Odpowiedzialność za każdą linię kodu
Tomasz dołączył do The SpyBolt w lutym 2022 roku, przechodząc z działu IT średniej firmy logistycznej. W naszym zespole zajmuje się wyłapywaniem błędów, które programiści często pomijają w pośpiechu przed wdrożeniem. W ciągu ostatnich 11 miesięcy Tomasz przeprowadził dokładne audyty dla 14 klientów, głównie z okolic Kielc i Radomia. Nie zajmuje się teoretycznymi zagrożeniami. Jego praca polega na wskazywaniu konkretnych luk, przez które realnie można wykraść bazę danych lub przejąć sesję użytkownika.
Jego podejście jest proste: bezpieczeństwo nie może blokować pracy programistów. Dlatego Tomasz skupia się na automatyzacji. Konfiguruje narzędzia tak, aby skanowały kod przy każdym wypchnięciu zmian do repozytorium. W październiku 2024 roku, podczas rutynowej kontroli projektu dla lokalnego sklepu internetowego, Tomasz wykrył 23 krytyczne podatności w zapomnianych bibliotekach JavaScript. Naprawa tych błędów zajęła programistom tylko 4 godziny, a zapobiegła potencjalnemu wyciekowi danych 3 167 klientów.
Tomasz nie wysyła grubych raportów PDF, których nikt nie czyta. Zamiast tego przygotowuje konkretne zadania w Jirze. Każdy błąd opisuje tak, aby naprawa była jasna i szybka. (Swoją drogą, Tomasz to nasz biurowy ekspert od mocnej czarnej kawy i to on dba, żeby nasz ekspres przy ul. Sienkiewicza 22 zawsze był sprawny). Dzięki jego pracy nasi klienci wiedzą, że ich aplikacje są sprawdzane nie raz na rok, ale przy każdej zmianie w kodzie.
W codziennej pracy Tomasz używa głównie narzędzi Snyk oraz Checkmarx, ale często pisze też własne skrypty w Pythonie do niestandardowych testów. Wierzy, że automaty powtarzają proste czynności, ale to człowiek musi zrozumieć logikę biznesową aplikacji, żeby znaleźć te najgroźniejsze luki. W The SpyBolt Tomasz jest osobą pierwszego kontaktu, gdy trzeba szybko przeanalizować nową bibliotekę przed dodaniem jej do projektu.
Konkretne efekty pracy Tomasza
- Skrócenie czasu analizy bezpieczeństwa w 8 projektach z 4 dni do 6 godzin dzięki automatyzacji.
- Wykrycie i pomoc w załataniu 156 luk bezpieczeństwa w ciągu ostatniego roku.
- Przeprowadzenie warsztatów z bezpiecznego kodowania dla 3 zespołów deweloperskich.
- Wdrożenie standardów OWASP ASVS w 4 aplikacjach fintechowych naszych klientów.