Bezpečný vývoj bez straty tempa.
Som Tomáš Volný. Pomáham tímom znižovať bezpečnostné riziko cez praktické kontrolné body, modelovanie hrozieb a secure-by-default prístup tak, aby bezpečnosť podporovala vývoj, nie ho brzdila.
- menej zraniteľností v produkcii
- menej prekvapení pred nasadením
- rýchlejšie schvaľovanie a jasné priority
Skúsenosti z offensive security pretavujem do jasných priorít a praktických rozhodnutí počas vývoja — od threat modelingu až po CI/CD guardrails, ktoré reálne držia.
Komu pomáham
Moja práca je najviac užitočná, keď bezpečnosť musí byť praktická – s jasnými prioritami a reálnym dopadom na vývoj. Typicky v situáciách, keď sa opakujú rovnaké nálezy, schvaľovanie je nejasné a chýba minimálny štandard pre základné bezpečnostné postupy a proces vydávania.
CTO / Tech lead
Bezpečnostná roadmapa a prioritizácia podľa rizika. Pomôžem nastaviť plán, čo riešiť hneď a čo neskôr, kto je za čo zodpovedný, a aké kontrolné body zaradiť do procesu vývoja tak, aby tím nestratil tempo.
Vývojové tímy
Praktické návyky bezpečného vývoja a vedenie pri kontrole kódu na vašom stacku. Dodám bezpečné predvolené nastavenia, kontrolné zoznamy a jednoduché pravidlá, ktoré sa dajú zaviesť do každodennej práce bez zbytočnej teórie.
Enterprise tímy
Menej trenia medzi bezpečnosťou, architektúrou a vývojom, viac predvídateľnosti. Nastavíme rozumné kontrolné body, jasnú cestu schvaľovania a spôsob spolupráce so zainteresovanými stranami tak, aby nasadenia neboli zakaždým stresový projekt.
Startupy
Bezpečné základy rýchlo a pragmaticky. Pomôžem vám nastaviť jednoduché pravidlá a pár kľúčových kontrolných bodov tak, aby sa riziká riešili priebežne a vývoj zostal rýchly.
Základné služby
Zameriavam sa na praktický SSDLC a AppSec – bezpečnosť priamo vo vývoji a nasadzovaní. Od rýchleho zhodnotenia vyspelosti vývojového procesu cez OWASP SAMM až po zavedenie kontrolných bodov v CI/CD a podporu pri architektonických rozhodnutiach – vždy s jasnými prioritami a konkrétnymi výstupmi pre tím.
- Prioritizovaný zoznam podľa rizika + zodpovedné osoby
- Minimálny bezpečnostný štandard (SSDLC) pre tím
- Bezpečnostné kontrolné body v CI/CD
- Stručné postupy (Top 10, auth, secrets)
OWASP SAMM Maturity Assessment
Získate jasný obraz vyspelosti vývoja a roadmapu, čo má najväčší dopad riešiť ako prvé.
Keď sa bezpečnosť rieši skôr intuitívne než systematicky, priority sú nejasné, alebo potrebujete spoločný jazyk medzi CTO a bezpečnostným tímom.
- praktický pohľad na vyspelosť podľa SAMM, zameraný na reálne slabé miesta namiesto formálneho odškrtávania kontrolných zoznamov
- prioritizovanú roadmapu (rýchle zlepšenia vs. systémové zmeny)
- plán podľa rizika so zodpovednosťami (kto čo rieši a prečo)
1–2 krátke workshopy + zhrnutie s akčnými krokmi
CI/CD Pipeline Hardening
Nasadenia budú predvídateľnejšie. Menej neskorých prekvapení a menej hasenia problémov na poslednú chvíľu.
Keď je CI/CD nejednotné alebo neprehľadné, bezpečnosť sa rieši až tesne pred nasadením, alebo sa opakovane objavujú problémy so secrets a prístupmi.
- návrh a zavedenie bezpečnostných kontrolných bodov v pipeline
- pravidlá pre blokujúce nálezy a postup ich vyhodnocovania
- hardening okolo secrets, prístupov a build/release toku
audit pipeline + implementačné zmeny priamo do praxe
SSDLC Baseline
Tím bude vedieť robiť bezpečné rozhodnutia bez toho, aby sa musel pýtať na všetko.
