Gestion opérationnelle de la sécurité chez Facebook

Alok Menghrajani 7 Nov 2012

Application Security Forum – 2012 Western Switzerland

7-8 novembre 2012 – Y-Parc / Yverdon-les-Bains https://www.appsec-forum.ch

Alok Menghrajani

▪  Facebook depuis 2008

▪  User-facing stuff

▪  Infrastructure

▪  Langage/compilation

▪  Parle franglais couramment

La mission de Facebook

L’importance de la sécurité

La culture

Structure opérationnelle (liste non exhaustive)

▪  Centres de données

▪  Campus

▪  C.E.R.T.

▪  Abus de la part des utilisateurs

▪  Framework et audit

Bootcamp

▪  6 semaines de formation

▪  Apprendre la code base

▪  ~15 onboardings

Le code

▪  Review sur les diff

▪  Règles à base de grep

▪  Moteur lint

▪  Tests d’intégrations

▪  Web Driver

Frameworks

▪  Sécurité par défaut

▪  Ségrégation des connaissances

▪  Responsabilité en cas de bugs

▪  Réponse simplifiée vis-à-vis des bugs

Gatekeeper

▪  Permet de tester du code sur un % stable des utilisateurs

▪  Tests A/B et gestion des statistiques

▪  Désactivation instantanée d’une fonctionnalité

IPS dans la couche applicative

▪  Intégré dans la MVC

▪  Extrêmement flexible

▪  Temps de réaction très rapide

Privacy

Antonio

Emma

Sophie

Chloe

Sylvain

Tom

White hat

http://xkcd.com/806/

Questions?

Contact • Technique: alok@fb.com • CV/Jobs: ruth@fb.com