Terminal kontenerowy z suwnicami z lotu ptaka — dithering monochromatyczny (C.1 Mono)
Case study · FinTech

DevSecOps rękoma Security Champions

XTB — polski fintech z własną aplikacją inwestycyjną, jedna z najbardziej rozpoznawalnych firm inwestycyjnych w Polsce. Firma technologiczna w branży regulowanej; liczba deweloperów rośnie z miesiąca na miesiąc.

Sektor: FinTech · DORA Zakres: Udział w kohorcie ABCD Temat: DevSecOps
01 — Punkt startowy

Bezpieczeństwo weryfikowało wyjście — nie było wbudowane w proces.

W XTB bezpieczeństwo budowane było od podstaw, początkowo jako mały zespół „core security" o bardzo szerokich obowiązkach. Oprogramowanie nie powstawało niebezpiecznie — ale bezpieczeństwo nie miało widoczności w procesie wytwórczym: skupiało się na weryfikacji tego, co wychodzi, nie na świadomym wbudowywaniu.

Asymetria była strukturalna: zespół bezpieczeństwa mały, deweloperów coraz więcej. Narzędzia (SAST, DAST, SCA) były znane, kierunek jasny — brakowało odpowiedzi na pytanie „kto będzie to robił" oraz dedykowanego szkolenia, które przygotuje ludzi.

Trigger złożył się z trzech rzeczy: wzrost firmy otworzył moce przerobowe, DORA dołożyła argument, żeby nie zwlekać, a prezentacja BNP na konferencji „połączyła kropki" — idea Security Champions pokazała, jak wyskalować bezpieczeństwo przy małym zespole. Gdy pojawił się program ABCD, jak ujął to klient: „kolejna kropka połączona — idealnie, jakby szyte na miarę dla nas".

02 — Jak to przebiegło

Zespół XTB przeszedł program ABCD — i zbudował wokół niego własny rytm pracy.

Zespół XTB — bezpiecznik prowadzący program wraz z wyselekcjonowaną grupą Security Championów — przeszedł program ABCD (Automatyzacja Bezpieczeństwa w Potoku CI/CD) w formule kohortowej: sześć tygodni cotygodniowych spotkań live z prowadzącymi, praca na materiale i na realnych kontekstach uczestników.

  • Własny rytm konsumpcji — po każdej lekcji wewnętrzne spotkanie zespołu, board w Miro z wnioskami, zadania do backlogu organizacji. Sam w sobie wzorcowy sposób przejścia szkolenia.
  • Vulnerability management jako proces — a nie samo wdrożenie narzędzia.
  • Zero zaburzania flow deweloperów — informacja o podatności trafia automatycznie tam, gdzie dzieje się praca.
  • Priorytetyzacja przez Championów — którzy mają kontekst zespołowy, a nie przez sam skaner.
03 — Co się zmieniło

Z fazy budowy w utrzymanie — i własny etat AppSec.

  • Program Security Champions działa — z fazy budowy przeszedł w utrzymanie.
  • DevSecOps wpięty w potok CI/CD bez zaburzania pracy deweloperów; triaż i priorytetyzacja w rękach Championów.
  • Współpraca bezpieczeństwo ↔ development wyraźnie urosła — społeczność Championów działa jako szybki punkt odpowiedzi w organizacji.
  • Ujawnili się rozproszeni „ambasadorzy bezpieczeństwa" — „nie sądziłem, że tyle fajnych pomysłów może wyniknąć z takich dyskusji".
  • XTB rekrutuje dedykowany etat AppSec do prowadzenia programu — najtwardszy dowód, że program ma trakcję.
Słowami klienta

„Teraz jesteśmy zupełnie innymi osobami — i Security Championi, i ja. Wiemy, jak działać, co dalej robić. Wtedy trwała budowa, teraz jest utrzymanie."

Łukasz Jagielski
Engineering Team Leader, XTB

Twoja firma następna

Wpinasz DevSecOps w pipeline?

30 minut z ekspertem, nie z handlowcem. Opowiesz o zespole i stacku, a my podpowiemy, od czego zacząć. Bezpłatnie, bez NDA na wejściu.