Keď sa opakujú rovnaké nálezy, bezpečnostná kontrola kódu je improvizácia a chýba jasný základný štandard.
- minimálny SSDLC štandard (čo je povinné a čo odporúčané)
- kontrolné zoznamy a secure-by-default pravidlá pre váš stack
- stručné postupy pre kritické témy (auth, secrets, Top 10)
workshop + zavedenie šablón/pravidiel do repa
Secure Architecture Review
Rýchle a rozumné rozhodnutia pri auth, toku dát a integráciách. Bez nekonečných debát.
Keď riešite refaktor, nový systém, veľa integrácií alebo náročné architektonické rozhodnutia.
- stručný threat model kľúčových tokov (použiteľný, nie byrokratický)
- odporúčané bezpečné predvolené nastavenia pre auth/session/secrets
- úlohy pripravené do backlogu s prioritami (čo spraviť hneď a čo neskôr)
architektonická revízia + konkrétne odporúčania pre implementáciu
Doplnková podpora podľa potreby
Popri základných službách viem podľa konkrétnej potreby pomôcť aj s týmito aktivitami. Ide o doplnkovú podporu tam, kde to dáva zmysel pre váš tím.
AI v bezpečnosti a bezpečné zavádzanie AI
AI už mení spôsob, akým tímy vyvíjajú softvér aj ako pracujú útočníci. Pomáham organizáciám používať AI prakticky v bezpečnostných workflowoch a zároveň bezpečne navrhovať AI funkcionalitu, ktorú doručujú používateľom.
Pre security tímy: AI, ktorá zrýchľuje AppSec a SOC
AI-assisted vyhodnotenie a prioritizácia nálezov, ktoré znižujú šum a posúvajú tím k tomu, čo má reálny dopad. Od predtriedenia cez fuzzy matching až po dávkové LLM hodnotenie s kontextom.
Automatizované spracovanie a korelácia feedov, enrichment IOC a podpora profilovania protivníka pomocou LLM analýzy.
Inteligentná triáž alertov, automatizované playbooky a AI-assisted vyšetrovanie incidentov, ktoré zrýchľujú analytikov bez toho, aby nahrádzali ich úsudok.
AI-assisted workflowy pri kontrole kódu, ktoré pomáhajú zachytiť bežné slabiny ešte pred tým, než sa pull request dostane k človeku.
Pre engineering tímy: doručujte AI funkcie bez novej attack surface
Prompt injection, data leakage cez context window, validácia výstupov, riadenie prístupu k modelu a správa API kľúčov.
Access control pre retrieval, prevencia cross-tenant kontaminácie dát, segmentácia dokumentov a hardening embedding pipeline.
Praktické používanie Copilot, Cursor a AI coding nástrojov: kontrola AI-generated code, supply chain riziká a únik secrets v promptoch.
Praktický workshop k najčastejším slabinám v LLM-powered aplikáciách, mapovaný na vašu architektúru a rozhodnutia tímu.
Prečo ja
Nie je to teória. AI-powered security automatizáciu používam v praxi: od pipeline na vyhodnocovanie zraniteľností cez LLM-based threat analysis až po workflowy napojené na SOAR a SIEM.
Zároveň AI nástroje používam denne pri vývoji softvéru a mám hands-on skúsenosti s lokálnymi modelmi, prompt engineeringom, RAG architektúrami aj agentic frameworkmi. Pomáham tímom zavádzať AI prakticky, s jasnými bezpečnostnými hranicami a bez zbytočného hype.
Ako prebieha spolupráca
Spoločne si nastavíme jasné očakávania a kroky tak, aby zlepšenia nezostali na papieri, ale reálne sa zaviedli do praxe.
Na úvod si zosúladíme rozsah, ciele a dohodneme ďalší postup.
Výstup: Krátke zhrnutie a návrh ďalších krokov.
Spoločne si určíme priority podľa dopadu a pravdepodobnosti, aby bolo jasné, čo riešiť hneď a čo neskôr.
