June 17, 2025 • 42 mins
Let’s be honest: most AppSec programs suck at scale. Endless false positives, broken dev pipelines, and security teams drowning in dashboards. In this episode, we call it out with the CEO of Smithy Security. We talk about why traditional approaches don’t work, how Smithy flips the script, and what it really means to build security that devs don’t hate. Buckle up – this one pulls no punches.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:21):
Olá, pessoal.
É muito bom estar de E, para ser honesto, ainda melhor, porque eu não sozinho hoje.
Eu bom que eu apresentar segundo.
Mas nosso castelão não aqui.
Então, o Marcos não aqui hoje, o Benur não aqui hoje, o que é perfeito.
Esses caras falam monte cacete, às vezes.
Então, muito bom estar às vezes.
Sabe, só eu, eu, meu podcast aqui, bom guest.
(00:45):
Será que eles não ouvirem isso, que...
que também protegei mesmo.
Gente, esse é episódio número 170, se não me engano, então mais de 100 horas de conteúdopara por free, no Wapsacast Podcast.
Então, favor, volte, ouça, um, dois, três, e todos eles, eu tenho certeza que vocês vãogostar, e esse conteúdo será valioso para vocês.
(01:09):
Antes de começarmos e irmos para o nosso...
e apresentação ao nosso vencedor e o tema de hoje.
É bom lembrar que o DevSecOps tem o apoio de Sneak e Nova8, que são especializadossegurança e código O link para Nova8 e o distribuidor na América também na Polônia, está
abaixo do episódio de no YouTube, também no da DevSecOps.com.br.
(01:31):
Se você procurando soluções DigitalWoke tem portfólio para você.
E você já se perguntou se você está atingido?
Qualquer data ou data foi roubada?
Ou qual é o meu risco?
A segurança tem todas as respostas para você.
Então, se você se enxergar com eles, eu tenho certeza que eles te Vamos começar o tema dehoje.
(01:54):
Hoje eu estou falando com o Spiros.
Desculpe se eu não pronunciar correto, mas eu acredito que eu fiz bem.
É primeiro grega que Tivemos pessoas de todo lugar.
Mas Israel, Brasil, sei, Estados Unidos, Polônia, Alemanha, nós tivemos monte de genteaqui, mas acho que primeira, Grécia.
(02:19):
Nós vamos falar sobre a Smithy, também, corra se eu errado, Speedos, mas primeiro,obrigado pela sua hora, obrigado por nos acompanhar.
Estou muito seguro que vamos nos livrar de um bom conteúdo falar sobre as soluções, falarsobre como ajudar os desenvolvedores e construir software é o todo.
um objetivo de nossas carreiras, eu diria.
(02:40):
Mais obrigado.
Por fale com a audiência e discutimos.
Muito por me convidar, Kassio.
Estou muito feliz por estar aqui.
Estou seguindo o podcast por tempo e estou grande fã.
Vocês têm grande conteúdo.
Eu o Fundo e CEO da Smithy Security.
(03:03):
Estou fazendo a開-source, o desenvolvimento e a segurança aplicação por cerca de 20 anos.
Eu fiz muitas coisas com e sem o OASP.
contribuiu muitas histórias repostas muitos lugares, mesmo o Língue de Cerno, tempo.
(03:24):
Na pandemia, eu criei um pequeno de abertura abertura chamada opencre.org, que se tornou amaior gráfica de saber do mundo.
É abertura abertura, você pode encontrar no opencre.org.
Depois da pandemia, nós percebemos que
(03:45):
conectando estandardos, conectando sabedoria sem conectar a ação Isso não tão efetivoporque você sempre precisará criar testes para sua de para garantir que seus
desenvolvedores, seus praticadores e você mesmo, se seguem as melhores práticas ou as boaspráticas e o que precisa acontecer.
(04:12):
Então criamos uma abertura
nosso segundo projeto, um aplicativo de segurança, engenheiro ou SOAR, como se de Gartner,para unificar toda a de aplicativo e software de segurança em workflows.
(04:36):
Cool!
obrigado por nos acompanhar.
Eu acho que você tem coisas muito boas em suas mãos.
Eu confesso, a audiência já sabe disso, talvez não.
Mas eu tive o meu sonho também de construir minhas opções e minhas, mas eu eradesenvolvedor por talvez 12 anos.
Mas eu não tenho mais tempo, sabe, essa dedicação a apenas isso.
(05:01):
Se eu começasse...
Eu nunca acabarei.
Isso é o meu problema.
Com todos os desafios e assim.
Então eu realmente aprecio e agradeço a você por dedicar o tempo e esforços e assim paraconstruir isso.
E agora nós temos negócio e assim.
É bem legal.
Não só para a comunidade, mas para o whole landscape Para o whole app sec.
(05:24):
Isso legal.
Agora eu vou começar talvez com primeira pergunta, que é basicamente a principal.
Como...
Como você pensa, ou como você vê seus produtos, sua solução, seu negócio, etc.
Como você vê eles ajudando os desenvolvedores.
Por essa questão?
Não ajudando os desenvolvedores a ser rápidos, mais produtivos, mas, na ajudar osdesenvolvedores a software Eu vejo muitas companhias e muitos equipamentos, só evitando,
(05:53):
só sendo defensivos, só dizendo que não temos tempo, só prioritizando tudo suas vidas,mesmo eles escrochando no TikTok.
mas não prioritizando uma configuração pipeline para esconder o código ou para esconderPR.
Esses tipos de coisas que famílias para todos no DevSecOps e no AppSec.
(06:13):
A primeira pergunta é por causa disso.
Como você vê, eu diria você, mas considero você como ativo, um negócio, ajudando osdesenvolvedores a construir software
A verdade é que, como profissionais nós falhamos de desenvolvedores.
Tentamos nosso melhor e o estamos tentando por mais de 20 anos para fazer todas as açõesde aplicação.
(06:42):
Começamos com, firewalls e WAFs e nos movimos para o SUS, depois a de shift e agoraeverywhere Mas nossa approach
sempre se desborda em mais atividades, mais alertas, mais escaneio.
Quando eu sou um desenvolver ou com o meu haton se eu quero ver uma atividade, porque éisso que eu sendo pagado para fazer, eu não quero ver 20 alertas, que 90 % ou 99 % são
(07:15):
falsas positivas, baseados nos nossos testes, em cada PR.
Isso é impossível.
é impossível de somente para passar.
E mesmo se a maioria desses alertas podem ser desmistos trivialmente, que é a das ESPMstentam fazer, tentam focar isso ainda não ótimo, porque me leva o mental que para passar
(07:43):
por todas essas alertas que escrimam a você, críticas.
E eu até vi as ESPMs tentar atingir
potencialmente perdoado por a vulnerabilidade.
Então eles gritam que sua organização vai perder milhões.
Se você não se reabastar, isso não me Eu já tenho muito estressante.
(08:05):
O que realmente ajudaria é a habilidade de propor o contexto como os ESPMs, de justa, mastambém coletar e combinar todos os ativos que...
a incrível equipe de comprou e gastou o dinheiro que ganhou para combinar os signais detodos esses ativos de inteligente para que eu tenha toda a informação que eu e eu
(08:37):
automaticamente posso remover não só maioria do meu som porque eu sei que tenho informaçãodo meu CNAP, do meu ASPM, coisas assim, mas idealmente fixar
automaticamente, com muita convicção sobre o que fixe vai fazer.
