Кибербезопасность и веб-разработка

Помогаю закрывать риски в инфраструктуре и продукте: аудит, threat modeling, secure SDLC, hardening и контрольные меры. Параллельно делаю сайты/лендинги с нормальной инженерией: производительность, SEO, доступность, деплой и сопровождение.

Написать Посмотреть услуги

Услуги

Кибербезопасность: аудит, AppSec, инфраструктура

Делаю безопасность практично: нахожу реальные риски, приоритизирую, предлагаю меры, которые можно внедрить, и довожу до результата. Без «страшилок» и без воды — отчёт, план работ и понятные шаги.

Форматы работы:

  • Экспресс-диагностика (1–3 дня): обзор posture, топ-риски, quick wins, приоритеты.
  • Глубокий аудит (1–3 недели): threat modeling, проверка контролей, целевая модель и roadmap.
  • Сопровождение (retainer): контроль внедрения, улучшение процессов, поддержка команды.

Что делаю:

  • Аудит и диагностика: gap-analysis, hardening, анализ конфигураций, IAM/права доступа, логирование и алерты.
  • AppSec / Secure SDLC: threat modeling, security code review, SAST/DAST, секреты и supply chain, безопасные релизы.
  • Инфраструктура и сеть: least privilege, сегментация, TLS/PKI, WAF, базовые меры для cloud/on-prem.
  • IR-готовность: мониторинг/алертинг, журналирование, runbooks, tabletop-сценарии и отработка действий.
  • Фреймворки: OWASP Top 10 / ASVS, NIST CSF/800-53 (когда нужно привязать меры к фреймворку), ISO 27001 (подходы и контрольные меры).

На выходе:

  • Risk register: риск → вероятность/ущерб → приоритет → мера → владелец → срок.
  • Roadmap 30/60/90: quick wins + системные изменения.
  • Чек-листы: hardening/IAM/логирование/релизы под твой стек.

Инструменты: Burp Suite / OWASP ZAP, Semgrep/SonarQube, GitHub Actions/GitLab CI, Docker, Terraform (модули, best practices, безопасный деплой), логирование/метрики — по стеку и задаче.

Веб-разработка: визитки и лендинги с инженерным качеством

Делаю сайты, которые быстро грузятся, нормально индексируются и не разваливаются в поддержке. Сразу закладываю понятную структуру, аккуратный деплой и минимизацию рисков (в том числе для форм и интеграций).

Что входит:

  • Фронтенд: HTML/CSS, JS/TS, компонентный подход, адаптив, доступность (a11y), Core Web Vitals.
  • SEO и аналитика: мета-теги, структура, sitemap/robots, базовая аналитика (по запросу).
  • Интеграции: формы без публикации email, сервисы отправки, простые API-интеграции (если нужно).
  • Бэкенд (по задаче): Node.js / Python (FastAPI), REST, простые сервисы и endpoints.
  • Эксплуатация: домен/HTTPS, CI/CD, env-секреты, логи, бэкапы (если есть серверная часть).

Подход к качеству:

  • Предсказуемый деплой: сборка/публикация, откат, минимум ручных шагов.
  • Поддерживаемость: понятная структура, комментарии по ключевым местам, короткая документация.
  • Безопасность по умолчанию: секреты не в репозитории, формы через сервис/бэкенд, базовые security-заголовки по ситуации.

Если нужен максимально лёгкий вариант — делаю статический сайт без тяжёлых зависимостей. Если нужно “чуть сложнее” — подключаю бэкенд/интеграции и CI/CD.

Обо мне

Опыт в IT 10+ лет. Работаю на стыке инженерии и безопасности: умею разложить задачу по рискам, собрать адекватные меры, объяснить “почему так”, и довести до внедрения. В веб-разработке придерживаюсь практик, которые не стыдно поддерживать: качество, производительность, предсказуемый деплой.

  • Инженерный уровень: архитектурные решения, приоритизация, trade-offs, документация, сопровождение.
  • Security-мышление: модели угроз, контроль поверхности атаки, принципы least privilege и defense-in-depth.
  • Процесс: чек-листы, PR/ревью, CI/CD, базовая автоматизация, прозрачные договорённости по результату.

Контакты

Напиши — коротко уточню задачу и предложу формат работы (разовый аудит / сопровождение / разработка).

Отвечаю обычно в течение дня.