appsec a saas, case study
TRANSCRIPT
Mateusz Olejarka, SecuRingRafał Szczepański, SmartRecruiters
AppSec a Saas, case study
O nas
•Konsultant, SecuRing•Testy bezpieczeństwa aplikacji, szkolenia
•VP Engineering, SmartRecruiters•Rozwój i utrzymanie platformy
Agenda
• O SmartRecruiters• Motywacja • Pierwsza iteracja• Druga iteracja• Wnioski• Q&A
O SmartRecruiters
SmartRecruiters
•Rok założenia: 2010•Biura: San Francisco i Kraków•Ponad 100 pracowników
San FranciscoKraków
Platforma SmartRecruiters
PRACODAWCY KANDYDACI
Publiczne API
Platforma SmartRecruiters
Partnerzy
Klienci
Proces rekrutacji
Sourcing Kontakt Porównanie OnboardingOferta
Wyzwania: dane osobowe, płatności, anonimowość
Hosting
Architektura: mikro-serwisy
Portal Pracodawcy Portal Kandydatów Publiczne API
Serwis A Serwis B Serwis C Serwis D
Serwis X Serwis Y Serwis Z
Organizacja zespołu
Organizacja zespołu
• Wdrożenia produkcyjne: kilka dziennie• Każdy zespół operuje niezależnie• Każdy zespół z własnym ”terytorium”
Oprogramowanie
• Biblioteki open-source• Delegacja funkcjonalności
Motywacja
• Przetwarzane dane• Przyczółek do ataku• Reputacja
Pierwsza iteracja
Pierwsza iteracja
• Pierwsze spotkanie• Przebieg • Wyniki/Wnioski
Pierwsze spotkanie
• Wiedza biznesowa• Wiedza techniczna• Osoby kontaktowe• Podejście do tematu
Gray is the new blackblack
Pierwsze spotkanie
• Wrażenia i obserwacje• Słabe punkty• Nastawienie zespołu
Przebieg
• Lista szczegółowych scenariuszy testowych• To nie aplikacja a szereg aplikacji• Współpraca i komunikacja• Usługi zewnętrznych dostawców
Przebieg
• Bezpośrednia linia• Naprawa na bieżąco• Koszt
Wyniki i wnioski
• Były bramki• Spotkanie podsumowujące
Wyniki i wnioski
• Wewnętrzne Bug-bounty• Comiesięczne wewn. testy penetracyjne• Komponenty dedykowane do bezpieczeństwa• Dołożenie dobrych praktyk
Zewnętrzne potwierdzenie
“The security assessment has been performed and I’m glad to tell you we didn’t find anything that could be considered as an issue to be fixed in SmartRecruiters”
Komentarz klienta
Druga iteracja
Usprawnienia
• Spotkanie omawiające zmiany• Monitoring na żywo• „Bezobsługowość”
Wyniki
• Brak spektakularnych bramek• Uczenie się na błędach
Zewnętrzne potwierdzenie
“The CIO told me to tell you that you should be very proud. They apparently do a pretty extensive audit. They'll likely share some best practices with us in the coming weeks, but nothing was glaring.“
Informacja od klienta
Wnioski
Wnioski
• Graybox, graybox, graybox…• Sprawna komunikacja• Spotkania twarzą w twarz
Wnioski
• Świadomość zespołu• Monitoring kluczowych zdarzeń
Co dalej?
• Usystematyzowanie konsultacji• Zaadresowanie bezpieczeństwa pomiędzy iteracjami
testów• …
Q&A
Dziękujemy za uwagę
Mateusz [email protected]@molejarka
Rafał Szczepań[email protected]@rszczepanski