Porque se eu tiver todo o contexto de todas as terceiras, Synapse, ESPM, etc., e se eutiver acesso à minha ferramenta, então eu posso gerar fixe e aplicar o fixe com muita
(09:15):
convicção.
do que se eu precisasse fazer isso manualmente.
O problema é que, muito provavelmente, nenhum desses vendadores trabalham com os outros eisso faz sentido.
Se eu sou de ESPM, eu preciso focar em adicionar o melhor tipo de contexto e o maiorcontexto.
(09:36):
Se eu sou vendedor Synapse, eu preciso fazer a mesma coisa, mas para o Se eu estou gerandofixes automáticos, toda a minha vida vai para...
a parte Ninguém faz a mágica ou a mágica de conectar tudo isso juntos.
(09:57):
É por Smithy vem, e por que Smithy open source.
Para que a comunidade possa criar integrações profundas, muito robustas, com todos os seusvendadores e soluções, gratuitas e pagadas, para que eles possam automá-los forma
automática.
E para que, como desenvolvedor, eu possa remover
até 99,9 % de som e gerar fixes para restantes 0,1%.
(10:24):
Ok, isso é muito interessante porque...
Vamos agora tomar uma parte do que você nos falou.
Nois, certo?
Isso é uma das...
Como se chama isso?
Eu esqueci da palavra inglês.
É um dos problemas agora AppSec, é o nois.
(10:44):
Não apenas AppSec, mas também CyberSec geral.
O SoC Teams e etc.
Tem muitas alertas e etc.
E isso me às vezes.
Eu ainda estou no...
balance, como se deveríamos ter esse som ou não?
E eu vou te a explicação de como.
Eu sempre imagino eu indo ao médico e dizer, como o médico, essa a visita Eu quero ver seeu tenho problemas, se eu bem e tal.
(11:10):
O médico diz, aqui tem uma lista de testes que você precisa fazer no seu sangue, talvezalgum cardio e tal, e tal.
Uma visita
E eu poderia encontrar algum problema aqui e lá sobre, não sei, o fato de libra, as desabe, o usual, ou perna ou algo assim, ou você poderia ter, ou você poderia ter algum
(11:36):
tumor em lugar no seu cérebro, no seu não sei, que você poderia precisar de uma cirurgia.
E esse médico, tinha o ético, eu diria, mesmo, forma...
ou a duta de dizer a você, OK, você tem o problema A, B, C, D, mas nós precisamos focar noproblema B, porque pode matar você.
(11:58):
Isso é bem óbvio.
Agora, trazendo o mesmo cenário para o nosso desenvolvimento hoje, nós sabemos que cadalinha de é bug ou uma vulnerabilidade potência, considerando a整a app SEC.
o whole development landscape, how developers know how to code, but not know how to codedefensive or protecting and so on.
(12:22):
Let's go on this side, which means when we scan the code, when we test the code, we needto find the most, how to say this, we want to find a lot of problems, right?
And that is, as you put it, very good.
Okay, from all this 1000 vulnerabilities I found here.
(12:42):
você precisa fixar uma ou duas que são muito críticas, porque você disse que iriaenriquecer o data, dar contexto aqui e lá.
Mas o que fazemos com todas as 998?
Porque eu sei que precisamos evitar esse barulho, e eu concordo, mas como segura, eu aindatenho a sensação de que precisamos saber sobre essas 998, porque amanhã, como o mesmo
(13:07):
exemplo de teste ou algo assim, amanhã pode ser algo mais sério.
Então, talvez a próxima pergunta seria algo como, como você está trabalhando nesta reduçãosomente, você não precisa ir a detalhes técnicos, mas como você está se assegurando que,
ok, eu estou dando o contexto e, ok, isso é uma prioridade para você, não realmentedesmissindo ou simplesmente ignorando resto.
(13:32):
De novo, vamos considerar que meio disso você tem falsos positivos e assim então eu assumoque os escanners e todo mundo...
e bom trabalho em reduzir falsos positivos.
Ainda é matemática impossível, mas...
Vamos dizer que 50 % disso é falso positivo, ainda tem 500 vulnerabilidades.
Então, talvez essa a pergunta.
(13:52):
Como estamos tentando resolver esse problema?
Ok, estou dando vocês crítico para lidar agora.
Eu seu médico, isso pode matar vocês.
Mas o resto pode matar vocês amanhã.
Temos que focar um dia.
eu realmente amo o paralelo pessoas sendo doctores e não a polícia.
(14:16):
A segurança e vulnerabilidade sendo um tipo de sinal que algo pode ser errado.
Você pode escolher trabalhar nas três críticas que podem matar-se amanhã, mas depois osrestos são sinal e precisam existir no seu data lake.
(14:37):
Por que Smithy não desaparece os fundos, mas apenas marca-os como um não reportar agoramesmo.
Você pode continuar fazendo uma investigação e quando algo novo acontece, ir de volta notempo e ir para o seu e descobrir o que aconteceu.
Mas o que você decide é importante, realmente depende das suas muito específicas agoramesmo.
(15:05):
Por exemplo, você lembra de uma vulnerabilidade chamada Log4j desde o anterior, certo?
Todo mundo lembra disso.
Então, quem se importaria, antes de Log4j, ninguém se de seus libraries Qual avulnerabilidade dos meus libraries Não problema.
A segunda vez você quer um componente, quer cheque, dentro de minutos, que você até tenhaesse encontro, ou até usa esse library.
(15:41):
antes de qualquer vendedor poder apoiar ou apoiar novos fundos ou novas E você não podefazer isso se depender completamente dos seus vendores.
Você pode fazer isso se você tiver todos os fundos históricamente.
E você tem sua Lágrima e pode voltar para sua Lágrima de e combinar sinais de diferentesscans.
(16:06):
Talvez, novamente, minha CINAP disse que isso é...
disponível na internet.
E eu descobri que uso isso e eu descobri que uso isso.
E a minha Threat Intel disse que companhias como eu, meu sector, companhias como eu estãosendo atacadas.
E minha localização geológica, coisas como isso.
(16:28):
Você não pode fazer isso se você tiver todas essas informações juntas para fazer umainvestigação.
Isso é trabalho.
Não uma pesquisa ou algo que você possa fazer.
É igual ao médico, que paciente que ganhou, não sei, 20 quilos e tem, históricamente, umcolesterol Eles estão um risco muito de ser ataque Pelo menos, é o que diz o meu alunos de
(17:02):
local.
Então, faz sentido.
Mas o high cholesterol, si mesmo, é sinal, mas não é algo fatal, certo?
Combinado com todo mundo, tudo o que é, mas essa é exatamente a lógica, exatamente aregra, exatamente o workflow.
Vamos combinar todos os sinales juntos e ganhar data histórica de repente, teremos a maisimportante.
(17:31):
Mas não quantidade de contexto
que podem fazer isso, a menos que tenham todas essas históricas e a habilidade de combinarem customizadas que são customizadas para vocês.
E você ainda adicionou um bom ponto sobre o tempo que importante.
Como você disse, o colesterol não nada hoje, é muito alto.
(17:55):
Mas manter alto por ano, dois anos, como diabetes.
Eu fiz muitos de sangue e eu pouco de de açúcar pouco mais alto.
Porque o eu comi ontem, porque o que eu comi amanhã...
mas eu não tive diabetes, mas é diferente de ter muito alto por uma semana, por mês, porano, então você vai ter problema, E por eu perguntei essa questão?
