Rafał Szczepański, SmartRecruiters Mateusz Olejarka, SecuRing Za starych dobrych czasów, kiedy oprogramowanie robiono w modelu Waterfall wiadomo było, kiedy i jak zająć się tematem bezpieczeństwa aplikacji, a przynajmniej tak się wszystkim wydawało. Ale to już za nami. Teraz oprogramowanie jest wdrażane na produkcję dużo częściej. Czasem nawet kilka razy dziennie pojawia się jego nowa wersja. Jak w takim środowisku, korzystającym z dobrodziejstw Agile, zapewnić aby aplikacja była odpowiednio zabezpieczona? Jak utrzymać wysoki poziom bezpieczeństwa w środowisku ciągłych zmian funkcjonalnych, architektonicznych i koncepcyjnych w oprogramowaniu? Na bazie naszych wspólnych doświadczeń pokażemy, jak wspólnie pracowaliśmy, aby bezpieczeństwo dla platformy SmartRecruiters zapewnić i utrzymać. Z jednej strony Rafał opowie o tym, jakie problemy wystąpiły i jakie zmiany były potrzebne z punktu widzenia organizacji aby móc efektywnie zając się tematem bezpieczeństwa oraz zapewnić aby platforma była bezpieczna nie tylko tuż po testach, ale także w perspektywie długofalowej. Z drugiej strony Mateusz przedstawi jakie wyzwania i jakie zmiany były potrzebne, aby móc efektywnie testować bezpieczeństwo czy, mówiąc szerzej, pracować nad zapewnieniem bezpieczeństwa platformy, z punktu widzenia konsultanta, który trafia do takiej organizacji.

1. Mateusz Olejarka, SecuRing
Rafał Szczepański, SmartRecruiters
AppSec a Saas, case study

2. O nas
•Konsultant, SecuRing
•Testy bezpieczeństwa
aplikacji, szkolenia
•VP Engineering,
SmartRecruiters
•Rozwój i utrzymanie
platformy

3. Agenda
• O SmartRecruiters
• Motywacja
• Pierwsza iteracja
• Druga iteracja
• Wnioski
• Q&A

4. O SmartRecruiters

5. SmartRecruiters
• Rok założenia: 2010
• Biura: San Francisco i Kraków
• Ponad 100 pracowników
San FranciscoKraków

6. Platforma SmartRecruiters
PRACODAWCY KANDYDACI
Publiczne API
Platforma SmartRecruiters
Partnerzy

7. Klienci

8. Proces rekrutacji
Sourcing Kontakt Porównanie OnboardingOferta
Wyzwania: dane osobowe, płatności, anonimowość

9. Hosting

10. Architektura: mikro-serwisy
Portal Pracodawcy Portal Kandydatów Publiczne API
Serwis A Serwis B Serwis C Serwis D
Serwis X Serwis Y Serwis Z

11. Organizacja zespołu

12. Organizacja zespołu
• Wdrożenia produkcyjne: kilka dziennie
• Każdy zespół operuje niezależnie
• Każdy zespół z własnym ”terytorium”

13. Oprogramowanie
• Biblioteki open-source
• Delegacja funkcjonalności

14. Motywacja
• Przetwarzane dane
• Przyczółek do ataku
• Reputacja

15. Pierwsza iteracja

16. Pierwsza iteracja
• Pierwsze spotkanie
• Przebieg
• Wyniki/Wnioski

17. Pierwsze spotkanie
• Wiedza biznesowa
• Wiedza techniczna
• Osoby kontaktowe
• Podejście do tematu

18. Gray is the new blackblack

19. Pierwsze spotkanie
• Wrażenia i obserwacje
• Słabe punkty
• Nastawienie zespołu

20. Przebieg
• Lista szczegółowych scenariuszy testowych
• To nie aplikacja a szereg aplikacji
• Współpraca i komunikacja
• Usługi zewnętrznych dostawców

21. Przebieg
• Bezpośrednia linia
• Naprawa na bieżąco
• Koszt

22. Wyniki i wnioski
• Były bramki
• Spotkanie podsumowujące

23. Wyniki i wnioski
• Wewnętrzne Bug-bounty
• Comiesięczne wewn. testy penetracyjne
• Komponenty dedykowane do bezpieczeństwa
• Dołożenie dobrych praktyk

24. Zewnętrzne potwierdzenie
“The security assessment has been performed and I’m
glad to tell you we didn’t find anything that could be
considered as an issue to be fixed in SmartRecruiters”
Komentarz klienta

25. Druga iteracja

26. Usprawnienia
• Spotkanie omawiające zmiany
• Monitoring na żywo
• „Bezobsługowość”

27. Wyniki
• Brak spektakularnych bramek
• Uczenie się na błędach

28. Zewnętrzne potwierdzenie
“The CIO told me to tell you that you should be very
proud. They apparently do a pretty extensive
audit. They'll likely share some best practices with us in
the coming weeks, but nothing was glaring.“
Informacja od klienta

29. Wnioski

30. Wnioski
• Graybox, graybox, graybox…
• Sprawna komunikacja
• Spotkania twarzą w twarz

31. Wnioski
• Świadomość zespołu
• Monitoring kluczowych zdarzeń

32. Co dalej?
• Usystematyzowanie konsultacji
• Zaadresowanie bezpieczeństwa pomiędzy iteracjami
testów
• …

33. Q&A

34. Dziękujemy za uwagę
Mateusz Olejarka
mateusz.olejarka@securing.pl
@molejarka
Rafał Szczepański
rafal@smartrecruiters.com
@rszczepanski