette stratégie, en fournissant des bases éprouvées sur lesquelles l'équipe peut s'appuyer en toute confiance.

Au début, GovSignals s'est déployé principalement dans des environnements sans serveur. Mais à mesure que l'entreprise s'est développée dans les déploiements FedRAMP High et IL5 pour la défense et les clients adjacents au ministère de la Défense, elle est passée à des environnements Kubernetes et Docker autogérés, et la barre de la sécurité a changé de façon spectaculaire.

Pour FedRAMP High, la correction des vulnérabilités au niveau du système d'exploitation et de l'image de base n'est pas seulement une bonne pratique, c'est un enjeu de taille. Même un petit nombre de CVE critiques ou de haute sévérité peut bloquer les audits, retarder les approbations et bloquer les revenus.

Avec une équipe réduite de moins de 10 ingénieurs, GovSignals était confronté à un compromis : investir le peu de temps de ses ingénieurs dans la maintenance des images de conteneurs et la remédiation des CVE, ou trouver un partenaire de confiance pour gérer ce travail en continu et à grande échelle.

"Techniquement, vous pouvez remédier à toutes ces vulnérabilités vous-même", explique M. Conner. Mais le coût en temps est énorme, surtout pour une startup. Ce temps est bien mieux utilisé pour construire le produit dont nos clients se soucient réellement.

La solution

Lorsque GovSignals a décidé de standardiser Docker et Kubernetes pour ses environnements de haute sécurité, l'équipe a évalué le marché et a immédiatement choisi Chainguard Containers. "Nous utilisions Chainguard dès le premier jour lorsque nous avons décidé de commencer à utiliser des conteneurs", explique Conner.

La décision a été motivée par la confiance et l'expérience. Chainguard a été fortement recommandé par des partenaires opérant déjà dans des environnements fédéraux et de défense, et l'équipe l'a reconnu comme l'un des partenaires les plus fiables dans ce domaine. Tout aussi important, l'approche de Chainguard correspondait à la façon dont les ingénieurs de GovSignals voulaient travailler. Les conteneurs se sont clairement intégrés aux flux de travail GitHub existants, aux pipelines CI/CD et aux déploiements Kubernetes, sans introduire de nouvelles frictions ou de surcharge opérationnelle.

L'intégration a été rapide. Dès le premier jour d'accès, l'équipe a pu échanger les images de base de Chainguard et commencer à les utiliser dans la phase d'essai. Lorsque Chainguard a ensuite introduit la capacité de libre-service, permettant à GovSignals de fournir ses propres images, l'adoption s'est encore accélérée, facilitant l'utilisation de l'équipe à travers les environnements tout en maintenant une base de sécurité cohérente.

Aujourd'hui, les conteneurs Chainguard servent de base à presque toutes les charges de travail conteneurisées dans les environnements FedRAMP High et IL5 de GovSignals. En tant que client du catalogue Chainguard, GovSignals peut profiter de plus de 2 000 projets open source différents développés par Chainguard, ce qui garantit que tous les cas d'utilisation sont pris en compte. En standardisant les images de base minimales et fiables maintenues par Chainguard, l'équipe a éliminé une source majeure de risque de vulnérabilité tout en préservant l'expérience des développeurs nécessaire pour évoluer rapidement dans des environnements hautement réglementés.

Au-delà du produit lui-même, l'équipe de Chainguard joue un rôle actif dans la réussite des équipes de GovSignals. De l'intégration aux questions quotidiennes, Conner et son équipe travaillent en étroite collaboration avec leur compte Chainguard et les équipes d'assistance, combinant des conseils techniques solides avec un partenariat réactif et à l'écoute.

Les résultats

De plus de 10 000 CVE à une base de sécurité propre

L'impact a été immédiat et mesurable. Sur l'ensemble des images de base de GovSignals, l'équipe a réduit plus de 10 000 CVE à zéro, en grande partie grâce à la standardisation des conteneurs Chainguard. Les vulnérabilités restantes étaient liées aux dépendances au niveau des applications, et non au système d'exploitation sous-jacent, a expliqué M. Conner.

Cette base propre a permis à GovSignals de mettre en place un flux de travail de sécurité hautement automatisé sans se noyer dans le bruit. L'analyse des vulnérabilités est devenue significative au lieu d'être écrasante, ce qui a permis à l'équipe de se concentrer sur les risques réels au lieu de se lancer dans des tâches de remédiation sans fin. Chainguard s'est parfaitement intégré au pipeline CI/CD personnalisé de GovSignals, prenant en charge les analyses automatisées de chaque demande d'extraction et permettant une remédiation plus rapide et plus sûre lorsque des problèmes surviennent.

FedRAMP High comme moteur de revenus

Cette posture de sécurité améliorée a joué un rôle essentiel dans l'obtention par GovSignals de l'autorisation FedRAMP High, qui a débloqué une toute nouvelle catégorie de clients, y compris des organisations travaillant exclusivement avec le DoD et manipulant des informations non classifiées contrôlées (CUI). Avec FedRAMP High en place, GovSignals a pu à la fois étendre ses relations avec les entreprises existantes et recruter de nouveaux clients opérant à l'échelle fédérale.

Comme l'explique M. Conner, la sécurité ne s'est pas contentée d'éliminer les frictions, elle a permis de conclure des affaires. "Un entrepreneur du secteur de la défense figurant au palmarès Fortune 500 a supposé qu'une startup ne pouvait pas répondre à ses exigences en matière de sécurité. Lorsqu'il a vu que nous étions sur la bonne voie pour obtenir la certification FedRAMP High, cela a été le facteur décisif. Ce marché a été conclu grâce à la sécurité.

Pour GovSignals, la sécurité a cessé d'être un moyen d'atténuer les risques et est devenue un facteur de croissance avec un retour sur investissement clair. "La sécurité ne bloquait pas les transactions ; elle permettait de débloquer un segment de marché entier que nous n'aurions pas pu toucher autrement", a déclaré M. Conner.

Aujourd'hui, GovSignals travaille avec de grandes entreprises qui gèrent des milliards de dollars de revenus provenant de contrats fédéraux. L'obtention de la certification FedRAMP High a transformé la conformité d'un facteur de blocage en un levier de croissance, permettant à l'entreprise de servir certains des clients les plus sensibles à la sécurité au sein du gouvernement.

Plus d'innovation, moins de remédiation

Atteindre ce niveau de sécurité et de conformité ne s'est pas fait au détriment de la vélocité de l'ingénierie. GovSignals a évité de consacrer ses maigres ressources d'ingénierie au durcissement continu des conteneurs et à la correction des vulnérabilités. Au lieu de cela, l'équipe s'est concentrée sur la création de produits, l'amélioration de l'automatisation et l'extension des capacités de la plateforme pour ses clients.

Chainguard a également réorienté la réflexion de l'équipe sur l'open source à grande échelle. GovSignals a acquis la certitude que les logiciels libres, lorsqu'ils sont associés à une base sécurisée et bien entretenue, peuvent répondre aux exigences fédérales les plus strictes en matière de sécurité sans ralentir l'innovation.

Ensemble, les résultats ont permis à GovSignals de se développer plus rapidement, de servir des clients plus fortement réglementés et de maintenir l'élan de la startup tout en opérant selon les normes de sécurité exigées par le gouvernement fédéral américain.