ASFWS 2012 - Gestion opérationnelle de la sécurité logicielle sur la plateforme Facebook par Alok Menghrajani
1. Gestion opérationnelle
de la sécurité chez Facebook
Application Security Forum – 2012
Alok Menghrajani Western Switzerland
7 Nov 2012 7-8 novembre 2012 – Y-Parc / Yverdon-les-Bains
https://www.appsec-forum.ch
6. Structure opérationnelle
(liste non exhaustive)
▪ Centres de données
▪ Campus
▪ C.E.R.T.
▪ Abus de la part des utilisateurs
▪ Framework et audit
7. Bootcamp
▪ 6 semaines de formation
▪ Apprendre la code base
▪ ~15 onboardings
8. Le code
▪ Review sur les diff
▪ Règles à base de grep
▪ Moteur lint
▪ Tests d’intégrations
▪ Web Driver
9. Frameworks
▪ Sécurité par défaut
▪ Ségrégation des connaissances
▪ Responsabilité en cas de bugs
▪ Réponse simplifiée vis-à-vis des bugs
10. Gatekeeper
▪ Permet de tester du code sur un % stable des utilisateurs
▪ Tests A/B et gestion des statistiques
▪ Désactivation instantanée d’une fonctionnalité
11. IPS dans la couche applicative
▪ Intégré dans la MVC
▪ Extrêmement flexible
▪ Temps de réaction très rapide