(18:21):
Porque eu vejo muitos vendedores, e mesmo independentemente dos vendedores, masespecialmente SAST, mas os equipamentos, tipo, ok, eu desmiso isso.
Alguns vendedores, uma vez que você desmisa algo, eles param alertar sobre isso.
É problema.
Eu sempre disse que é igual ao marido.
Ele vai ao médico, ele está cheio de problemas, mas ele vem para e a esposa como você Semproblemas.
(18:46):
Porque se ele diz que tem problema, ele não beber mais, não pode comer o seu bacon.
Mas ele ainda tem problema, ele ainda pode ser afetado e impactado por isso.
Então, ID não muda o problema.
Então, realmente assustado, diria, de nós...
Eu não assustado de mais de como nós desenvolvendo o software.
Eu sei que é merda.
Infelizmente, mas geral, 9 9%, mas eu tenho medo também de como estamos fazendo segurançacima disso, porque nós podemos fazer a falsa sensação de segurança, como despecificar
(19:18):
coisas que nós deveríamos ter cuidado.
Como você disse, você tem sua data lake, você precisa voltar na história disso, voltar notempo disso, é muito importante.
Ok, legal.
Talvez um outro ponto para tocar.
seria como você vê, como profissional, Espiros, como você vê a profissional dostrabalhadores, as AppSec, os como você vê na sua carreira pessoas dedicando para estudar
(19:49):
sobre, ok, eu desenvolvedor, eu estudar sobre a validação eu quero cuidar das minhasaplicações, ou como de AppSec, eu quero aprender novas novas de fazer coisas, AI, como...
Você tem alguma opinião
A dos desenvolvedores e a segurança aplicação, menos que eu estava suavemente, são pessoasmuito ativas, curiosas e muito inteligentes.
(20:20):
Porém, como humanos e como engenheiros especificamente, temos uma tendência a quererespecializar coisas.
Como pessoa de você pode se em reversar os zero dias ou mobile ou...
os SecOps,
(21:03):
Aqui como fazer o DevSecOps ou mesmo Metrix.
Porque é assim que céus trabalham.
Os desenvolvedores são os mesmos, certo?
Você tem alguns desenvolvedores que só se importam dos message que usam.
Ou só se importam do programa ou elixir ou algo assim.
É muito raro encontrar desenvolvedor que se importe do full stack e da e coisas assim.
(21:30):
Porém...
como uma de você pode ensinar esse comportamento.
Você pode ensinar as pessoas a as que querem, certo?
Nós somos doutores, como você disse, eu diria somos físicos, porque nós só fazemosrecomendações.
Nós físicos, não somos a polícia.
Nós podemos ensinar as pessoas ou ensinar elas a serem conscientes de segurança e secuidar das coisas específicas.
(21:57):
Estes são os campeões típicos, certo?
Ok, legal.
Eu desse ponto e eu concordo.
Não tenho a adicionar aqui.
Só tenho tantas frustrações como desenvolvedor, como AppSec, não sei.
Eu preciso ser bilionário, cedo e tarde, então preciso parar de preocupar com todas essascoisas.
Um outro ponto para tocar é como...
(22:22):
Porque eu imagino, como você disse, que precisa conectar a diferentes fases na suasolução.
Você conecta a diferentes usagens tiquete, cloud, etc.
Quanto colaboração você tem com eles para integrar?
Por exemplo, você quer integrar com o Snyk, porque você precisa coletar de escanheiros.
(22:43):
Você precisa integrar com, não Azure para conseguir...
Então, basicamente, você precisa estudar seus APIs.
E você pode falar sobre algo assim, não segredo ou algo assim.
Não, não segredos.
(23:05):
É por isso que estamos open source.
A comunidade tem fantástico.
E, como bônus, mudando API é uma gigante.
Você não mudaria um API como vendedor se você realmente não tinha uma muito forte parafazer isso.
(23:25):
Isso, combinado com uma comunidade de...
muito inteligentes, muito dedicados voluntários.
E melhor empresa que eu já trabalhei com aqui na Smithing, que criou o decadência que fazmuito fácil de escrever integrações, nos permite ter agora mais de 50 integrações memória
(23:49):
de serviços, com diferentes vendadores, diferentes atividades.
Sim, 5.0.
ok
com diferentes vendadores, como o SaaS, o Dust, o CAA, o CNAB, ASPM, mas também coisaspequenas, como a gente no Discord, ou GitHub, ou GitLab, coisas assim, ou de contêineres
(24:14):
ou escaneio etc.
Então, todas essas coisas permitem que respondamos rápido, e com a gente escrito...
um grande número de livrarias, conectores e utilidades que nos permitem mapar rapidamente,nos criar integrações com 60 linhas de código, talvez em uma tarde ou alguns dias.
(24:41):
Não somos nós que sempre criamos as integrações, às a fantástica comunidade de pessoas queusam Smithy contribui...
ou suavemente para conseguir contribuição de integração, isso combinado com fato de quevendedores estão muito felizes para alguém usar o seu ato, porque ele se desmulta da
(25:04):
barriga para vendedores venderem, porque ele desmulta da barriga de, oh, eu não tenhotempo para suas integrações, permite aos vendedores focar exatamente no que eles precisam.
Ok, isso legal.
Agora talvez mais duas perguntas sobre o do ou o negócio.
(25:27):
A primeira é...
Imagine que eu uma empresa, tenho ex número de desenvolvedores, nunca fiz nenhum scan,nada, não sei nada sobre Ipsac.
Eu quero começar.
É algo para mim começar?
Ou algo para mim quando eu mais maturação?
(25:49):
Você está falando sobre a 0 para 1.
Isso é fantástico porque nós estamos fazendo exatamente a 0 1 com vários clientes, váriosparceiros, para o ano passado e pouco.
A ideia por trás da 0 para 1 é simples.
(26:14):
Pegue uma instância plugue a aplicação, o webhook ou a integração para onde você escrevecódigo, onde você implementa infraestrutura e onde você implementa imagens.
Vamos fazer o resto e vamos te dar vulnerabilidades a cada dia para você lidar com.
(26:39):
Mesmo se você tiver milhão de críticos no início, nós não vamos te espalhar com milhãocríticos.
Isso garantiu que você nunca vai lidar com eles.
Nós vamos priorizar eles e você vai conseguir os 5 a 9 críticos todos os Mas eles vão ser5 a 9 até que nós reduzimos isso.
(26:59):
Mas porque nós reduzimos o som, a Open Source e o Pro Smithy reduzir o som por bom 90 % dovocê recebe.
é muito baixo de vulnerabilidades para você lidar com e com a habilidade que temos paraque nós possamos fixar ou sugerir fixações muito, muito mais vezes você só precisa clicar
(27:22):
no botão e se seus de unidade passaram, é isso é o seu 021
Ok, então, porque eu vejo empresas como, integrar no meu pipeline, oh, preciso modelar eupreciso de WAF, eles são só, eu vejo eles andando aqui e lá sem ter um plano, sem saber o
(27:44):
que eles fazem.
Eles ouviram sobre o CyberSecOps ou AppSec, eles precisam começar por causa compliance oualgo, ou eles só querem fazer CyberSec ao invés de só ser compliance, que totalmente
diferentes.
E às vezes é...
Lack of tooling or lack of companies that help them to get there.
