Mentionsy
Bezpieczny Kod Podcast
Bezpieczny Kod Podcast
29.05.2025 08:45

Budowanie Programu Security Champions i DevSecOps w Fintechu: Case Study XTB

👉 Sprawdź szkolenie o którym mowa w filmie:https://abcdevsecops.plW specjalnym odcinku BKP rozmawiamy z Łukaszem Jagielskim - Engineering Team Leaderem zespołu specjalistów ds. bezpieczeństwa IT w XTB - globalnej firmie inwestycyjnej, która oferuje innowacyjne rozwiązania technologiczne, pozwalające klientom skutecznie zarządzać swoimi finansami na wiele sposobów. Andrzej i Krzysiek pytają o ewolucję bezpieczeństwa w XTB, od początków z jednym "bezpiecznikiem" do budowy programu Security Champions i wdrażania kultury DevSecOps.Dowiesz się między innymi:* Jak XTB podchodzi do budowania kultury bezpieczeństwa w całej organizacji, odchodząc od roli "policji"?* Jaki wpływ na procesy miały regulacje, takie jak DORA?   * Skąd czerpano inspiracje do wdrożenia DevSecOps (m.in. prezentacja BNP Paribas o Security Champions)?* Jak w praktyce wyglądał start i rozwój programu Security Champions w XTB?* Jak zdobyć zaangażowanie managementu i deweloperów (testerów, programistów)? * Jak wygospodarować czas na zadania security (ok. 10%) i utrzymać motywację championów poprzez bazę wiedzy, szkolenia i spotkania?* Jak XTB podeszło do szkolenia swoich Security Championów, maksymalnie wykorzystując zdobytą wiedzę m.in. poprzez dyskusje po każdej lekcji i wizualizacje?* Jak zintegrować narzędzia bezpieczeństwa (np. SAST) z przepływem pracy deweloperów, aby informacja o podatnościach trafiała bezpośrednio do nich? 📌 Sprawdź też:Strona firmowa - https://bezpiecznykod.plSzkolenie online ABCD - https://abcdevsecops.plSzkolenie online OTWA - https://ofensywnetestowanie.pl🔗 Referencje:Job board XTB - https://www.xtb.com/pl/karieraLinkedIn Łukasza - https://www.linkedin.com/in/%C5%82ukasz-jagielski-6682a8181🔔 Subskrybuj kanał:https://www.youtube.com/@BezpiecznyKod?sub_confirmation=1❤️ Dziękujemy za Twoją uwagę! Dziękujemy również Justynie i Ninie za pomoc w organizacji spotkania! 💓© Wszystkie znaki handlowe należą do ich prawowitych właścicieli.#cybersecurity #appsec #software #softwareengineer #supplychain #programowanie #bezpieczeństwo #devops #devsecops #Cyberbezpieczeństwo #AI #TechTalk #AppSec #PodcastIT #BezpieczeństwoIT #ExpertInsights #QA #TestowanieOprogramowania #IT

XTB Łukaszu BNP Security Champion Security Championi CTO CFP Legala AI Krzyśka POC Red Team Development DevSecOpsem DAST

Sponsorzy odcinka (1)

XTB mid-roll

"XTB to jest polska firma z polskimi korzeniami?"

Szukaj w treści odcinka

Wyczyść
Znaleziono 30 wyników dla "POC"

Na początku roku gdzieś była informacja od was, bo już obserwowałem was od jakiegoś czasu, że wypuszczacie takie szkolenie i wiecie, kolejna kropka połączona.

I ja się pochwalę, to tak między nami i słuchaczami, że nawet korzystam z usług waszej firmy, mam coś tam kupione, więc jestem klientem i mam, jak to powiedziałby Nikola Staleb, skin in the game, więc bardzo mi również zależy na tym, żeby wasza aplikacja i wasze systemy były bezpieczne, żeby moje papierki wartościowe lub niewartościowe, to zależy które,

Powiedz mi, bo to pytanie tak naprawdę wyszło mi na samym początku.

Rzeczywiście na początku było trudno, tak?

