DevSecOps Podcast #07 - 15 - Supply Chain fresco
Mar 31, 2026
Discussões sobre casos reais de comprometimento em bibliotecas e ferramentas como Axios, Trivy e KICS. Riscos ocultos dentro do pipeline e vazamento de credenciais em CI/CD. Controles práticos como rotação de secrets, least privilege, uso de vaults e auditoria de esteiras. Debate sobre limites de ferramentas de análise e novos vetores trazidos por IA e prompt injection.
AI Snips
Chapters
Transcript
Episode notes
Buscar E Bloquear Versões Comprometidas
- Procure ativamente por versões inseguras e pela dependência PlainCryptoJS 4.2 no seu ecossistema.
- Remova ou bloqueie as versões 1.14 e 0.30 do Axios até haver patch confirmado.
Ferramentas De Segurança Amplificam O Risco
- Ferramentas de segurança como Trivy e KICS tornam o impacto maior quando comprometidas porque muitos confiam nelas nos pipelines.
- Marcos e Cássio destacam que isso danifica reputação e vira um 'policial' que ataca em vez de proteger.
Rotacionar Segredos Nas Pipelines
- Rotacione segredos e tokens regularmente e evite armazená‑los em plaintext nas pipelines.
- Marcos recomenda controles de rotação e cofre de segredos porque exploração muitas vezes usa tokens antigos não rotacionados.