By themselves, sometimes they will not achieve.
(28:04):
So this is you said is cool.
Yeah, go on.
Isso é verdade.
E essas empresas geralmente são dirigidas por pessoas de ou não tem pessoas de e sãodirigidas por CTO que perdido.
E é muito simples ser perdido no som Há milhão de soluções.
(28:26):
Ainda há vários modelos muito fortes.
Por exemplo, o modelo de maturidade e alguns
que dão a você ações que você precisa fazer.
Porque nós fomos atrasando e não queríamos aparecer como se fôssemos serviços ou como setivéssemos educar nossos parceiros, construímos open source, wayfinder, utilidade na nossa
(29:00):
página, onde você tem o seu caminho de DevSecOps.
você tem vários modelos na esquerda e você pode escolher vendadores, open source e freetools, ambos open source slash free tools e pagados, para colocar em vários níveis da sua
(29:22):
viagem maturidade, para que você possa investigar como isso pode afetar seu de maturidade,para que você possa ver, você possa encontrar o que é o próximo passo.
Isso não
A mais completa lá fora, existem outros como o Samy Tool, pessoas maravilhosas noCodeDifique, mas é uma solução.
(29:47):
Então você não precisa ficar perdido mais, tentando buscar uma ESPM e conseguir mais de 20opções, por exemplo.
Eu faço alguns consultos, por causa da experiência, fácil ver alguns processos, algumasinstruções, dar algumas guiadas.
(30:07):
Mas, normalmente, quando as empresas me dizem que precisam disso e disso, e dizem comoestá hoje, ou hoje é assim, não, não.
Você no caminho não sei quem te isso.
Você pode ouve me ou ir para a OSPSA.
Como você disse, tem um free framework para te dizer exatamente como está a maturidade.
com alguns parâmetros, etc.
(30:29):
E assim, você não lida na entrevista ou nas respostas, para dar a você claração de ondeestamos, onde queremos ir.
E você pode, claro, estimar custos, tempo, etc.
É que você mencionou.
Na verdade, gravamos...
Minha assistente não aqui hoje, mas gravamos, talvez na Série 3, se não me engano, umepisódio sobre Oaspsan.
(30:54):
É português, desculpe, mas é episódio Ok, Speedos, a próxima pergunta.
É funcionando.
A próxima pergunta é, você mencionou a versão certo?
Você pode falar sobre o preço?
(31:15):
Você falar sobre o que é a diferença entre eles?
Por que as devem ir para pro e não só para os operadores?
Sim, é claro.
Nós open-sourcemos Smithy para dar a todos que têm a capacidade de fazer DevSecOssozinhos, a capacidade de conectar todas as suas componentes e todo o programa.
(31:43):
Smithy open-source é o SDK e o de para você possa usar qualquer quantidade de ferramentas
seu CI-CD ou fora disso, e ganhar um data link, data link muito forte, em standardizado,para você não tenha que normalizar.
(32:07):
Enquanto construímos o Smithy Pro e testou com vários parceiros, acabamos de precisarcriar front-ends, principalmente de e de
nossos partilheiros continuaram a ser perguntados se eles puderiam provar que eles fizeramescaneio.
(32:27):
E não podiam fazer isso para que satisfassem um auditor ou eles tinham que entrar e juntarevidências manualmente.
Eles também não sabiam como fazer tudo o empresas fazem, como fazer single sign-on,porque...
(32:47):
Temos que construir a front-end para coletar a evidência auditiva.
Temos que single sign-on.
Temos que fazer Smithy scale para 5 milhões de executos por dia.
Para fazer isso, temos que fazer cada executo paralisável para que possamos fazer maisinteligentes, como o Smart Schedule.
(33:11):
Todas essas coisas estão na Smithy Pro.
Além de alguns muito, muito caros.
na execução de AI, coisas como a AI On-Prem e coisas assim, que apenas empresas muitograndes precisarão, a maioria de nós, ou a das não, para que possamos servir casas ou
(33:37):
empresas que precisam, por exemplo, de remediação no on-premise, mais evidência, reuniçono on-premise, mais...
políticas e todas essas coisas que 99 % de não.
Então, Smithy Free, Smithy Open Source, SDK, basic workflows, que cobram a maioria dasSmithy Pro, automação end-to-end, crie os workflows sozinhos, fixe, conecte com as
(34:09):
plataformas muito caras que você, se tiver dinheiro para pagar,
Você pode também pagar algo extra para Smithy.
E isso ajuda pessoas que querem ser completamente sem interesse, não querem se
Eu assumo que o SaaS também, ou você tem de on-prem?
(34:30):
o Sassour OR On-Prem e é a única solução, pelo menos eu sei e eu pesquiso bastante, quefaz isso.
Cool, isso muito legal.
Eu vou sozinho, verdade.
Só para eu dizer, eu tenho isso.
Eu não desenvolvo Não, é engraçado porque eu já mesmo a companhia que hoje, nós temos 12,9, na reduzidos, 9 diferentes escanheiros.
(35:04):
É secreto, é SOS, SCA, aqui, ali e é...
Noites e orquestração.
Temos que definir, por exemplo, centralizado.
Temos que esconder todo o PR.
Não este PR, não esse PR, é todo PR.
E temos Bitbucket, GitLab, até o Search Save.
(35:29):
Tudo que você pode imaginar.
Então, quem pode integrar tudo e eu posso administrar lugar, qualquer PR que ele vaiencostar isso.
Trigar os seus scans, coletar todas datas, abrir um ticket no Jira, ou que E isso é o quepodem dizer, é desenho.
(35:50):
Tem muitas coisas por aí e elas não sabem como centralizar, porque em algum momento vocêprecisa de centralização.
É bem difícil de manajar todas essas atividades separadas.
Sim, você disse perfeitamente, você precisa do seu pânel seu centralizado, é isso.
Exatamente.
Eu tinha boss que dizia, imagina carro sem o dashboard.
(36:15):
Você não sabe a velocidade, o nível o que você Você pode ir de ponto A a ponto B semnenhum problema, mas você precisa dessas informações.
O limite etc.
Então, esse dashboard é o seu guia ao mesmo tempo que o seu código.
Se você tiver problemas, ele vai alertar você.
(36:35):
Upsec, não temos nenhum dashboard, certo?
Upsec, imagina carro onde toda a surface é um dashboard, também controle.
Você sepia pouco no seu prato e o carro muda a direção, certo?
Ou talvez o seu speedometer está no chão porque é onde esse particular produtor...
(37:02):
Uhum, uhum.
o speedometer, Porque não tudo feito pela mesma pessoa, não tem alguma pensão sobre isso.
É combinação como de Frankenstein, como Frankenstein.
E não nada para conectar tudo junto.
Por isso, você muda um pouco sítio e o carro se desliza.
(37:25):
Cool, cool analogy.
Spiros, I have one more point here.
Let me just run my introduction.
Temos a Dev May Cry, que sempre é o cast, o podcast, o guest e assim Sempre falamos algo.
(37:48):
Sabe esse momento lutamos contra os desenvolvedores?
Eu era desenvolvedor, eu ainda coding, mas agora somos segurança.
Sempre falamos algo divertido para fazer o desenvolvedor chorar.
Funcionário e O que faria os desenvolvedores chorarem?
Você pode pensar algo.
Eu tenho algo mente.
Seria algo assim.
todas as equipes da companhia A, teriam todos os scanners, por favor, os melhores scannersde SaaS, SCA, DAS, tudo.
