Як Trendyol використовує Invicti ASPM для автоматизації безпеки

Галузь: Електронна комерція

Компанія: Trendyol

Місцезнаходження: Туреччина

Продукт: Invicti ASPM

Історія Trendyol про автоматизацію безпеки та ефективність AppSec за допомогою Invicti ASPM.

Виклики

• Не було достатньо автоматизації безпеки, щоб наздогнати швидкість розробки програмного забезпечення.
• Нестача прозорості ускладнювала оцінку ефективності програми AppSec.
• Відсутність оркестрації не давала скласти всі елементи докупи.

Про Trendyol

Заснована у 2010 році, Trendyol перетворилася на найбільшу компанію електронної комерції в Туреччині, досягнувши статусу десятирічного виробника у 2021 році. Після інвестицій у 2018 році компанія також почала обслуговувати багато європейських країн і розширилася на нові напрямки бізнесу, такі як одяг секонд-хенд і доставки на вимогу. Масштабні операції та швидке зростання технічної команди вимагали ефективної та масштабованої програми AppSec, щоб встигати за швидкістю збільшення компанії, що супроводжується збільшення кількості додатків.

Ситуація

Зі зростанням команд розробників з кожним днем командам безпеки було важко забезпечити доставлення додатків у продакшн без вразливостей, які можна було б використати. Ручні процеси були трудомісткими, а оскільки команди безпеки та розробників працювали ізольовано, відсутність співпраці заважала безпеці бути невіддільною частиною процесів розробки програмного забезпечення.

Безліч результатів, виявлених за допомогою різних автоматизованих інструментів та ручного тестування, були розкидані по різних інтерфейсах. Це значно ускладнювало роботу для команди безпеки.

Саме тоді шлях Invicti ASPM перетнувся з командою Trendyol, і з їхнім баченням підтримки перспективних стартапів у сфері безпеки. Вони почали працювати разом, щоб знайти креативні розв’язання проблем.

Підхід Invicti ASPM

1. Спочатку, щоб запобігти витраті часу на сканування вручну, всі сканери Trendyol були підключені до платформи Invicti ASPM для запуску сканування автоматизованим способом за допомогою планера та CLI для тестування в конвеєрах.
2. Щоб забезпечити автоматизацію в підході до безпеки, нові програми, створені командами розробників, переміщувалися з інструменту керування вихідним кодом до Invicti ASPM через CLI. Таким чином, командам безпеки не доводилося мати справу зі створенням нових програм в інструментах безпеки щоразу, коли нова програма створювалася в інструменті керування вихідним кодом.
3. Різні інструменти безпеки з відкритим кодом також використовувалися в процесі, перш ніж Trendyol інвестувала в комерційні альтернативи. Ці рішення були налаштовані відповідно до потреб компанії, щоб зосередити увагу на пріоритетних типах вразливостей.
4. Для групування на основі профілю ризику, програми отримували позначки на основі моделювання загроз. Для різних позначок були створені свої правила автоматизації, оскільки більш ризиковані програми потребували швидшого реагування, ніж інші.

Результати

• Створення конвеєра CI/CD, де кожен тест безпеки виконується через CLI від Invicti ASPM, швидко зробило ручне сканування зайвим. Таким чином безпека стала невіддільною частиною пайплайнів для понад 3000 програм.

• Команди безпеки та розробки миттєво отримують сповіщення про результати сканування у своїх каналах Slack. Це допомагає переконатися, що жодна критична вразливість не залишиться непоміченою.

• Поєднуючи результати автоматизованих інструментів з вразливостями, виявленими в ручних діях, таких як тести на проникнення, ручні перевірки та bug bounty, загальний стан безпеки можна легко відстежувати на єдиній платформі, де команди розробки та безпеки можуть краще розуміти одне одного.

• Тікети створюються командами безпеки на дошках розробників Jira через інтерфейс користувача Invicti ASPM. Також можна вимірювати показники виправлень, щоб визначити, чи все йде правильно. Коли розробник закриває недолік, Invicti ASPM автоматично запускає перевірку та знову відкриває проблему, якщо сканер повторно виявляє вразливість.

• Щоб запобігти повторним вразливостям у майбутньому, розробникам призначаються персоналізовані курси безпечного написання коду з Codebashing через інтерфейс користувача Invicti ASPM після аналізу типів вразливостей, внесених у вихідний код кожним розробником.

• Використовуючи цей підхід, заснований на ризиках, для створення окремих правил автоматизації для різних програм, команди безпеки переконалися, що вони швидко виявляють вразливості, які становлять реальну загрозу, з мінімальними людськими зусиллями.

• Використовуючи всі можливості оркестрації та автоматизації Invicti ASPM, Trendyol досягла успіхів у створенні масштабованої та автоматизованої програми AppSec, яка водночас є зручною для розробників.