Mateusz Olejarka, SecuRingRafał Szczepański, SmartRecruiters

AppSec a Saas, case study

O nas

•Konsultant, SecuRing•Testy bezpieczeństwa aplikacji, szkolenia

•VP Engineering, SmartRecruiters•Rozwój i utrzymanie platformy

Agenda

• O SmartRecruiters• Motywacja • Pierwsza iteracja• Druga iteracja• Wnioski• Q&A

O SmartRecruiters

SmartRecruiters

•Rok założenia: 2010•Biura: San Francisco i Kraków•Ponad 100 pracowników

San FranciscoKraków

Platforma SmartRecruiters

PRACODAWCY KANDYDACI

Publiczne API

Platforma SmartRecruiters

Partnerzy

Klienci

Proces rekrutacji

Sourcing Kontakt Porównanie OnboardingOferta

Wyzwania: dane osobowe, płatności, anonimowość

Hosting

Architektura: mikro-serwisy

Portal Pracodawcy Portal Kandydatów Publiczne API

Serwis A Serwis B Serwis C Serwis D

Serwis X Serwis Y Serwis Z

Organizacja zespołu

Organizacja zespołu

• Wdrożenia produkcyjne: kilka dziennie• Każdy zespół operuje niezależnie• Każdy zespół z własnym ”terytorium”

Oprogramowanie

• Biblioteki open-source• Delegacja funkcjonalności

Motywacja

• Przetwarzane dane• Przyczółek do ataku• Reputacja

Pierwsza iteracja

Pierwsza iteracja

• Pierwsze spotkanie• Przebieg • Wyniki/Wnioski

Pierwsze spotkanie

• Wiedza biznesowa• Wiedza techniczna• Osoby kontaktowe• Podejście do tematu

Gray is the new blackblack

Pierwsze spotkanie

• Wrażenia i obserwacje• Słabe punkty• Nastawienie zespołu

Przebieg

• Lista szczegółowych scenariuszy testowych• To nie aplikacja a szereg aplikacji• Współpraca i komunikacja• Usługi zewnętrznych dostawców

Przebieg

• Bezpośrednia linia• Naprawa na bieżąco• Koszt

Wyniki i wnioski

• Były bramki• Spotkanie podsumowujące

Wyniki i wnioski

• Wewnętrzne Bug-bounty• Comiesięczne wewn. testy penetracyjne• Komponenty dedykowane do bezpieczeństwa• Dołożenie dobrych praktyk

Zewnętrzne potwierdzenie

“The security assessment has been performed and I’m glad to tell you we didn’t find anything that could be considered as an issue to be fixed in SmartRecruiters”

Komentarz klienta

Druga iteracja

Usprawnienia

• Spotkanie omawiające zmiany• Monitoring na żywo• „Bezobsługowość”

Wyniki

• Brak spektakularnych bramek• Uczenie się na błędach

Zewnętrzne potwierdzenie

“The CIO told me to tell you that you should be very proud. They apparently do a pretty extensive audit. They'll likely share some best practices with us in the coming weeks, but nothing was glaring.“

Informacja od klienta

Wnioski

Wnioski

• Graybox, graybox, graybox…• Sprawna komunikacja• Spotkania twarzą w twarz

Wnioski

• Świadomość zespołu• Monitoring kluczowych zdarzeń

Co dalej?

• Usystematyzowanie konsultacji• Zaadresowanie bezpieczeństwa pomiędzy iteracjami

testów• …

Q&A

Dziękujemy za uwagę

Mateusz Olejarkamateusz.olejarka@securing.pl@molejarka

Rafał Szczepańskirafal@smartrecruiters.com@rszczepanski