DevSecOps Podcast

A IA não vai “impactar” AppSec. Vai engolir quem estiver parado. Neste episódio, a conversa é direta: o que sobra para quem trabalha com Segurança de Aplicações quando a IA começa a escrever código, revisar pull request, gerar arquitetura e até corrigir vulnerabilidade sozinha? Spoiler: o jogo muda completamente. Falamos sobre o fim do AppSec operacional baseado em checklist e o nascimento de um novo perfil. Menos executor, mais estrategista. Menos ferramenta, mais contexto. Você vai entender como SAST, DAST e SCA perdem protagonismo isolados e passam a ser só sinais dentro de um sistema maior, orientado por risco real e decisão automatizada. Também exploramos o lado desconfortável: IA gerando vulnerabilidades em escala, pipelines cada vez mais opacos e o risco de confiar cegamente em “correções inteligentes” que ninguém revisou de verdade. Se você ainda está focado em rodar ferramenta e abrir ticket, esse episódio vai doer. E é exatamente por isso que você precisa ouvir. Você vai sair com uma visão clara de para onde a profissão está indo:
O AppSec Engineer vira um “Risk Engineer”
Modelagem de ameaças deixa de ser evento e vira fluxo contínuo
Segurança passa a ser código, contexto e decisão em tempo real
IA deixa de ser ferramenta e vira parte do problema e da solução
O futuro não precisa de mais gente rodando scan. Precisa de gente que entende o que realmente importa quando tudo começa a rodar sozinho.

Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.

Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Supply Chain Security deixou de ser teoria e virou problema real. Neste episódio, destrinchamos os casos recentes envolvendo ferramentas amplamente utilizadas como Trivy, KICS e a biblioteca Axios e o que eles expõem sobre a fragilidade da cadeia de dependências.

Falamos sobre o risco invisível que roda dentro do seu pipeline, como ataques em ferramentas “confiáveis” mudam completamente o jogo e por que confiar cegamente em scanners e bibliotecas populares pode ser um erro caro. Não é só sobre vulnerabilidades conhecidas, é sobre confiança quebrada. 

Você vai sair com uma visão prática de como esses incidentes acontecem, onde estão os pontos cegos no seu processo e o que precisa mudar agora para não virar o próximo case.

Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.

Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio do DevSecOps Podcast, mergulhamos em um tema frequentemente subestimado, mas absolutamente crítico para a segurança moderna: Log Modeling.

Enquanto muita gente trata logs apenas como registros para troubleshooting, a realidade é outra. Logs bem pensados são sensores de segurança dentro da aplicação.

Eles contam a história do que aconteceu, quem fez o quê e quando algo saiu do normal. Durante a conversa exploramos como o Log Modeling pode ser tratado como uma prática de Application Security, não apenas de observabilidade.

Falamos sobre como modelar eventos relevantes de segurança desde o design da aplicação, quais tipos de ações precisam obrigatoriamente ser registradas, e como evitar logs inúteis que só geram ruído enquanto deixam passar atividades críticas sem rastreabilidade.

Neste episódio você vai entender:

• O que é Log Modeling e por que ele deveria fazer parte do seu AppSec Program
• A diferença entre logs operacionais e logs de segurança
• Quais eventos realmente precisam ser registrados em uma aplicação
• Como logs ajudam em investigação de incidentes e detecção de ataques
• Erros comuns que tornam logs inúteis quando mais precisamos deles

Se segurança é sobre visibilidade, então logs bem projetados são uma das ferramentas mais poderosas para entender o comportamento real das suas aplicações em produção.

Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.

Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio do DevSecOps Podcast, o papo gira em torno de um tema que muita gente na área de tecnologia sente na pele: a falta de formação realmente sólida em Application Security. Em vez de cursos superficiais ou conteúdos soltos pela internet, discutimos a ideia de uma Pós-graduação focada em AppSec e DevSecOps, pensada para quem quer sair da teoria genérica e mergulhar no que realmente acontece dentro das empresas. Ao longo do episódio, exploramos por que segurança de aplicações exige uma visão ampla que vai além de ferramentas. Falamos sobre arquitetura segura, modelagem de ameaças, revisão de código, segurança em pipelines de CI/CD, cloud, gestão de vulnerabilidades e cultura de segurança no desenvolvimento. A proposta da pós é justamente conectar esses pontos e formar profissionais capazes de pensar segurança dentro do ciclo completo de desenvolvimento. Se você é desenvolvedor, engenheiro de segurança, arquiteto ou líder técnico e quer entender como estruturar um aprendizado sério em AppSec, este episódio traz uma visão clara do que esperar de uma formação avançada na área. Neste episódio você vai encontrar: • Por que o mercado precisa de especialistas em Application Security
• A diferença entre aprender ferramentas e aprender segurança de verdade
• Os pilares de uma formação sólida em AppSec e DevSecOps
• Como conectar desenvolvimento, cloud e segurança no mesmo modelo mental
• O tipo de profissional que o mercado realmente está procurando hoje

Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.

Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio do DevSecOps Podcast, fomos direto no ponto: SCA não é sinônimo de caçar CVE em biblioteca open source. Durante anos, muita empresa reduziu Software Composition Analysis a “rodar ferramenta e ver se tem vulnerabilidade no npm ou no Maven”. Só que o jogo ficou mais complexo. Hoje falamos de dependências transitivas invisíveis, pacotes abandonados, licenças incompatíveis, ataques à cadeia de suprimentos e componentes proprietários que ninguém inventaria no SBOM porque “não é open source”. Spoiler: risco não pergunta licença. Discutimos:
Por que SCA precisa olhar além do GitHub e entender o ecossistema inteiro da aplicação
O papel real do SBOM e onde ele falha na prática
Supply chain attacks e o que mudou depois de casos como Log4Shell
Dependências internas, pacotes privados e artefatos binários esquecidos
Licenciamento como risco jurídico, não só técnico
Como integrar SCA de forma estratégica no pipeline e não virar mais um relatório ignorado
Se AppSec é armadura, SCA é o exame de sangue do software. E não adianta medir só colesterol quando o problema pode estar no fígado. Esse episódio é para quem já rodou ferramenta, já viu dashboard bonito e percebeu que ainda assim algo está faltando. Porque está mesmo.

Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.

Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.