DevSecOps Podcast

Discussões sobre casos reais de comprometimento em bibliotecas e ferramentas como Axios, Trivy e KICS. Riscos ocultos dentro do pipeline e vazamento de credenciais em CI/CD. Controles práticos como rotação de secrets, least privilege, uso de vaults e auditoria de esteiras. Debate sobre limites de ferramentas de análise e novos vetores trazidos por IA e prompt injection.

Neste episódio do DevSecOps Podcast, mergulhamos em um tema frequentemente subestimado, mas absolutamente crítico para a segurança moderna: Log Modeling.Enquanto muita gente trata logs apenas como registros para troubleshooting, a realidade é outra. Logs bem pensados são sensores de segurança dentro da aplicação.Eles contam a história do que aconteceu, quem fez o quê e quando algo saiu do normal. Durante a conversa exploramos como o Log Modeling pode ser tratado como uma prática de Application Security, não apenas de observabilidade.Falamos sobre como modelar eventos relevantes de segurança desde o design da aplicação, quais tipos de ações precisam obrigatoriamente ser registradas, e como evitar logs inúteis que só geram ruído enquanto deixam passar atividades críticas sem rastreabilidade.Neste episódio você vai entender:• O que é Log Modeling e por que ele deveria fazer parte do seu AppSec Program• A diferença entre logs operacionais e logs de segurança• Quais eventos realmente precisam ser registrados em uma aplicação• Como logs ajudam em investigação de incidentes e detecção de ataques• Erros comuns que tornam logs inúteis quando mais precisamos delesSe segurança é sobre visibilidade, então logs bem projetados são uma das ferramentas mais poderosas para entender o comportamento real das suas aplicações em produção.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio do DevSecOps Podcast, o papo gira em torno de um tema que muita gente na área de tecnologia sente na pele: a falta de formação realmente sólida em Application Security. Em vez de cursos superficiais ou conteúdos soltos pela internet, discutimos a ideia de uma Pós-graduação focada em AppSec e DevSecOps, pensada para quem quer sair da teoria genérica e mergulhar no que realmente acontece dentro das empresas. Ao longo do episódio, exploramos por que segurança de aplicações exige uma visão ampla que vai além de ferramentas. Falamos sobre arquitetura segura, modelagem de ameaças, revisão de código, segurança em pipelines de CI/CD, cloud, gestão de vulnerabilidades e cultura de segurança no desenvolvimento. A proposta da pós é justamente conectar esses pontos e formar profissionais capazes de pensar segurança dentro do ciclo completo de desenvolvimento. Se você é desenvolvedor, engenheiro de segurança, arquiteto ou líder técnico e quer entender como estruturar um aprendizado sério em AppSec, este episódio traz uma visão clara do que esperar de uma formação avançada na área. Neste episódio você vai encontrar: • Por que o mercado precisa de especialistas em Application Security• A diferença entre aprender ferramentas e aprender segurança de verdade• Os pilares de uma formação sólida em AppSec e DevSecOps• Como conectar desenvolvimento, cloud e segurança no mesmo modelo mental• O tipo de profissional que o mercado realmente está procurando hojeBecome a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio do DevSecOps Podcast, fomos direto no ponto: SCA não é sinônimo de caçar CVE em biblioteca open source. Durante anos, muita empresa reduziu Software Composition Analysis a “rodar ferramenta e ver se tem vulnerabilidade no npm ou no Maven”. Só que o jogo ficou mais complexo. Hoje falamos de dependências transitivas invisíveis, pacotes abandonados, licenças incompatíveis, ataques à cadeia de suprimentos e componentes proprietários que ninguém inventaria no SBOM porque “não é open source”. Spoiler: risco não pergunta licença. Discutimos:Por que SCA precisa olhar além do GitHub e entender o ecossistema inteiro da aplicaçãoO papel real do SBOM e onde ele falha na práticaSupply chain attacks e o que mudou depois de casos como Log4ShellDependências internas, pacotes privados e artefatos binários esquecidosLicenciamento como risco jurídico, não só técnicoComo integrar SCA de forma estratégica no pipeline e não virar mais um relatório ignoradoSe AppSec é armadura, SCA é o exame de sangue do software. E não adianta medir só colesterol quando o problema pode estar no fígado. Esse episódio é para quem já rodou ferramenta, já viu dashboard bonito e percebeu que ainda assim algo está faltando. Porque está mesmo.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Debatem os perigos práticos da IA além do hype. Falam sobre copilots gerando código vulnerável e desenvolvedores que confiam sem validar. Discutem agentes autônomos, prompt injection e riscos de supply chain via skills/Markdown. Abordam exposição de dados em chats públicos, governança, e a necessidade de inventariar e isolar agentes. Enfatizam que a responsabilidade humana não pode ser delegada.

