Резюме: AppSec / DevSecOps
Грошев Владислав
Ссылка на портфолио в Git:
https://github.com/vlad124214w/vulnerabilities_project.git
Цель: Specialist Application Security.
Специалист с более чем 1 года опыта в области безопасности приложений (AppSec) и мониторинга инцидентов. Практические навыки в тестировании безопасности (SAST, DAST, SCA), анализе уязвимостей в open-source компонентах и коде, работе с OWASP Top 10. Опыт интеграции проверок безопасности в процесс разработки (DevSecOps). Ищу позицию в команде AppSec для усиления защиты продуктов компании.
Опыт работы:
--- Специалист по информационной безопасности (AppSec / SOC)
Ростелеком
Запуск регулярных сканирований веб-приложений и сетей с использованием специализированных сканеров.
Мониторинг и первичный анализ инцидентов безопасности (SOC-функции): работа с логами, артефактами.
Участие во внедрении и поддержке процессов и средств защиты информации (СИБ).
Анализ причин уязвимостей для их предотвращения в будущем.
--- Специалист по Application Security (фриланс / проектная работа)
Проекты в сфере AppSec
SAST/DAST: Анализ исходного кода (Java, Python, PHP, JavaScript) с использованием Burp Suite, OWASP ZAP, Semgrep, CodeQL, SQLMap для поиска уязвимостей (XSS, SQLi).
SCA (OSA): Проверка зависимостей через OWASP Dependency Check на наличие уязвимых библиотек, составление отчетов.
Ручное тестирование: Тестирование по методологии OWASP Top 10 (IDOR, обход аутентификации, логические ошибки).
Анализ и отчетность: Фильтрация ложных срабатываний (false positives), приоритизация уязвимостей, составление детальных отчетов с описанием, шагами воспроизведения, оценкой риска (CWE/CVSS).
Консультации: Консультирование разработчиков по безопасной реализации функций (хэширование, CORS, валидация) со ссылкой на OWASP Cheat Sheets.
Участие в разработке и документировании политик и стандартов безопасности (брендбук AppSec).
Взаимодействие с разработчиками по вопросам устранения уязвимостей и безопасного кодирования.
Участие во внедрении практик DevSecOps (интеграция с GitLab).
Ключевые навыки:
Инструменты AppSec: Burp Suite, OWASP ZAP, Semgrep, OWASP Dependency Check (SCA), CodeQL, SQLMap.
Методологии: OWASP Top 10, PTES, SDLC, ручное тестирование на уязвимости.
Языки программирования / Технологии: Python (средний), SQL (средний), JavaScript/JS (база), Java (база), PHP (база), HTML/CSS, HTTP/HTTPS.
Операционные системы и DevOps: Linux (администрирование), Windows, Docker, Docker-compose, Git, CI/CD (GitHub Actions / GitLab CI).
Базы данных: MySQL.
Другое: Аналитическое мышление, работа с большими объемами информации, документооборот.
Проекты:
Участие в разработке брендбука: Анализ существующих практик, исследование вариантов реализации требований безопасности, документирование процессов для стандартизации работы.
Дополнительная информация:
Постоянное изучение новых инструментов и уязвимостей.
Посещение профильных конференций и вебинаров.
Владислав Грошев