Výstup: Jasné priority a odporúčaný plán implementácie.
Navrhneme a zavedieme konkrétne zmeny do procesu vývoja tak, aby sa problémy nevracali.
Výstup: Konkrétne úlohy, ktoré sa dajú rovno zaradiť do backlogu.
Zhodnotíme výsledok a nastavíme ďalší krok tak, aby sa zlepšenie dalo udržať dlhodobo.
Výstup: Čo sa zlepšilo a čo je ďalší krok.
Školenia a workshopy
Praktické školenia pre vývojárov, architektov a ľudí z bezpečnosti. Cieľ je jednoduchý: aby tím vedel nové poznatky použiť hneď v kóde, pri kontrole kódu a v procese vývoja.
Preferujem na mieste (EU, CET/CEST), viem aj online.
Formáty
Školenie (prednáškové)
- Ideálne pre väčšie skupiny
- Dôraz na pochopenie, typické chyby, rozhodovanie v praxi
- Príklady z reálneho vývoja a bezpečnostných nálezov
Workshop (praktický)
- Menšie skupiny, viac interakcie a cvičení
- Praktické úlohy (analýza, návrh mitigácií, kontrola kódu)
- Priestor na pomoc a diskusiu k vašim príkladom
O mne
Som konzultant bezpečného vývoja s viac ako 10 rokmi v kyberbezpečnosti a 15 rokmi vo vývoji softvéru. Primárne sa zameriavam na SSDLC/AppSec — znižovanie zraniteľností, nastavovanie guardrails a pomoc tímom robiť rozumné bezpečnostné rozhodnutia počas vývoja, nie až po ňom.
Moje zázemie nie je len poradenské. Viedol som SOC/SIEM tím zodpovedný za security operations v bankovom prostredí a vo veľkých európskych energetických organizáciách. Popri tom som bol hands-on v offensive security: penetračné testovanie, red teaming, OSINT, threat intelligence a účasť na TLPT/TIBER-EU engagementoch pre regulované finančné inštitúcie.
Práve kombinácia stavania softvéru, jeho lámania, obrany a následnej prevádzky formuje môj konzultačný prístup. Neostávam pri skenoch alebo generických odporúčaniach. Rozumiem celému lifecycle od architektúry cez delivery pipeline až po produkčný monitoring a viem, čo je naozaj dôležité, keď sa slabina objaví v nesprávnom čase.
Pracoval som s webovým vývojom, infraštruktúrou, cloud-native a Kubernetes prostrediami aj hybridnými architektúrami. Pomáham startupom nastaviť prvý bezpečnostný baseline aj enterprise tímom znižovať trenie medzi security, developmentom a architektúrou. Aktívne zapájam AI do security workflowov — od triáže zraniteľností cez threat intelligence enrichment až po AI-assisted code review. Som držiteľ OSCP a OSWE, zúčastnil som sa programu IVLP za Slovensko a fungujem štandardne pod NDA. Pôsobím z Bratislavy a spolupracujem remote aj on-site v rámci EÚ.
Technológie, s ktorými pracujem
Security tooling
Wazuh, TheHive, Shuffle SOAR, Tenable IO, Burp Suite, SonarQube, Snyk, Trivy
CI/CD & DevOps
GitHub Actions, GitLab CI, ArgoCD, Docker, Kubernetes, Terraform
Cloud & infra
AWS, Azure, hybrid / on-prem, Kubernetes-native architektúry
AI & automatizácia
OpenAI, Anthropic, lokálne modely, n8n, RAG pipeline, prompt engineering, Cursor, Claude Code
Vývoj
JavaScript / TypeScript, Python, Node.js, Java, PHP, REST / GraphQL API
Rezervácia
Ceny sú uvedené bez DPH.
Nie ste si istí výberom? Začnite úvodnou konzultáciou (zdarma), kde si ujasníme kontext a ďalšie možnosti. Ak však potrebujete prejsť konkrétny problém do hĺbky a odísť s jasným plánom, najlepšou voľbou je Hĺbková konzultácia a stratégia. Pred hovorom stačí stručný kontext (architektúra, aktuálne obavy). Výstupom je zhrnutie, jasné ďalšie kroky a odporúčané priority.