(38:17):
Mas eles precisam manajar cada deles, todas as questões, separadamente.
Então, a solução é, 1.
Eles precisam ir ao seu dashboard ou para encontrar todas as questões, clicar nosdetalhes, depois voltar ao código para ver onde está e fixar e assim.
E depois você tem o DAS, que é outro, on-prem, que você precisa acessar somente com VM,sob VPN, e depois você precisa acessar isso.
(38:43):
Então você tem 13 diferentes ferramentas que você precisa acessar para se e encontrar suasvulnerabilidades e onde está o problema na sua aplicação.
Então esse seria o de dev-maker hoje para fazer os desenvolvedores rirem.
Às vezes eles precisam rir.
Ok, então eu vou construir a A é exatamente sua, com atuados.
(39:11):
Imagine um DAS que dá você vulnerabilidades enquanto você está Go.
E SAS que faz exatamente mesma coisa, tipo, é a minha Php 10, mas com uma SLA de criticalque ser resolvida dia.
Isso incrível.
(39:31):
Essa SLA dá esse sabor de desesperação.
Sem features, sem coisas sem tempo mais.
Você precisa parar tudo para lidar com essas falsas positivas e tudo isso.
Cool.
Talvez para fazer tudo melhor.
Todos esses poderiam ser exportados uma spreadsheet que eles precisam deslizar localmente.
(39:53):
E depois se administrar no Excel.
Ou PDF.
Excel é ainda mais fácil de navegar.
exatamente.
É perfeito.
Vamos fazer a vida mais Ok.
Cool.
Dois três episódios atrás, gente, havia um incrível Devon May Cry sobre a compreensão.
Ou, na sobre o treinamento.
Então você precisa assistir esse episódio.
Dois três episódios atrás, um dos nossos castes foi descrever isso sobre treinamentos.
(40:19):
É louco.
Eu já no primeiro sentado que ele disse.
Você vai para o treinamento e você vê como o slide 1, 50.
Então você precisa ir mais de horas de treino.
Cool.
Spiros, acho que estamos na hora.
Obrigado por se juntar, por compartilhar toda essa valiosa.
(40:40):
Acho que Smitty tem muita potencial.
E, por certeza, eu vou discutir com o meu time.
Gente, nós temos potencial aqui.
Vamos ver o que pode ser um benefício para nós.
Qualquer mensagem qualquer adviamento qualquer beijo ou abraço para a família, eu não sei.
Fui.
Não realmente.
(41:01):
O último mensagem, eu acho, que tem que ser apenas como precisa ser.
Se você automata agressivamente tudo e se você não tem medo de vulnerabilidades, você podefazer sua vida significativamente mais além da vida de aqueles que você serve, que é de
(41:25):
engenharia da companhia.
pessoas que realmente fazem o dinheiro.
não tenha medo de ser agressivo em automação e não tenha medo de ser agressivo em redução
Cool!
Obrigado por isso de novo.
Eu acredito que vemos a mim.
Audiences, você, claro, você já convidado para o próximo episódio.
(41:48):
Mas eu acredito que vamos ver todos no próximo episódio.
Te vejo na próxima semana.
Espero que eu não sozinho de sem o Marcos e o Só minha voz é mais divertida.
Gente, te vejo.
Spiros, obrigado mais uma vez.
Muito Kassir.
Olá, pessoal.
É muito bom estar de E, para ser honesto, ainda melhor, porque eu não sozinho hoje.
Eu bom que eu apresentar segundo.
Mas nosso castelão não aqui.
Então, o Marcos não aqui hoje, o Benur não aqui hoje, o que é perfeito.
Esses caras falam monte cacete, às vezes.
Então, muito bom estar às vezes.
Sabe, só eu, eu, meu podcast aqui, bom guest.
(00:45):
Será que eles não ouvirem isso, que...
que também protegei mesmo.
Gente, esse é episódio número 170, se não me engano, então mais de 100 horas de conteúdopara por free, no Wapsacast Podcast.
Então, favor, volte, ouça, um, dois, três, e todos eles, eu tenho certeza que vocês vãogostar, e esse conteúdo será valioso para vocês.
(01:09):
Antes de começarmos e irmos para o nosso...
e apresentação ao nosso vencedor e o tema de hoje.
É bom lembrar que o DevSecOps tem o apoio de Sneak e Nova8, que são especializadossegurança e código O link para Nova8 e o distribuidor na América também na Polônia, está
abaixo do episódio de no YouTube, também no da DevSecOps.com.br.
(01:31):
Se você procurando soluções DigitalWoke tem portfólio para você.
E você já se perguntou se você está atingido?
Qualquer data ou data foi roubada?
Ou qual é o meu risco?
A segurança tem todas as respostas para você.
Então, se você se enxergar com eles, eu tenho certeza que eles te Vamos começar o tema dehoje.
(01:54):
Hoje eu estou falando com o Spiros.
Desculpe se eu não pronunciar correto, mas eu acredito que eu fiz bem.
É primeiro grega que Tivemos pessoas de todo lugar.
Mas Israel, Brasil, sei, Estados Unidos, Polônia, Alemanha, nós tivemos monte de genteaqui, mas acho que primeira, Grécia.
(02:19):
Nós vamos falar sobre a Smithy, também, corra se eu errado, Speedos, mas primeiro,obrigado pela sua hora, obrigado por nos acompanhar.
Estou muito seguro que vamos nos livrar de um bom conteúdo falar sobre as soluções, falarsobre como ajudar os desenvolvedores e construir software é o todo.
um objetivo de nossas carreiras, eu diria.
(02:40):
Mais obrigado.
Por fale com a audiência e discutimos.
Muito por me convidar, Kassio.
Estou muito feliz por estar aqui.
Estou seguindo o podcast por tempo e estou grande fã.
Vocês têm grande conteúdo.
Eu o Fundo e CEO da Smithy Security.
(03:03):
Estou fazendo a開-source, o desenvolvimento e a segurança aplicação por cerca de 20 anos.
Eu fiz muitas coisas com e sem o OASP.
contribuiu muitas histórias repostas muitos lugares, mesmo o Língue de Cerno, tempo.
(03:24):
Na pandemia, eu criei um pequeno de abertura abertura chamada opencre.org, que se tornou amaior gráfica de saber do mundo.
É abertura abertura, você pode encontrar no opencre.org.
Depois da pandemia, nós percebemos que
(03:45):
conectando estandardos, conectando sabedoria sem conectar a ação Isso não tão efetivoporque você sempre precisará criar testes para sua de para garantir que seus
desenvolvedores, seus praticadores e você mesmo, se seguem as melhores práticas ou as boaspráticas e o que precisa acontecer.
(04:12):
Então criamos uma abertura
nosso segundo projeto, um aplicativo de segurança, engenheiro ou SOAR, como se de Gartner,para unificar toda a de aplicativo e software de segurança em workflows.
(04:36):
Cool!
obrigado por nos acompanhar.
Eu acho que você tem coisas muito boas em suas mãos.
Eu confesso, a audiência já sabe disso, talvez não.
Mas eu tive o meu sonho também de construir minhas opções e minhas, mas eu eradesenvolvedor por talvez 12 anos.
Mas eu não tenho mais tempo, sabe, essa dedicação a apenas isso.
(05:01):
Se eu começasse...
Eu nunca acabarei.
Isso é o meu problema.