Nesse episódio a conversa foi direta e sem anestesia. Falamos sobre como empresas e profissionais de AppSec realmente evoluíram nos últimos anos, o que mudou de verdade e o que é só discurso bonito em slide corporativo. Spoiler: muita coisa avançou, mas muita gente ainda está brigando com problemas que já deveriam estar resolvidos há uma década. Também discutimos o descompasso clássico do mercado. Enquanto algumas organizações já deveriam estar olhando para o próximo nível de maturidade, automação real, decisões baseadas em risco e integração profunda com engenharia, outras ainda estão “começando AppSec” do zero. E aí vem a pergunta incômoda: isso é falta de tempo, de prioridade, de competência ou de coragem? Um episódio para quem quer entender onde estamos, onde deveríamos estar e por que maturidade em AppSec não é checklist, não é ferramenta e definitivamente não é cargo no LinkedIn.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio do DevSecOps Podcast, usamos a armadura do Homem de Ferro como desculpa elegante para falar de coisa séria: como montar um programa de AppSec que funciona no mundo real. Aqui não tem magia, tem engenharia. Assim como Tony Stark não começa salvando o mundo no Mark L, um programa de AppSec não nasce maduro. Falamos de fundamentos, evolução incremental, decisões técnicas difíceis e da diferença brutal entre ter ferramentas… e ter capacidade real. Jarvis vira métrica, sensores viram telemetria, armaduras viram processos. Tudo com pé no chão e código na mesa. Você vai ouvir sobre:por onde começar sem travar o timecomo alinhar AppSec com negócio, produto e Devmaturidade progressiva, não big bang corporativoporque cultura pesa mais que ferramentae o erro clássico de tentar “comprar” segurançaSe o seu AppSec hoje parece mais cosplay do que armadura funcional, esse episódio é pra você. Menos marketing, mais engenharia. Segurança que voa porque foi bem montada, não porque alguém prometeu.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Cássio Batista Pereira explora o monitoramento de aplicações com a analogia do Homem de Ferro. Ele discute a importância de ter um monitoramento ativo para detectar ameaças rapidamente. A comparação entre Jarvis e sistemas de alerta revela como a visibilidade permite decisões ágeis. O host detalha como mapear comportamentos normais para identificar anomalias e enfatiza a centralização de logs. Exemplos práticos em e-commerce mostram a necessidade de respostas em tempo real para problemas operacionais.

Neste episódio do DevSecOps Podcast, Cássio Batista Pereira explora a gestão de vulnerabilidades através da analogia com o Homem de Ferro. Ele discute a importância de identificar e resolver vulnerabilidades de forma proativa, apresentando um processo estruturado que inclui preparação, priorização e resolução. O episódio enfatiza a simplicidade do processo e a necessidade de centralizar informações sobre vulnerabilidades em um único lugar.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio, vestimos a armadura do Homem de Ferro para falar de DevSecOps do jeito certo: sem buzzword, sem romantização e sem ferramenta milagrosa. DevSecOps aqui é engenharia, estratégia e responsabilidade compartilhada não um badge bonito no pipeline. Exploramos como AppSec se conecta ao DevSecOps quando o time para de “jogar segurança no final” e começa a projetar sistemas pensando em falha, ataque e resiliência desde o início. É o Jarvis rodando no CI/CD: dando contexto, alertando riscos e ajudando a tomar decisões melhores, não só gritando erro. Se você acha que DevSecOps é só SAST, DAST e um monte de check verde, esse episódio é um choque de realidade. Se você quer construir software como o Tony Stark constrói armaduras evoluindo a cada versão você está no lugar certo.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.