☕️ Úvodná konzultácia
15 – 20 minút
- Zoznámenie sa a pochopenie vášho projektu.
- Identifikácia kľúčových bezpečnostných výziev.
- Odporúčanie ďalšieho postupu a vhodného typu spolupráce.
⚡️ Expresná konzultácia
30 minút
- Okamžitá pomoc s konkrétnym problémom.
- Rýchle nasmerovanie alebo "druhý pár očí".
- Bez potreby prípravy vopred.
🛡️ Štandardná analýza
60 minút
- Konzultácia bežných bezpečnostných otázok.
- Revízia zaslaných podkladov pred hovorom.
- Priestor na otázky a odpovede.
Hĺbková konzultácia a stratégia
90 minút
- Hĺbková diskusia o architektúre a zložitejších problémoch.
- Detailná príprava a analýza kódu vopred.
- Písomné zhrnutie a akčný plán po hovore.
- Prioritizácia úloh pre váš tím.
💡 Férový upgrade: Ak si do 7 dní po 30 min. konzultácii objednáte väčší balík (60 alebo 90 min), cenu tej prvej vám plne odpočítam z finálnej sumy.
Hľadáte väčšiu spoluprácu? Pre security programy, školenia tímov, architektonické revízie alebo priebežné advisory si pozrite projektové a partnerské možnosti nižšie.
Enterprise a projektová spolupráca
Pre tímy a organizácie, ktoré potrebujú viac než jednorazovú konzultáciu: štruktúrované projekty, priebežné advisory alebo školenia prispôsobené vášmu prostrediu a procurement procesu.
Cena sa stanovuje podľa konkrétneho projektu alebo spolupráce, podľa komplexity, časového rámca a výstupov. Pred začiatkom vždy dostanete jasný návrh spolupráce, aby nevznikli žiadne prekvapenia.
Projektová spolupráca
Spolupráca s jasným rozsahom, definovaným harmonogramom a konkrétnymi výstupmi.
- implementácia SSDLC alebo maturity assessment (OWASP SAMM)
- hardening CI/CD pipeline a návrh security gates
- secure architecture review pre nové systémy, refaktory alebo integrácie
- bezpečnostná revízia AI/LLM integrácií
- penetračné testovanie (web/API) s prioritizovaným plánom remediácie
Priebežné security advisory
Dlhodobejšie partnerstvo pre tímy, ktoré potrebujú pravidelný prístup k security expertíze bez otvárania novej spolupráce pri každej téme.
- trusted advisor pre architektonické a dizajnové rozhodnutia
- priebežné security review, ako sa produkt vyvíja
- podpora pri code review, incident response a release approvals
- security pohľad pri plánovaní bez potreby full-time security hire
Školenia a workshopy (on-site alebo remote)
Praktické hands-on sessions prispôsobené vášmu stacku, architektúre a posledným zisteniam. Nie generická security prednáška: obsah sa pred session nastavuje podľa vášho kontextu.
- OWASP Top 10 v praxi (web/API)
- OWASP WSTG: metodika bezpečnostného testovania
- bezpečný vývoj v praxi (SSDLC pre tímy)
- AI Security v praxi (LLM/AI integrácie + AI v AppSec/SOC)
- školenie na mieru podľa vašich konkrétnych potrieb
Procurement a compliance
- NDA: viem podpísať vaše ešte pred scopingom
- proposals a SOW: dodám vo formáte, ktorý preferujete
- fakturácia: flexibilne (po míľnikoch, mesačne alebo po dokončení)
- compliance: skúsenosť s regulovaným prostredím (banking, energy, TIBER-EU, DORA, NIS2 kontext)
- EU-based: Bratislava, Slovensko (CET/CEST), platiteľ DPH
Ak máte špecifické procurement požiadavky, povedzte mi o nich počas intro callu a návrh spolupráce tomu prispôsobím.
Poďme spolupracovať
Pôsobím v Bratislave (CET/CEST). Zvyčajne odpoviem do 24 hodín.