Главная Кейсы Как Trendyol использует Invicti ASPM для автоматизации безопасности
Кейсы

Как Trendyol использует Invicti ASPM для автоматизации безопасности

Отрасль: Электронная коммерция

Компания: Trendyol

Местонахождение: Турция

Продукт: Invicti ASPM

История Trendyol об автоматизации безопасности и эффективности AppSec с помощью Invicti ASPM.

Вызовы

  • Не было достаточно автоматизации безопасности, чтобы догнать скорость разработки программного обеспечения.
  • Недостаточный уровень прозрачности усложнял оценку эффективности программы AppSec.
  • Отсутствие оркестрации усложняло составление всех элементов вместе.

О Trendyol

Основанная в 2010 году, Trendyol превратилась в крупнейшую компанию электронной коммерции в Турции, достигнув статуса десятилетнего производителя в 2021 году. После инвестиций в 2018 году компания также начала обслуживать многие европейские страны и расширилась на новые направления бизнеса. Эти направления включают одежду секонд-хенд и доставку на заказ. Масштабные операции и быстрое увеличение технической команды потребовали эффективной и масштабируемой программы AppSec, чтобы успевать за скоростью роста компании, сопровождающейся увеличением количества приложений.

Ситуация

С ростом команд разработчиков с каждым днем командам безопасности было все труднее обеспечить доставку приложений в продакшн без уязвимостей, которые можно было бы использовать. Ручные процессы были трудоемкими, а поскольку команды безопасности и разработчиков работали изолированно, отсутствие сотрудничества мешало безопасности быть неотъемлемой частью процессов разработки программного обеспечения.

Множество результатов, обнаруженных с помощью различных автоматизированных инструментов и ручного тестирования, было разбросано по разным интерфейсам. Это значительно усложняло работу для команды безопасности.

В это время путь Invicti ASPM пересекся с командой Trendyol, и с их видением поддержки перспективных стартапов в сфере безопасности. Они начали работать вместе, чтобы найти креативные решения проблем.

Подход Invicti ASPM

  1. Для предотвращения потери времени на сканирование в ручную все сканеры Trendyol были подключены к платформе Invicti ASPM для запуска сканирования автоматизированным способом с помощью планера и CLI для тестирования в конвейерах.
  2. Чтобы обеспечить автоматизацию в подходе к безопасности, новые программы, созданные командами разработчиков, перемещались с инструмента управления исходным кодом в Invicti ASPM через CLI. Таким образом, командам безопасности не приходилось сталкиваться с созданием новых программ в инструментах безопасности каждый раз, когда новая программа создавалась в инструменте управления исходным кодом.
  3. Разные инструменты безопасности с открытым кодом также использовались в процессе, прежде чем Trendyol инвестировала в коммерческие альтернативы. Эти решения были настроены в соответствии с потребностями компании, чтобы сосредоточить внимание на приоритетных типах уязвимостей.
  4. Для группирования на основе профиля риска программы получали отметки на основе моделирования угроз. Для разных меток были созданы свои правила автоматизации, поскольку более рискованные программы требовали более быстрого реагирования.

Результаты

  • Создание конвейера CI/CD, где каждый тест безопасности выполняется через CLI от Invicti ASPM, быстро сделало ручное сканирование ненужным. Таким образом безопасность стала неотъемлемой частью пайплайнов для более чем 3000 программ.
  • Команды безопасности и разработки мгновенно получают уведомления о результатах сканирования в каналах Slack. Это помогает убедиться, что ни одна критическая уязвимость не останется незамеченной.
  • Сочетая результаты автоматизированных инструментов с уязвимостями, обнаруженными в ручных действиях, таких как тесты на проникновение, ручные проверки и bug bounty, общее состояние безопасности можно легко отслеживать на единой платформе, где команды разработки и безопасности могут лучше понимать друг друга.
  • Тикеты создаются командами безопасности на досках разработчиков Jira через пользовательский интерфейс Invicti ASPM, а также можно измерять показатели исправлений, чтобы определить, все ли идет правильно. Когда разработчик закрывает недостаток, Invicti ASPM автоматически запускает проверку и снова открывает проблему, если сканер повторно обнаруживает уязвимость.
  • Чтобы предотвратить повторные уязвимости в будущем, разработчикам назначаются персонализированные курсы безопасного написания кода с Codebashing через пользовательский интерфейс Invicti ASPM после анализа типов уязвимостей, внесенных в исходный код каждым разработчиком.
  • Используя этот основанный на рисках подход для создания отдельных правил автоматизации для различных программ, команды безопасности убедились, что они быстро обнаруживают уязвимости, представляющие реальную угрозу, с минимальными человеческими усилиями.
  • Используя все возможности оркестрации и автоматизации Invicti ASPM, Trendyol добилась успехов в создании масштабированной и автоматизированной программы AppSec, которая одновременно удобна для разработчиков.

Другие материалы по теме

CISO ASPM Invicti

Зачем CISO нужна отчетность из ASPM

13.02.2026
Application Security Posture Management

ASPM: что это такое и зачем он нужен

16.01.2026
Ödeal Invicti ASPM

Кейс Invicti ASPM: Как создать программу безопасности с нуля?

25.12.2025

Подписаться на новости

    Оставьте свои контакты, и мы с вами свяжемся