The SpyBolt
← Back to Bylines

Młodszy analityk bezpieczeństwa

Tomasz Nowicki

secure@thespybolt.com

Tomasz Nowicki
Analiza statyczna kodu (SAST)Bezpieczeństwo bibliotek zewnętrznychAutomatyzacja skanowania w CI/CDWdrażanie narzędzi Snyk i SonarQube

Odpowiedzialność za każdą linię kodu

Tomasz dołączył do The SpyBolt w lutym 2022 roku, przechodząc z działu IT średniej firmy logistycznej. W naszym zespole zajmuje się wyłapywaniem błędów, które programiści często pomijają w pośpiechu przed wdrożeniem. W ciągu ostatnich 11 miesięcy Tomasz przeprowadził dokładne audyty dla 14 klientów, głównie z okolic Kielc i Radomia. Nie zajmuje się teoretycznymi zagrożeniami. Jego praca polega na wskazywaniu konkretnych luk, przez które realnie można wykraść bazę danych lub przejąć sesję użytkownika.

Jego podejście jest proste: bezpieczeństwo nie może blokować pracy programistów. Dlatego Tomasz skupia się na automatyzacji. Konfiguruje narzędzia tak, aby skanowały kod przy każdym wypchnięciu zmian do repozytorium. W październiku 2024 roku, podczas rutynowej kontroli projektu dla lokalnego sklepu internetowego, Tomasz wykrył 23 krytyczne podatności w zapomnianych bibliotekach JavaScript. Naprawa tych błędów zajęła programistom tylko 4 godziny, a zapobiegła potencjalnemu wyciekowi danych 3 167 klientów.

Tomasz nie wysyła grubych raportów PDF, których nikt nie czyta. Zamiast tego przygotowuje konkretne zadania w Jirze. Każdy błąd opisuje tak, aby naprawa była jasna i szybka. (Swoją drogą, Tomasz to nasz biurowy ekspert od mocnej czarnej kawy i to on dba, żeby nasz ekspres przy ul. Sienkiewicza 22 zawsze był sprawny). Dzięki jego pracy nasi klienci wiedzą, że ich aplikacje są sprawdzane nie raz na rok, ale przy każdej zmianie w kodzie.

W codziennej pracy Tomasz używa głównie narzędzi Snyk oraz Checkmarx, ale często pisze też własne skrypty w Pythonie do niestandardowych testów. Wierzy, że automaty powtarzają proste czynności, ale to człowiek musi zrozumieć logikę biznesową aplikacji, żeby znaleźć te najgroźniejsze luki. W The SpyBolt Tomasz jest osobą pierwszego kontaktu, gdy trzeba szybko przeanalizować nową bibliotekę przed dodaniem jej do projektu.

Konkretne efekty pracy Tomasza

  • Skrócenie czasu analizy bezpieczeństwa w 8 projektach z 4 dni do 6 godzin dzięki automatyzacji.
  • Wykrycie i pomoc w załataniu 156 luk bezpieczeństwa w ciągu ostatniego roku.
  • Przeprowadzenie warsztatów z bezpiecznego kodowania dla 3 zespołów deweloperskich.
  • Wdrożenie standardów OWASP ASVS w 4 aplikacjach fintechowych naszych klientów.