Connue comme plateforme de streaming musical, Spotify est aussi une société d’ingénieurs qui élaborent différents projets IT. Parmi ceux-ci, il y a Kitsune, un service de gestion des vulnérabilités. Des détails ont été partagés sur cette solution au sein du blog d’ingénierie de Spotify. Au départ, pour gérer les notifications, l'équipe utilisait Comet. Ce dernier couvrait une partie de l’automatisation de la gestion des notifications, mais Spotify avait besoin de plus d’éléments que ceux pris en charge par Comet.

Chez l’éditeur, évaluer les failles et les signaler à un service de détection des vulnérabilités est appelé contrôle réactif (CR). Kitsune a débuté avec des bugs détectés par deux contrôles réactifs. L’objectif étant de combiner plusieurs contrôles réactifs, l’équipe d’ingénieur a mis au point un « médiateur » pour gérer ce dialogue et créer des données compatibles. En outre, le service supporte le téléchargement des fichiers CSV pour le signalement des failles.

Une intégration à Backstage

Kistune fonctionne, via un plugin, aussi avec Backstage, la plateforme open source pour la création de portails développeurs. Elle garde ainsi des traces des vulnérabilités attribuées à chaque équipe. Avant la planification d'un sprint, les équipes peuvent se rendre sur Backstage et passer en revue les vulnérabilités qui leur sont attribuées, afin d'inclure les corrections à effectuer dans leur travail quotidien.

En plus d’aider les développeurs à cerner et résoudre les problèmes de sécurité, Kitsune sert également aux équipes sécurité à planifier des stratégies cohérentes et à créer des rapports trimestriels à destination de la direction. Spotify monte donc en puissance sur la gestion des vulnérabilités, un marché en pleine croissance qui devrait atteindre 18,7 Md$ en 2026, selon Researchandmarkets.com.