Com todos os desafios e assim.
Então eu realmente aprecio e agradeço a você por dedicar o tempo e esforços e assim paraconstruir isso.
E agora nós temos negócio e assim.
É bem legal.
Não só para a comunidade, mas para o whole landscape Para o whole app sec.
(05:24):
Isso legal.
Agora eu vou começar talvez com primeira pergunta, que é basicamente a principal.
Como...
Como você pensa, ou como você vê seus produtos, sua solução, seu negócio, etc.
Como você vê eles ajudando os desenvolvedores.
Por essa questão?
Não ajudando os desenvolvedores a ser rápidos, mais produtivos, mas, na ajudar osdesenvolvedores a software Eu vejo muitas companhias e muitos equipamentos, só evitando,
(05:53):
só sendo defensivos, só dizendo que não temos tempo, só prioritizando tudo suas vidas,mesmo eles escrochando no TikTok.
mas não prioritizando uma configuração pipeline para esconder o código ou para esconderPR.
Esses tipos de coisas que famílias para todos no DevSecOps e no AppSec.
(06:13):
A primeira pergunta é por causa disso.
Como você vê, eu diria você, mas considero você como ativo, um negócio, ajudando osdesenvolvedores a construir software
A verdade é que, como profissionais nós falhamos de desenvolvedores.
Tentamos nosso melhor e o estamos tentando por mais de 20 anos para fazer todas as açõesde aplicação.
(06:42):
Começamos com, firewalls e WAFs e nos movimos para o SUS, depois a de shift e agoraeverywhere Mas nossa approach
sempre se desborda em mais atividades, mais alertas, mais escaneio.
Quando eu sou um desenvolver ou com o meu haton se eu quero ver uma atividade, porque éisso que eu sendo pagado para fazer, eu não quero ver 20 alertas, que 90 % ou 99 % são
(07:15):
falsas positivas, baseados nos nossos testes, em cada PR.
Isso é impossível.
é impossível de somente para passar.
E mesmo se a maioria desses alertas podem ser desmistos trivialmente, que é a das ESPMstentam fazer, tentam focar isso ainda não ótimo, porque me leva o mental que para passar
(07:43):
por todas essas alertas que escrimam a você, críticas.
E eu até vi as ESPMs tentar atingir
potencialmente perdoado por a vulnerabilidade.
Então eles gritam que sua organização vai perder milhões.
Se você não se reabastar, isso não me Eu já tenho muito estressante.
(08:05):
O que realmente ajudaria é a habilidade de propor o contexto como os ESPMs, de justa, mastambém coletar e combinar todos os ativos que...
a incrível equipe de comprou e gastou o dinheiro que ganhou para combinar os signais detodos esses ativos de inteligente para que eu tenha toda a informação que eu e eu
(08:37):
automaticamente posso remover não só maioria do meu som porque eu sei que tenho informaçãodo meu CNAP, do meu ASPM, coisas assim, mas idealmente fixar
automaticamente, com muita convicção sobre o que fixe vai fazer.
Porque se eu tiver todo o contexto de todas as terceiras, Synapse, ESPM, etc., e se eutiver acesso à minha ferramenta, então eu posso gerar fixe e aplicar o fixe com muita
(09:15):
convicção.
do que se eu precisasse fazer isso manualmente.
O problema é que, muito provavelmente, nenhum desses vendadores trabalham com os outros eisso faz sentido.
Se eu sou de ESPM, eu preciso focar em adicionar o melhor tipo de contexto e o maiorcontexto.
(09:36):
Se eu sou vendedor Synapse, eu preciso fazer a mesma coisa, mas para o Se eu estou gerandofixes automáticos, toda a minha vida vai para...
a parte Ninguém faz a mágica ou a mágica de conectar tudo isso juntos.
(09:57):
É por Smithy vem, e por que Smithy open source.
Para que a comunidade possa criar integrações profundas, muito robustas, com todos os seusvendadores e soluções, gratuitas e pagadas, para que eles possam automá-los forma
automática.
E para que, como desenvolvedor, eu possa remover
até 99,9 % de som e gerar fixes para restantes 0,1%.
(10:24):
Ok, isso é muito interessante porque...
Vamos agora tomar uma parte do que você nos falou.
Nois, certo?
Isso é uma das...
Como se chama isso?
Eu esqueci da palavra inglês.
É um dos problemas agora AppSec, é o nois.
(10:44):
Não apenas AppSec, mas também CyberSec geral.
O SoC Teams e etc.
Tem muitas alertas e etc.
E isso me às vezes.
Eu ainda estou no...
balance, como se deveríamos ter esse som ou não?
E eu vou te a explicação de como.
Eu sempre imagino eu indo ao médico e dizer, como o médico, essa a visita Eu quero ver seeu tenho problemas, se eu bem e tal.
(11:10):
O médico diz, aqui tem uma lista de testes que você precisa fazer no seu sangue, talvezalgum cardio e tal, e tal.
Uma visita
E eu poderia encontrar algum problema aqui e lá sobre, não sei, o fato de libra, as desabe, o usual, ou perna ou algo assim, ou você poderia ter, ou você poderia ter algum
(11:36):
tumor em lugar no seu cérebro, no seu não sei, que você poderia precisar de uma cirurgia.
E esse médico, tinha o ético, eu diria, mesmo, forma...
ou a duta de dizer a você, OK, você tem o problema A, B, C, D, mas nós precisamos focar noproblema B, porque pode matar você.
(11:58):
Isso é bem óbvio.
Agora, trazendo o mesmo cenário para o nosso desenvolvimento hoje, nós sabemos que cadalinha de é bug ou uma vulnerabilidade potência, considerando a整a app SEC.
o whole development landscape, how developers know how to code, but not know how to codedefensive or protecting and so on.
(12:22):
Let's go on this side, which means when we scan the code, when we test the code, we needto find the most, how to say this, we want to find a lot of problems, right?
And that is, as you put it, very good.
Okay, from all this 1000 vulnerabilities I found here.
(12:42):
você precisa fixar uma ou duas que são muito críticas, porque você disse que iriaenriquecer o data, dar contexto aqui e lá.
Mas o que fazemos com todas as 998?
Porque eu sei que precisamos evitar esse barulho, e eu concordo, mas como segura, eu aindatenho a sensação de que precisamos saber sobre essas 998, porque amanhã, como o mesmo
(13:07):
exemplo de teste ou algo assim, amanhã pode ser algo mais sério.
Então, talvez a próxima pergunta seria algo como, como você está trabalhando nesta reduçãosomente, você não precisa ir a detalhes técnicos, mas como você está se assegurando que,
ok, eu estou dando o contexto e, ok, isso é uma prioridade para você, não realmentedesmissindo ou simplesmente ignorando resto.
(13:32):
De novo, vamos considerar que meio disso você tem falsos positivos e assim então eu assumoque os escanners e todo mundo...
e bom trabalho em reduzir falsos positivos.
Ainda é matemática impossível, mas...
Vamos dizer que 50 % disso é falso positivo, ainda tem 500 vulnerabilidades.
Então, talvez essa a pergunta.
(13:52):
Como estamos tentando resolver esse problema?
Ok, estou dando vocês crítico para lidar agora.
Eu seu médico, isso pode matar vocês.
Mas o resto pode matar vocês amanhã.
Temos que focar um dia.
eu realmente amo o paralelo pessoas sendo doctores e não a polícia.
