Илья Гончаров

Что делаю:
[+] произвожу поиск и анализ уязвимостей в мобильных и веб-приложениях банка
[+] тесно сотрудничаю с продуктовыми командами для оперативного контроля и устранения обнаруженных уязвимостей согласно SLA, а также консультирую разработчиков по актуальным вопросам безопасности ПО;
[+] участвую в развитии процессов безопасной разработки программного обеспечения (Security SDLC), повышая уровень защищенности программных продуктов;
[+] разрабатываю собственные инструменты для автоматического тестирования безопасности и интегрирую их в процессы CI/CD;
[+] отвечаю за расширение понимания и знаний в области ИБ среди разработчиков, участвуя в организации обучающих встреч, воркшопов и внутренних CTF;
[+] участвую в процессе оценки рисков изменений (CRQ), проверяю изменения, внесённые командами, и одобряю их для выхода в релиз (gatekeeping);
[+] разбираю результаты регулярного сканирования DAST.

Что сделал:
[+] разработал сервис для проведения self-assessment'а для сотрудников банка который позволяет запускать инструменты SAST/SCA/Secret Scanning на репозитории Gitlab и посматривать отчеты по результатам сканирования.
Стек: Python, FastAPI, PostgreSQL, Tortoise ORM, LDAP, Kubernetes;

[+] переписал скрипт сбора статистики по текущем задачам с выгрузкой в Power BI, в связи с миграцией из Jira в SimpleOne
Стек: Python, SimpleOne, Power BI, Kubernetes.

Безопасил бизнес юнит VK ID — авторизация & аутентификация, критичный сервис с более чем 100м MAU и 50м DAU

Что делал:
[+] обеспечивал защиту разрабатываемых и используемых приложений компании, а также регулярно проводил анализ их безопасности;
[+] выполнял аудиты безопасности сервисов для выявления потенциальных уязвимостей и проблем безопасности;
[+] моделировал возможные угрозы и формировал требования безопасности приложений;
[+] консультировал разработчиков по вопросам безопасности и активно следил за процессом устранения обнаруженных уязвимостей;
[+] участвовал в разборе инцидентов ИБ.


Проводил ассессмент безопасности старой версии OAuth, и провел аудит новой версии OAuth 2.1 переписанной с нуля

Что делал:

[+] выполнял тесты на проникновение веб-приложений, инфры, мобилок у: банков, платежных шлюзов, онлайн-магазинов и прочих сервисов по стандартам PCI DSS;
[+] производил поиск уязвимостей прикладного и сетевого уровня в информационных системах;
[+] писал отчеты по результатам пентестов на Русском и Английском.

Самые крупные проекты:
[+] Проверка сегментации Деньги.Мэйл.Ру
[+] Тестирование на проникновение для: Островок.ру, Народный банк Казахстана, Яндекс, Ozon, Золотая Корона, Cryptopay Ltd.


Активно участвовал в выполнении проектов, демонстрируя способность эффективно управлять ресурсами и задачами, часто взяв на себя ответственность за два и более проекта одновременно. Выполнил 28 проектов, в которых принимал ключевую роль и работал независимо.

Что делал:

[+] триажил отчеты с багбаунти hackerone и работал с командами над устранением уязвимостей согласно SLA;

[+] участвовал во внутренних pentest’ах продуктов компании по 4 штуки каждую неделю;

[+] помогал команде с разработкой внутренних тулз.