shouldBe
中文 / EN / RU
01 自动化 · 安全审计 · 性能测试 · 大数据 · AI

您的产品理应按预期运行

软件以可预见的方式出问题:安全漏洞、业务流程中断、高峰期服务崩溃。我帮您在用户发现之前找出问题。18年以上实战经验,承接中俄跨境与国际项目。

讨论您的项目 LinkedIn
18年+ 测试从业经验
5 银行客户
6年+ 全自动化测试
小时级交付,非周级
02

服务

测试自动化

从零构建框架,Kotlin/Kotest,CI/CD集成

渗透测试

OWASP Top 10,API安全,Web应用安全审计

性能测试

k6,性能分析,瓶颈定位

大数据测试

Kafka,Parquet,Avro,Schema Registry,ETL

AI + 自动化

AI代码审查,测试用例生成,ML流水线测试

03

行业经验

银行与金融科技

5家银行(俄罗斯前20强)。大数据测试、ETL框架、Kafka、高并发数据流水线。

跨境电商

中俄跨境平台。渗透测试+功能测试,发现84个缺陷(含12个严重漏洞),上线前完成修复。

B2B SaaS(美国)

风投支持的初创企业(波士顿,融资4600万美元+)。集成测试,框架迁移至Kotlin,CI/CD。

医疗科技

云端医疗信息系统。测试团队管理,实验室系统集成测试。

电信 / 企业软件

SAP、CRM、计费系统。功能测试与集成测试。

安全测试

Web应用与API渗透测试。SQL注入、IDOR、影子API。完整闭环:审计 → 报告 → 复测。

在 LinkedIn 查看完整经历
04

案例

安全 + 测试 跨境电商平台 · 中→俄 · 网站 + 移动端

进入俄罗斯市场前的安全审计与功能测试

🎯 目标

在面向俄罗斯市场发布前,对Web平台和移动应用(iOS、Android)进行全面审计。

⚙️ 我们做了什么

网站与移动端功能测试,设计稿核查,两轮渗透测试,正式复测周期的回归审计,iOS与Android手动测试。

🔍 发现

共发现84个缺陷,其中12个严重:SQL注入、IDOR漏洞、影子API端点、硬编码密钥、不安全文件上传。

✅ 结果

输出修复路线图,复测确认全部修复。平台上线时已清楚哪些风险已闭合。

84 缺陷
12 严重漏洞
Web+移动 测试范围
2 轮渗透测试
B2B SaaS Alyce · 波士顿,美国 · 融资4600万美元+(General Catalyst)

为AI礼品平台从零构建测试自动化

🎯 目标

自动化集成测试,并将遗留UI测试框架从Groovy迁移至Kotlin。

⚙️ 我们做了什么

用Kotlin从零构建集成测试项目,集成至Docker和CI/CD并发布至生产环境。将UI测试框架从Groovy+Selenide迁移至Kotlin,并完成代码审查。