(14:16):
A segurança e vulnerabilidade sendo um tipo de sinal que algo pode ser errado.
Você pode escolher trabalhar nas três críticas que podem matar-se amanhã, mas depois osrestos são sinal e precisam existir no seu data lake.
(14:37):
Por que Smithy não desaparece os fundos, mas apenas marca-os como um não reportar agoramesmo.
Você pode continuar fazendo uma investigação e quando algo novo acontece, ir de volta notempo e ir para o seu e descobrir o que aconteceu.
Mas o que você decide é importante, realmente depende das suas muito específicas agoramesmo.
(15:05):
Por exemplo, você lembra de uma vulnerabilidade chamada Log4j desde o anterior, certo?
Todo mundo lembra disso.
Então, quem se importaria, antes de Log4j, ninguém se de seus libraries Qual avulnerabilidade dos meus libraries Não problema.
A segunda vez você quer um componente, quer cheque, dentro de minutos, que você até tenhaesse encontro, ou até usa esse library.
(15:41):
antes de qualquer vendedor poder apoiar ou apoiar novos fundos ou novas E você não podefazer isso se depender completamente dos seus vendores.
Você pode fazer isso se você tiver todos os fundos históricamente.
E você tem sua Lágrima e pode voltar para sua Lágrima de e combinar sinais de diferentesscans.
(16:06):
Talvez, novamente, minha CINAP disse que isso é...
disponível na internet.
E eu descobri que uso isso e eu descobri que uso isso.
E a minha Threat Intel disse que companhias como eu, meu sector, companhias como eu estãosendo atacadas.
E minha localização geológica, coisas como isso.
(16:28):
Você não pode fazer isso se você tiver todas essas informações juntas para fazer umainvestigação.
Isso é trabalho.
Não uma pesquisa ou algo que você possa fazer.
É igual ao médico, que paciente que ganhou, não sei, 20 quilos e tem, históricamente, umcolesterol Eles estão um risco muito de ser ataque Pelo menos, é o que diz o meu alunos de
(17:02):
local.
Então, faz sentido.
Mas o high cholesterol, si mesmo, é sinal, mas não é algo fatal, certo?
Combinado com todo mundo, tudo o que é, mas essa é exatamente a lógica, exatamente aregra, exatamente o workflow.
Vamos combinar todos os sinales juntos e ganhar data histórica de repente, teremos a maisimportante.
(17:31):
Mas não quantidade de contexto
que podem fazer isso, a menos que tenham todas essas históricas e a habilidade de combinarem customizadas que são customizadas para vocês.
E você ainda adicionou um bom ponto sobre o tempo que importante.
Como você disse, o colesterol não nada hoje, é muito alto.
(17:55):
Mas manter alto por ano, dois anos, como diabetes.
Eu fiz muitos de sangue e eu pouco de de açúcar pouco mais alto.
Porque o eu comi ontem, porque o que eu comi amanhã...
mas eu não tive diabetes, mas é diferente de ter muito alto por uma semana, por mês, porano, então você vai ter problema, E por eu perguntei essa questão?
(18:21):
Porque eu vejo muitos vendedores, e mesmo independentemente dos vendedores, masespecialmente SAST, mas os equipamentos, tipo, ok, eu desmiso isso.
Alguns vendedores, uma vez que você desmisa algo, eles param alertar sobre isso.
É problema.
Eu sempre disse que é igual ao marido.
Ele vai ao médico, ele está cheio de problemas, mas ele vem para e a esposa como você Semproblemas.
(18:46):
Porque se ele diz que tem problema, ele não beber mais, não pode comer o seu bacon.
Mas ele ainda tem problema, ele ainda pode ser afetado e impactado por isso.
Então, ID não muda o problema.
Então, realmente assustado, diria, de nós...
Eu não assustado de mais de como nós desenvolvendo o software.
Eu sei que é merda.
Infelizmente, mas geral, 9 9%, mas eu tenho medo também de como estamos fazendo segurançacima disso, porque nós podemos fazer a falsa sensação de segurança, como despecificar
(19:18):
coisas que nós deveríamos ter cuidado.
Como você disse, você tem sua data lake, você precisa voltar na história disso, voltar notempo disso, é muito importante.
Ok, legal.
Talvez um outro ponto para tocar.
seria como você vê, como profissional, Espiros, como você vê a profissional dostrabalhadores, as AppSec, os como você vê na sua carreira pessoas dedicando para estudar
(19:49):
sobre, ok, eu desenvolvedor, eu estudar sobre a validação eu quero cuidar das minhasaplicações, ou como de AppSec, eu quero aprender novas novas de fazer coisas, AI, como...
Você tem alguma opinião
A dos desenvolvedores e a segurança aplicação, menos que eu estava suavemente, são pessoasmuito ativas, curiosas e muito inteligentes.
(20:20):
Porém, como humanos e como engenheiros especificamente, temos uma tendência a quererespecializar coisas.
Como pessoa de você pode se em reversar os zero dias ou mobile ou...
os SecOps,
(21:03):
Aqui como fazer o DevSecOps ou mesmo Metrix.
Porque é assim que céus trabalham.
Os desenvolvedores são os mesmos, certo?
Você tem alguns desenvolvedores que só se importam dos message que usam.
Ou só se importam do programa ou elixir ou algo assim.
É muito raro encontrar desenvolvedor que se importe do full stack e da e coisas assim.
(21:30):
Porém...
como uma de você pode ensinar esse comportamento.
Você pode ensinar as pessoas a as que querem, certo?
Nós somos doutores, como você disse, eu diria somos físicos, porque nós só fazemosrecomendações.
Nós físicos, não somos a polícia.
Nós podemos ensinar as pessoas ou ensinar elas a serem conscientes de segurança e secuidar das coisas específicas.
(21:57):
Estes são os campeões típicos, certo?
Ok, legal.
Eu desse ponto e eu concordo.
Não tenho a adicionar aqui.
Só tenho tantas frustrações como desenvolvedor, como AppSec, não sei.
Eu preciso ser bilionário, cedo e tarde, então preciso parar de preocupar com todas essascoisas.
Um outro ponto para tocar é como...
(22:22):
Porque eu imagino, como você disse, que precisa conectar a diferentes fases na suasolução.
Você conecta a diferentes usagens tiquete, cloud, etc.
Quanto colaboração você tem com eles para integrar?
Por exemplo, você quer integrar com o Snyk, porque você precisa coletar de escanheiros.
(22:43):
Você precisa integrar com, não Azure para conseguir...
Então, basicamente, você precisa estudar seus APIs.
E você pode falar sobre algo assim, não segredo ou algo assim.
Não, não segredos.
(23:05):
É por isso que estamos open source.
A comunidade tem fantástico.
E, como bônus, mudando API é uma gigante.
Você não mudaria um API como vendedor se você realmente não tinha uma muito forte parafazer isso.
(23:25):
Isso, combinado com uma comunidade de...
muito inteligentes, muito dedicados voluntários.
E melhor empresa que eu já trabalhei com aqui na Smithing, que criou o decadência que fazmuito fácil de escrever integrações, nos permite ter agora mais de 50 integrações memória
(23:49):
de serviços, com diferentes vendadores, diferentes atividades.
Sim, 5.0.
ok
com diferentes vendadores, como o SaaS, o Dust, o CAA, o CNAB, ASPM, mas também coisaspequenas, como a gente no Discord, ou GitHub, ou GitLab, coisas assim, ou de contêineres
(24:14):
ou escaneio etc.
