DevSecOps rękoma Security Champions
XTB — polski fintech z własną aplikacją inwestycyjną, jedna z najbardziej rozpoznawalnych firm inwestycyjnych w Polsce. Firma technologiczna w branży regulowanej; liczba deweloperów rośnie z miesiąca na miesiąc.
Bezpieczeństwo weryfikowało wyjście — nie było wbudowane w proces.
W XTB bezpieczeństwo budowane było od podstaw, początkowo jako mały zespół „core security" o bardzo szerokich obowiązkach. Oprogramowanie nie powstawało niebezpiecznie — ale bezpieczeństwo nie miało widoczności w procesie wytwórczym: skupiało się na weryfikacji tego, co wychodzi, nie na świadomym wbudowywaniu.
Asymetria była strukturalna: zespół bezpieczeństwa mały, deweloperów coraz więcej. Narzędzia (SAST, DAST, SCA) były znane, kierunek jasny — brakowało odpowiedzi na pytanie „kto będzie to robił" oraz dedykowanego szkolenia, które przygotuje ludzi.
Trigger złożył się z trzech rzeczy: wzrost firmy otworzył moce przerobowe, DORA dołożyła argument, żeby nie zwlekać, a prezentacja BNP na konferencji „połączyła kropki" — idea Security Champions pokazała, jak wyskalować bezpieczeństwo przy małym zespole. Gdy pojawił się program ABCD, jak ujął to klient: „kolejna kropka połączona — idealnie, jakby szyte na miarę dla nas".
Zespół XTB przeszedł program ABCD — i zbudował wokół niego własny rytm pracy.
Zespół XTB — bezpiecznik prowadzący program wraz z wyselekcjonowaną grupą Security Championów — przeszedł program ABCD (Automatyzacja Bezpieczeństwa w Potoku CI/CD) w formule kohortowej: sześć tygodni cotygodniowych spotkań live z prowadzącymi, praca na materiale i na realnych kontekstach uczestników.
- Własny rytm konsumpcji — po każdej lekcji wewnętrzne spotkanie zespołu, board w Miro z wnioskami, zadania do backlogu organizacji. Sam w sobie wzorcowy sposób przejścia szkolenia.
- Vulnerability management jako proces — a nie samo wdrożenie narzędzia.
- Zero zaburzania flow deweloperów — informacja o podatności trafia automatycznie tam, gdzie dzieje się praca.
- Priorytetyzacja przez Championów — którzy mają kontekst zespołowy, a nie przez sam skaner.
Z fazy budowy w utrzymanie — i własny etat AppSec.
- Program Security Champions działa — z fazy budowy przeszedł w utrzymanie.
- DevSecOps wpięty w potok CI/CD bez zaburzania pracy deweloperów; triaż i priorytetyzacja w rękach Championów.
- Współpraca bezpieczeństwo ↔ development wyraźnie urosła — społeczność Championów działa jako szybki punkt odpowiedzi w organizacji.
- Ujawnili się rozproszeni „ambasadorzy bezpieczeństwa" — „nie sądziłem, że tyle fajnych pomysłów może wyniknąć z takich dyskusji".
- XTB rekrutuje dedykowany etat AppSec do prowadzenia programu — najtwardszy dowód, że program ma trakcję.
„Teraz jesteśmy zupełnie innymi osobami — i Security Championi, i ja. Wiemy, jak działać, co dalej robić. Wtedy trwała budowa, teraz jest utrzymanie."
Łukasz Jagielski
Engineering Team Leader, XTB
Wpinasz DevSecOps w pipeline?
30 minut z ekspertem, nie z handlowcem. Opowiesz o zespole i stacku, a my podpowiemy, od czego zacząć. Bezpłatnie, bez NDA na wejściu.