Jakby to były takie małe rzeczy, które pokazywały, szczególnie na początku mi, że to bezpieczeństwo się podnosi, jeżeli chodzi o poziom.

Wiesz co, no to był benefit tego, że to było budowane od początku.

Ja wreszcie mogłem poprowadzić pewne inicjatywy, więc małymi na początku krokami, później coraz większe robiliśmy, jeżeli chodzi właśnie o bezpieczeństwo.

Pewnych rzeczy niekoniecznie startujemy z nimi od samego początku, bo po prostu nie zawsze jest sens.

Jakich ludzi zaczynaliście szukać na początku, jakich potem, no jak ich teraz szukacie?

Wiesz co, no na samym początku zespół bezpieczeństwa to był jako taki core, core security, który no musi się zajmować wszystkim po trochu tak naprawdę.

Mi szczególnie, bo jak już wspomniałem, nie jestem deweloperem, być może takie rzeczy były już znane od początku, natomiast gdzieś ta idea, szczególnie Security Championów,

Odnośnie funduszy i Security Championów, powiedz mi, czy na początku spotkałeś się z pewnym oporem, tłumacząc to gdzieś do góry, czy nie?

I jakoś tam, pamiętam, że chyba na początku roku gdzieś była informacja od was, bo już obserwowałem was od jakiegoś czasu, że wypuszczacie takie szkolenie i wiecie, kolejna kropka połączona.

Jakby było szyte na miarę dla nas, tylko szkoda, że trochę musimy poczekać, tak?

I tak naprawdę, gdy zapytałem tych osób, czy chciałyby w takim pilotażowym programie wystąpić, będzie można więcej się dowiedzieć o bezpieczeństwie, będzie kupa roboty i uścisk ręki prezesa i tylko tyle możemy zaoferować na początek, ale oczywiście również wiedza, no to bez zawahania, tak?

Powiedzieliście sobie od samego początku, że dobra, no to teraz 15-20% czasu poświęcamy na security.

Na początku poprzez jakieś cele kwartalne, poprzez zadeklarowanie w wysokom menadżmencie jakąś stałą propozycję np. 10%.

No bo też na początku to były spotkania, dużo rozmów, dużo ustalenia, później POC narzędzi różnych, szkolenia i tak dalej.

Ja to wtedy dopiero zrozumiałem, chociaż wydawało mi się na początku drogi, wiecie, że żeby zacząć to jest ciężko.

Na początku było ciężko, bo nie mieliśmy tej wiedzy, tego core'u właśnie, który w zasadzie tylko nam był potrzebny, żeby dalej to popchnąć.

Więc nie wiedzieliśmy na samym początku pewnych być może oczywistości, które dowiedzieliśmy się na szkoleniu.

A wtedy to był początek.

Security Championi mogą być wiadomo od początku we wszystkich zespołach, ale my podeszliśmy do tego tak, że

To jest taka jedna główna rzecz, którą naprawdę bym się na niej skupił i wydaje mi się, że jeżeli od początku jakby będzie skupienie wokół tego celu, to będzie to łatwo udowodnić.

Wiadomo, że to wtedy trwa, wydłuża całą kwestię, natomiast skoro to jest początek jakiś, no to to jest do opanowania wtedy.

Trochę to nie odpowiedziałeś, ale pociągnę temat i chciałbym usłyszeć rozważanie, takie za i przeciw, bo ta decyzja gdzieś była podejmowana.

Czy była o tym mowa, że na początku tej całej drogi rzeczywiście możemy obserwować, zgadzać się na pewne rzeczy, które są wprowadzane w ramach kodu, rozmawiać o tym dlaczego tak, dlaczego inaczej, a dopiero na przykład później podejść do

Bo często, wiecie, jest tak, że wszystko jest, wiecie, co do dnia, będzie wtedy, będzie... Wtedy skończymy POC, wtedy wdrożymy narzędzie, wtedy zrobimy security championów, program i tak dalej, i tak dalej.

Ja na początku stymulowałem, proponowałem różne rozwiązania.

Bo my rzeczywiście, jak wdrażaliśmy ten program, to my też na początku nie wiedzieliśmy.

Ostatnie odcinki