Виктор Кривецкий - Application Security Engineer

Навыки

• Agile
• Atlassian Jira
• DAST
• DevSecOps
• Git
• IaC
• Java
• Linux
• OWASP Top 10
• Python
• REST API
• SAST
• SCA
• Scrum
• SDLC
• Semgrep
• Shift Left Security
• sonarqube
• Threat Modeling
• Тестирование безопас

Опыт работы

Белгазпромбанк

Information Security Engineer - Февраль 2022 — Апрель 2022

* Расследовал фишинговые атаки, DDoS-атаки и подозрительные транзакций с использованием SIEM
* Организовывал выпуск и обновление SSL/TLS-сертификатов для платежных терминалов через внутреннюю PKI, обеспечивал соответствие требованиям PCI DSS
* Внедрил DLP-систему, проводил мониторинг передачи конфиденциальных данных, блокировал несанкционированные операций
* Проводил настройку системы для отслеживания изменений в критических файлах, проводил регулярные аудиты конфигураций. Снизил риски несанкционированных изменений на 40%

Белгазпромбанк

Cybersecurity Engineer - Апрель 2022 — Май 2023

* Проводил мониторинг и расследование инцидентов ИБ с использованием SIEM-систем
* Разрабатывал Python/Bash-скрипты для автоматизации анализа логов и детектирования подозрительной активности. Cнизил время реагирования на инциденты на 30%
* Настраивал и поддерживал серверы с использованием HSM, антивирусные решения

NDA

Java-разработчик/Application Security Engineer - Май 2023 — Май 2024

Платформа для автоматизации распределения рабочих смен, учета задач и аналитики производительности сотрудников

Стек: Java 17, Spring Boot 3, JUnit, MySQL, Hibernate, Kafka, Redis, Swagger, Git, Gradle

Разработка:
* Реализовал синхронизацию с Google календарем в целях удобного и прозрачного управления задачами пользователей
* Создал развернутый рандомайзер с расширенным функционалом
* Использовал Apache Kafka для обработки уведомлений и распределения задач, что сократило задержки на 35%
* Интегрировал Redis для кэширования расписаний сотрудников, ускорение загрузки данных на 40%
* Реализовал предварительное заполнения кеша для минимизации задержек при загрузке данных
* Внедрил Docker для изолированного развертывания сервисов
* Настраивал виртуальные среды тестирования через VMware ESXi
Application Security:
* Участвовал во всех этапах цикла безопасной разработки ПО, включая определение архитектуры и функциональности веб-приложения. Проводил комплексные проверки на соответствие стандартам кибербезопасности
* Осуществил покрытие кода Unit и интеграционными тестами
* Внедрил параметризованные запросы и валидацию входных данных для предотвращения инъекций
* Настроил code review с фокусом на безопасность (анализ 50+ pull requests)

CorpX

Java-разработчик - Октябрь 2024 — Апрель 2025

Высоконагруженное веб-приложение по поиску, поддержке и формированию команд стартапов

Стек: Java 17, Spring Boot 3, Kafka, Redis, MinIO, Hibernate, PostgreSQL, Liquibase, JUnit, Testcontainers, Swagger (OpenApi), Git, Gradle

* Разрабатывал с “0” микросервисы в команде из 10+ инженеров по SCRUM
* Реализовал механизм публикации и доставки постов в ленте новостей пользователей, основанный event-driven подходе, обеспечил масштабируемость и отказоустойчивость системы, применяя асинхронную обработку событий (Kafka, Redis, PostgreSQL)
* Разработал отдельный микросервис, который эффективно генерирует и хранит сокращенные ссылки для привлечения новых пользователей через реферальную систему (Redis, PostgreSQL)
* Реализовал стратегию предварительного заполнения кэша Redis для системы ленты новостей, что позволило минимизировать задержки загрузки контента
* Реализовал функционал автоматической проверки пользовательских комментариев под постами на наличие оскорбительного и нежелательного контента, оптимизировал процесс обработки, используя подход с асинхронным анализом комментариев блоками, что снизило нагрузку на систему и ускорило выполнение проверок
* Реализовал систему загрузки, хранения и управления файлами пользователей и проектов в MinIO
* Покрыл 80%+ кода unit-тестами и интеграционными тестами с использованием JUnit, Mockito и Testcontainers, разработал тестовые сценарии для проверки ряда бизнес-функций, что позволило повысить надежность системы
* Настроил CI процесс для одного из микросервисов
* Участвовал в код-ревью, помогал команде находить баги и улучшать качество кода, отревьюил более 100 пулл-реквестов
* Участвовал в планировании спринтов, обсуждении архитектурных решений и декомпозиции задач
* Провел рефакторинг сложных участков кода, уменьшив его сложность и повысив читаемость

Приорбанк

Application Security Engineer - Июнь 2024 — по настоящее время

* Провел 20+ комплексных аудитов безопасности веб/мобильных приложений и API, включая анализ
архитектуры и кода на соответствие OWASP ASVS.
* Снизил уровень ложных срабатываний (False Positive) SAST/DAST-инструментов на 65% через
кастомизацию правил и контекстный анализ.
* Организовал и сопровождал 3 внешних пентеста, выявил и устранил 15+ критических уязвимостей.
* Интегрировал security-тестирование (SAST/DAST, SCA) в CI/CD для 80% проектов банка,
автоматизировав security-проверки.
* Внедрил Secret Scanning, предотвратив 10+ утечек критичных ключей (DB, API).
* Разработал и внедрил стандарт безопасного кодирования для команд, обучил 100+ сотрудников
(разработчики, DevOps, аналитики).
* Создал гайды по security-требованиям для бизнес-аналитиков, интегрировав security на этапе сбора
требований.
* Участвовал в архитектурном комитете, внедрил security-требования в 5 стратегических проектов.
* Проводил тренинги по security для команд разработчиков.

Образование

Техник-программист

Барановичский государственный колледж лёгкой промышленности

2019

Инженер-программист-экономист

Полесский государственный университет

2022

Обо мне