Андрей Кутузов

Senior Application Security Engineer с более чем 10-летним опытом в IT и 4+ годами в offensive application security. В настоящее время работаю в крупной продуктовой компании, где занимаюсь внедрением secure SDLC, автоматизацией AppSec-процессов и проведением security assessment’ов для web, API и mobile-приложений.

Смотрю на приложения с позиции атакующего, но всегда думаю в контексте бизнеса и engineering-процессов. Большое внимание уделяю практической стороне безопасности: как находить реальные уязвимости, снижать шум от сканеров и выстраивать понятный процесс работы с ними для разработчиков.

Участвую в CTF-соревнованиях (включая Standoff), занял 16-е место в Amazon AppSec CTF 2025 (EMEA). Также разрабатываю собственные инструменты на Python и с применением AI для задач application security.

Могу помочь разобраться с практическими аспектами application security и penetration testing.

В рамках менторских сессий могу разобрать:

• что такое SAST, DAST, SCA, как они работают и чем отличаются друг от друга

• практические примеры использования SAST/DAST/SCA и типовые ошибки при их внедрении

• что такое secure SDLC (SSDLC) и как безопасность встраивается в процесс разработки

• чем занимается Application Security Engineer на практике

• как проводить application security assessment

• как находить и анализировать уязвимости в web- и API-приложениях

• как писать качественные отчёты по уязвимостям: структура, приоритизация, рекомендации

• разбор security code review и типовых проблем в коде

• подготовку к техническим собеседованиям по application security

• подготовку к профессиональным сертификациям в области application security и penetration testing (OSCP, OSWE, eMAPT, CIPT, CAPT, CWEE)

Формат работы - практический и ориентированный на реальные кейсы и требования рынка.