Backend SaaS, Sécurité & Arnaques - Baptiste Jamin, Valérian Saliou & Julien Le Coupanec

Jun 4, 2023

Guest

Valérian Saliou

Guest

Baptiste Jamin

Valérian Saliou, CTO de Crisp expert backend et microservices. Baptiste Jamin, ingénieur SaaS spécialisé en infrastructure à grande échelle. Ils discutent priorités d’architecture, monolithe vs microservices, outils DevOps indispensables, stratégies de sauvegarde et monitoring, protections SSH/VPN/MFA, et arnaques techniques comme ReDoS et dépendances malveillantes.

Ask episode

AI Snips

Chapters

Transcript

Episode notes

ADVICE

Utilisez Cloudflare Pour Performance Et Sécurité

Utilisez Cloudflare (Tunnel, CDN) pour réduire la latence mondiale et protéger les IP publiques.
Profitez des datacenters Cloudflare proches des utilisateurs pour accélérer la crypto TLS.

ANECDOTE

Plugin Malveillant Provoque Une Panne Globale

Un plugin externe a lancé des requêtes lourdes et a fait tomber l'API Crisp mondialement.
Ils ont identifié le coupable, révoqué les tokens et corrigé les effets de cascade.

ADVICE

Filtrez Inputs Et Protégez Contre ReDoS

Validez et filtrez les entrées utilisateurs (taille, regex) pour éviter out-of-memory et ReDoS.
Compilez les regex une fois et testez-les contre des cas malveillants.

Get the Snipd Podcast app to discover more snips from this episode

Get the app

Une discussion autour du backend pour un SaaS, les outils de devops qu'il faut absolument connaitre, la sécurité, les pièges et arnaques à éviter. Les notes qui ont servis à construire cet épisode. * L'optimisation prématurée est la racine de tout Mal. Qu’est-ce qu’il faut selon vous ne pas optimiser en début de SaaS et les choses qui au contraire mérite notre attention. * Ce serait quoi les conseils que vous vous seriez donné il y a 10 ans au moment de construire votre stack pour un SaaS long terme et agile ? * C’est quoi les outils de devops que vous utilisez régulièrement à part votre terminal ? * Gilles Berteaux (Livestorm) : Ils auraient aussi du davantage améliorer l’admin backend et il y a beaucoup de boites qui sont comme ça. Il faut choisir ses batailles mais l’admin est méga important. * Comment on sécurise un SaaS et on s’assure continuellement que tout va bien ? Les grandes règles de bases. * Monitorer les logs Nginx avec tail (histoire de quand on m’aspirait la base). * Alexandre Lousy (Upflow): Pense toujours tes process comme si tu etais 100 fois plus gros. Par exemple quand on a commencé upflow on a direct ete sur salesforce. Pourquoi parce que le gars de Aircall et Airflow lui ont dit qu’on finit toujours sur salesforce et que c’est un enjeu delicat de débrancher 15 sales pour tout migrer sur salesforce en cours d’aventures. Aussi chez Upflow on a rien dans des spreadsheets et directement une datawarehouse. La question c’est pas qu’on peut pas faire de reporting dans des excels a notre stage, le truc c’est que si on est 100 fois plus gros on ne peut plus le faire. C’est un juste milieu car ce genre de trucs te fait perdre du temps a court terme mais parfois sur le long terme c’est vital et c’est un cadeau que tu te fait au toi du futur car tu poses des fondations solides. * Votre avis sur les cloud fonctions ? Car au final, ça enlève quand même pas mal les problématique de devops et de sécurité quand on construit son backend SaaS sur ça ? * Cloudflare c’est quoi rapidement et ça sert à quoi ? C’est à installer jour 1 et ça coute cher ? * Microservices vs Monolythe * La loi de Murphy dans le backend ? * Quentin Adam: le soucis quand il y a un problème qui arrive c’est que tu as très peu de temps pour réagir et qu’il faut être super agile. Car tu peux avoir un effet domino en cascade qui contamine même les services qui n’avaient pas de soucis. * Comment on recrute un bon devops selon vous ?