DevSecOps Podcast

A maioria dos programas de AppSec está afogada em findings, dashboards, scanners, CVEs, SLAs e relatórios que ninguém aguenta mais ler. O problema não é falta de ferramenta. O problema é falta de contexto, correlação e inteligência para entender o que realmente importa. Neste episódio, eu apresento o M.A.R.I.A., o Management Application Risk Integrated Analysis, uma plataforma criada para atuar como uma camada de inteligência de risco em Segurança de Aplicações. O M.A.R.I.A. não nasceu para ser mais um scanner. Ele nasceu para responder perguntas que ferramentas tradicionais normalmente ignoram: qual aplicação está realmente em risco? Qual vulnerabilidade merece atenção agora? Qual time precisa de ajuda? Qual mudança aumentou o risco do ambiente? A proposta é simples e ambiciosa: conectar dados de SAST, DAST, SCA, IaC, Secret Scan, pipelines, repositórios, contexto de negócio e exposição real para transformar ruído em decisão. Porque no fim do dia, AppSec não deveria ser uma fábrica de tickets. Deveria ser um sistema de priorização inteligente para proteger o que importa. Neste episódio, falo sobre:
Por que scanners sozinhos não resolvem AppSec
O problema real por trás do excesso de vulnerabilidades
A diferença entre dashboard, ASPM e inteligência de risco
Como o M.A.R.I.A. pretende correlacionar contexto técnico e contexto de negócio
Onde entram risco, exposição, criticidade, SLA, dívida de segurança e Security Champions
Por que AppSec precisa sair do modo “lista de problemas” e entrar no modo “tomada de decisão”
Um episódio para quem está cansado de medir segurança por quantidade de findings e quer começar a discutir risco de verdade.

Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.

Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Todo mundo fala de DevSecOps. Todo mundo fala de IA. Mas quase ninguém conectou os pontos do jeito certo ainda. Neste episódio, a gente entra em um território que está começando a separar quem só usa ferramenta de quem realmente entende o jogo: SpecOps com IA. E não, isso não é sobre mais um YAML bonito ou documentação que ninguém lê. É sobre transformar especificações em algo vivo. Algo que define o sistema antes do código existir… e impede que ele saia da linha depois. A conversa passa por:
por que “finding-based security” já não escala mais
como a IA pode validar intenção, não só código
o conflito direto entre vibe coding e governança real
como specs podem virar enforcement automático no pipeline
e o que muda quando segurança deixa de ser checklist e vira contrato
A gente também traz isso para o mundo real:
como integrar isso com pipelines atuais
onde ferramentas como SAST e SCA entram (e onde deixam de ser suficientes)
e como esse modelo pode evoluir para algo muito mais próximo de risk-driven security
Se você ainda está medindo segurança só por quantidade de vulnerabilidades, esse episódio vai te incomodar. Do jeito certo.

Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.

Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Episódio 200. Não é só número redondo, é checkpoint de uma jornada que saiu de conversa técnica entre amigos e virou referência em AppSec e DevSecOps. Nesse especial, a mesa está completa. Desde a formação raiz com Balbino e Vini, passando pela evolução com Marcos e Ben-Hur, até chegar no comando firme do host de sempre, Cássio Pereira. É história, bastidores, opiniões afiadas e, claro, muita discussão que mistura experiência real com aquelas verdades que nem sempre agradam, mas todo mundo precisa ouvir. Não espere retrospectiva bonitinha. Aqui tem:
o que deu certo e o que foi puro aprendizado na marra
como o AppSec mudou ao longo dos episódios
onde a galera errou feio e o que faria diferente hoje
o que ninguém está falando sobre o futuro de segurança
E sim, tem zoeira. Porque depois de 200 episódios, se não tiver isso, tem algo errado. Dá o play. Porque se você chegou até aqui com a gente, esse episódio também é seu.

Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.

Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

No episódio de hoje, recebemos o time da CarameloSec para uma conversa sem firula sobre segurança de aplicações na vida real. Nada de teoria bonita que não sobrevive ao deploy. Falamos de como segurança é construída no dia a dia, os desafios de levar AppSec para dentro dos times e onde muita gente ainda está se enganando feio. Entramos em temas como cultura de segurança, o abismo entre ferramenta e resultado, e como iniciativas independentes como a CarameloSec estão ajudando a elevar o nível da comunidade. Tem provocação, tem experiência prática e tem alguns tapas de realidade que você provavelmente precisa ouvir. Se você trabalha com desenvolvimento, segurança ou está tentando não virar estatística no próximo incidente, esse episódio é obrigatório.

Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.

Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

A IA não vai “impactar” AppSec. Vai engolir quem estiver parado. Neste episódio, a conversa é direta: o que sobra para quem trabalha com Segurança de Aplicações quando a IA começa a escrever código, revisar pull request, gerar arquitetura e até corrigir vulnerabilidade sozinha? Spoiler: o jogo muda completamente. Falamos sobre o fim do AppSec operacional baseado em checklist e o nascimento de um novo perfil. Menos executor, mais estrategista. Menos ferramenta, mais contexto. Você vai entender como SAST, DAST e SCA perdem protagonismo isolados e passam a ser só sinais dentro de um sistema maior, orientado por risco real e decisão automatizada. Também exploramos o lado desconfortável: IA gerando vulnerabilidades em escala, pipelines cada vez mais opacos e o risco de confiar cegamente em “correções inteligentes” que ninguém revisou de verdade. Se você ainda está focado em rodar ferramenta e abrir ticket, esse episódio vai doer. E é exatamente por isso que você precisa ouvir. Você vai sair com uma visão clara de para onde a profissão está indo:
O AppSec Engineer vira um “Risk Engineer”
Modelagem de ameaças deixa de ser evento e vira fluxo contínuo
Segurança passa a ser código, contexto e decisão em tempo real
IA deixa de ser ferramenta e vira parte do problema e da solução
O futuro não precisa de mais gente rodando scan. Precisa de gente que entende o que realmente importa quando tudo começa a rodar sozinho.

Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.

Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.