The SpyBolt
← Back to Bylines

Inżynier DevSecOps

Andrzej Mazur

secure@thespybolt.com

Andrzej Mazur
Audyt bezpieczeństwa kodu JavaAutomatyzacja testów GitLab CIZabezpieczanie kontenerów DockerAnaliza statyczna narzędziem SemgrepWdrażanie polityk OWASP Top 10

Andrzej Mazur

Andrzej zajmuje się bezpieczeństwem systemów od listopada 2011 roku. Zaczynał w małej firmie informatycznej w Kielcach, gdzie naprawiał serwery po atakach hakerskich. To wtedy zrozumiał, że większość problemów bierze się ze złego pisania kodu na samym początku. W The SpyBolt pilnuje zasady: bezpieczeństwo od pierwszej linii kodu. Nie używa korporacyjnego żargonu. Zamiast tego mówi wprost, gdzie w Twoim programie są dziury, przez które mogą uciec dane klientów lub pieniądze.

W 2023 roku Andrzej przeprowadził 34 szczegółowe audyty dla lokalnych firm produkcyjnych i sklepów internetowych. Podczas jednego z przeglądów dla hurtowni z regionu świętokrzyskiego wykrył błąd w skrypcie logowania. Naprawa zajęła mu 3 godziny i 15 minut, co uratowało firmę przed wyciekiem bazy 1450 maili. Andrzej nie wierzy w uniwersalne rozwiązania. Każdy projekt traktuje jak osobne zadanie, gdzie liczą się konkretne błędy i proste naprawy, które nie blokują pracy programistów.

Na co dzień Andrzej obsługuje narzędzia takie jak SonarQube oraz Trivy. Wdrożył te systemy u 12 naszych stałych klientów, co pozwoliło skrócić czas wykrywania błędów o 28%. Nie zajmuje się teoretyzowaniem. Jeśli skaner pokazuje błąd, Andrzej sprawdza go ręcznie, żeby nie zawracać głowy programistom fałszywymi alarmami. To rzemieślnicza praca, która wymaga cierpliwości i dokładności przy każdym commicie w Gitie.

Andrzej dołączył do The SpyBolt w maju 2018 roku. Od tego czasu przeszkolił 7 zespołów deweloperskich z Kielc i okolic. Pokazuje im, jak blokować luki, zanim trafią na produkcję. Jego podejście jest proste: bezpieczeństwo to nie jest luksus, tylko fundament. Jeśli Twój kod jest dziurawy, to nawet najlepszy serwer Cię nie uratuje. Dlatego Andrzej skanuje, łata i zabezpiecza każdą linijkę, którą dostaje do sprawdzenia.

Prywatnie Andrzej to fan technologii wojskowych i dobrej kawy. W biurze przy ulicy Sienkiewicza 22 pojawia się zazwyczaj o 8:05. Jeśli masz konkretne pytanie o bezpieczeństwo swojej aplikacji, Andrzej odpowie na nie bez owijania w bawełnę. Nie obiecuje cudów, ale gwarantuje rzetelną analizę opartą na faktach i liczbach. Dla niego udany dzień to taki, w którym wszystkie testy bezpieczeństwa świecą się na zielono przed końcem zmiany o 16:15.