🔍 发现

Groovy框架速度慢、维护成本高。迁移后两个问题均得到解决。

✅ 结果

全量自动化,CI/CD集成,发布至生产环境。回归测试完全告别人工。

100% 自动化覆盖
CI/CD 集成
Groovy→Kotlin 框架迁移
生产 已发布
性能 + 安全 NDA · 电商 · 高峰季备战

新年高峰前的性能测试与安全审计

🎯 目标

客户需要确认:平台能否承受新年高峰流量,是否存在可被利用的安全漏洞。

⚙️ 我们做了什么

模拟高峰流量的性能测试,Web应用渗透测试,设计稿功能核查,iOS与Android手动测试。

🔍 发现

高峰负载下会导致崩溃的性能瓶颈,以及Web应用安全漏洞。

✅ 结果

节前完成瓶颈修复。高峰季零故障,营收完整保留。

0 高峰期停机
100% 营收保障
Next.js 技术栈
NDA 客户
测试 + 安全 NDA · SaaS · 照片内容生成服务

内容生成平台的安全审计与功能测试

🎯 目标

该服务涉及用户上传、自定义编辑器、激活码系统及平台集成,每个环节都是潜在攻击面。

⚙️ 我们做了什么

Web应用与API渗透测试,设计稿功能核查,激活码系统与用户编辑器测试,iOS与Android手动测试。

🔍 发现

用户内容处理及激活流程中存在安全漏洞。

✅ 结果

上线前完成全部修复,服务以安全状态发布。

渗透测试 安全审计
iOS+Android 移动端测试
Next.js 技术栈
NDA 客户
全周期 金融科技 · 俄罗斯 · 5个平台 · 网页+移动端

五个金融科技平台。其中一个的完整源代码暴露在公网。

🎯 目标

一组金融科技公司在合规审计前需要对其产品进行独立审查。五个平台均处理敏感的个人和金融数据,且从未经过外部人员测试。

⚙️ 我们做了什么

对全部五个平台进行全周期测试:网页和移动应用(iOS与Android)功能测试,随后对每个平台进行安全审计——认证流程、API、服务器配置和数据处理。

🔍 发现

功能测试发现内部团队遗漏的数十个问题。安全审计发现严重问题:一个平台的Git仓库完全公开——数据库密码、API密钥、内部凭据、完整源代码均可访问。另一个平台对访问码暴力破解毫无防护,简单脚本可在三小时内遍历全部10,000种组合。

✅ 结果

所有严重漏洞在一周内修复。仓库已保护,所有凭据已轮换,全平台实施限速。功能问题在合规截止日期前解决。五个平台全部通过审计。

5 平台已测试
Web+App iOS和Android
1 源代码公开暴露
合规审计通过
性能 电商 · 俄罗斯 · API成本优化

一家公司本要为每个API调用付费。其实不必。

🎯 目标

一个电商平台依赖付费第三方服务,免费额度为300次请求,从第301次起开始计费。团队认为阈值处理正确,但从未在真实流量下测试过。

⚙️ 我们做了什么

搭建沙箱环境,将第三方服务流量重定向其中,运行模拟真实生产模式的负载测试——包括免费额度耗尽的精确时刻。

🔍 发现

第301次请求处理不当。在负载下,系统越过免费额度而未触发控制逻辑,每个请求都悄悄计费。在生产环境中,这只会在下次账单时被发现。

✅ 结果

在上线前修复了阈值逻辑。修复后分析显示,公司每月会多付30万卢布(约3,600美元)——用于本应免费的API调用。

300K₽ 每月节省
301 触发问题的请求
0 修复后超额支付
上线前发现
AI安全 AI产品 · 提示注入审计

我让AI助手介绍自己。它把一切都说了。

🎯 目标

一家产品公司将AI助手集成到平台中,面向客户运行并可访问内部工具。团队想知道AI是否可被操纵泄露敏感信息。

⚙️ 我们做了什么

执行了一系列提示注入测试——从基本指令覆盖到多步社会工程学、角色操纵和间接注入技术。

🔍 发现

AI泄露了完整的生产架构:三层系统设计、确切技术栈、容器编排细节、防火墙规则、内部API端点和云存储配置,并确认了哪些漏洞未修补。随后AI更进一步,主动建议测试人员未曾询问过的新攻击向量。

✅ 结果

公司在数小时内禁用了机器人并从头重写系统提示。每个泄露的组件均经过审计,凭据已轮换,确认的漏洞已修补。AI在一周后以适当的防护措施重新上线。

100% 架构已泄露
9.0 CVSS严重性
0 防护措施有效
已修复并重新上线
05

关于我

SR

Stanislav Romanov

软件测试工程师 · 安全 · 大数据 · AI

Kotlin/Kotest k6 Kafka DuckDB Go Python AI/ML OWASP Parquet gRPC Docker

18年以上IT从业经验,最近6年全面转向自动化测试。从零构建测试框架,识别安全漏洞,在高负载下验证系统稳定性。服务过银行机构、美国初创公司、医疗科技企业及中俄跨境电商项目。

06

告诉我您的项目

2分钟填写,24小时内回复。

1 / 4