Audyt techniczny.
1–2 tygodniowy review aplikacji Java/Spring lub Angular: bezpieczeństwo, wydajność, dług techniczny.
Co obejmuje
- Review kodu i architektury
- Security: OWASP Top 10, dependency scan
- Performance: profilowanie, query analysis
- CI/CD i pokrycie testami
- Raport z priorytetami i estymacją
Dla kogo
Dla CTO i product ownerów, którzy odziedziczyli kod i muszą zdecydować "rewrite vs refactor".
To NIE jest dla Ciebie jeśli
- Szukasz pentesta - to wąska specjalizacja, polecę kogoś.
- Chcesz audit certyfikujący (ISO/SOC2) - mój raport nie zastąpi formalnego audytu compliance.
Co dostajesz
Pisemny raport (15–30 stron) z priorytetową listą fixów, estymacją i roadmapą.
Najczęstsze pytania
Ile trwa audyt i co jest deliverable?
1–2 tygodnie zależnie od rozmiaru codebase. Deliverable: raport PDF (15–30 stron) z executive summary, technical findings z priorytetami (P0/P1/P2), estymacją fixów oraz 1h sesja Q&A z Twoim zespołem.
Czy podpisujesz NDA przed dostępem do kodu?
Tak. NDA standardowo przed dostępem do repo. Mogę użyć Twojego template lub mojego (mutual NDA).
Czy implementujesz fixy po audicie?
Tak, jeśli pasujemy w scope/timeline. Część klientów po audicie idzie z fixami do swojego zespołu, część prosi mnie o najpilniejsze P0/P1. Stawka godzinowa wtedy.
Jaki jest zakres "bezpieczeństwa" w audicie?
OWASP Top 10 review (auth, injection, deserialization, secrets, CORS, headers), dependency scan (Snyk / OWASP DC), manual review krytycznych ścieżek (login, payments, file upload). To NIE jest pentest - czarnoskrzynkowe testy nie są w scope.
Co jeśli znajdziesz krytyczny security bug?
Eskaluję natychmiast (mail / call), zanim skończę audit. Nie czekam z P0 do raportu. Jeśli to public-facing CVE-level - uzgadniamy disclosure path zanim wpiszę do dokumentu.
Stawka i czas realizacji
Masz projekt typu „Audyt techniczny"?
Napisz krótko, czego potrzebujesz. Odpiszę w 24h z propozycją następnego kroku.
Porozmawiajmy