Então, todas essas coisas permitem que respondamos rápido, e com a gente escrito...
um grande número de livrarias, conectores e utilidades que nos permitem mapar rapidamente,nos criar integrações com 60 linhas de código, talvez em uma tarde ou alguns dias.
(24:41):
Não somos nós que sempre criamos as integrações, às a fantástica comunidade de pessoas queusam Smithy contribui...
ou suavemente para conseguir contribuição de integração, isso combinado com fato de quevendedores estão muito felizes para alguém usar o seu ato, porque ele se desmulta da
(25:04):
barriga para vendedores venderem, porque ele desmulta da barriga de, oh, eu não tenhotempo para suas integrações, permite aos vendedores focar exatamente no que eles precisam.
Ok, isso legal.
Agora talvez mais duas perguntas sobre o do ou o negócio.
(25:27):
A primeira é...
Imagine que eu uma empresa, tenho ex número de desenvolvedores, nunca fiz nenhum scan,nada, não sei nada sobre Ipsac.
Eu quero começar.
É algo para mim começar?
Ou algo para mim quando eu mais maturação?
(25:49):
Você está falando sobre a 0 para 1.
Isso é fantástico porque nós estamos fazendo exatamente a 0 1 com vários clientes, váriosparceiros, para o ano passado e pouco.
A ideia por trás da 0 para 1 é simples.
(26:14):
Pegue uma instância plugue a aplicação, o webhook ou a integração para onde você escrevecódigo, onde você implementa infraestrutura e onde você implementa imagens.
Vamos fazer o resto e vamos te dar vulnerabilidades a cada dia para você lidar com.
(26:39):
Mesmo se você tiver milhão de críticos no início, nós não vamos te espalhar com milhãocríticos.
Isso garantiu que você nunca vai lidar com eles.
Nós vamos priorizar eles e você vai conseguir os 5 a 9 críticos todos os Mas eles vão ser5 a 9 até que nós reduzimos isso.
(26:59):
Mas porque nós reduzimos o som, a Open Source e o Pro Smithy reduzir o som por bom 90 % dovocê recebe.
é muito baixo de vulnerabilidades para você lidar com e com a habilidade que temos paraque nós possamos fixar ou sugerir fixações muito, muito mais vezes você só precisa clicar
(27:22):
no botão e se seus de unidade passaram, é isso é o seu 021
Ok, então, porque eu vejo empresas como, integrar no meu pipeline, oh, preciso modelar eupreciso de WAF, eles são só, eu vejo eles andando aqui e lá sem ter um plano, sem saber o
(27:44):
que eles fazem.
Eles ouviram sobre o CyberSecOps ou AppSec, eles precisam começar por causa compliance oualgo, ou eles só querem fazer CyberSec ao invés de só ser compliance, que totalmente
diferentes.
E às vezes é...
Lack of tooling or lack of companies that help them to get there.
By themselves, sometimes they will not achieve.
(28:04):
So this is you said is cool.
Yeah, go on.
Isso é verdade.
E essas empresas geralmente são dirigidas por pessoas de ou não tem pessoas de e sãodirigidas por CTO que perdido.
E é muito simples ser perdido no som Há milhão de soluções.
(28:26):
Ainda há vários modelos muito fortes.
Por exemplo, o modelo de maturidade e alguns
que dão a você ações que você precisa fazer.
Porque nós fomos atrasando e não queríamos aparecer como se fôssemos serviços ou como setivéssemos educar nossos parceiros, construímos open source, wayfinder, utilidade na nossa
(29:00):
página, onde você tem o seu caminho de DevSecOps.
você tem vários modelos na esquerda e você pode escolher vendadores, open source e freetools, ambos open source slash free tools e pagados, para colocar em vários níveis da sua
(29:22):
viagem maturidade, para que você possa investigar como isso pode afetar seu de maturidade,para que você possa ver, você possa encontrar o que é o próximo passo.
Isso não
A mais completa lá fora, existem outros como o Samy Tool, pessoas maravilhosas noCodeDifique, mas é uma solução.
(29:47):
Então você não precisa ficar perdido mais, tentando buscar uma ESPM e conseguir mais de 20opções, por exemplo.
Eu faço alguns consultos, por causa da experiência, fácil ver alguns processos, algumasinstruções, dar algumas guiadas.
(30:07):
Mas, normalmente, quando as empresas me dizem que precisam disso e disso, e dizem comoestá hoje, ou hoje é assim, não, não.
Você no caminho não sei quem te isso.
Você pode ouve me ou ir para a OSPSA.
Como você disse, tem um free framework para te dizer exatamente como está a maturidade.
com alguns parâmetros, etc.
(30:29):
E assim, você não lida na entrevista ou nas respostas, para dar a você claração de ondeestamos, onde queremos ir.
E você pode, claro, estimar custos, tempo, etc.
É que você mencionou.
Na verdade, gravamos...
Minha assistente não aqui hoje, mas gravamos, talvez na Série 3, se não me engano, umepisódio sobre Oaspsan.
(30:54):
É português, desculpe, mas é episódio Ok, Speedos, a próxima pergunta.
É funcionando.
A próxima pergunta é, você mencionou a versão certo?
Você pode falar sobre o preço?
(31:15):
Você falar sobre o que é a diferença entre eles?
Por que as devem ir para pro e não só para os operadores?
Sim, é claro.
Nós open-sourcemos Smithy para dar a todos que têm a capacidade de fazer DevSecOssozinhos, a capacidade de conectar todas as suas componentes e todo o programa.
(31:43):
Smithy open-source é o SDK e o de para você possa usar qualquer quantidade de ferramentas
seu CI-CD ou fora disso, e ganhar um data link, data link muito forte, em standardizado,para você não tenha que normalizar.
(32:07):
Enquanto construímos o Smithy Pro e testou com vários parceiros, acabamos de precisarcriar front-ends, principalmente de e de
nossos partilheiros continuaram a ser perguntados se eles puderiam provar que eles fizeramescaneio.
(32:27):
E não podiam fazer isso para que satisfassem um auditor ou eles tinham que entrar e juntarevidências manualmente.
Eles também não sabiam como fazer tudo o empresas fazem, como fazer single sign-on,porque...
(32:47):
Temos que construir a front-end para coletar a evidência auditiva.
Temos que single sign-on.
Temos que fazer Smithy scale para 5 milhões de executos por dia.
Para fazer isso, temos que fazer cada executo paralisável para que possamos fazer maisinteligentes, como o Smart Schedule.
(33:11):
Todas essas coisas estão na Smithy Pro.
Além de alguns muito, muito caros.
na execução de AI, coisas como a AI On-Prem e coisas assim, que apenas empresas muitograndes precisarão, a maioria de nós, ou a das não, para que possamos servir casas ou
(33:37):
empresas que precisam, por exemplo, de remediação no on-premise, mais evidência, reuniçono on-premise, mais...
políticas e todas essas coisas que 99 % de não.
Então, Smithy Free, Smithy Open Source, SDK, basic workflows, que cobram a maioria dasSmithy Pro, automação end-to-end, crie os workflows sozinhos, fixe, conecte com as
(34:09):
plataformas muito caras que você, se tiver dinheiro para pagar,
Você pode também pagar algo extra para Smithy.
E isso ajuda pessoas que querem ser completamente sem interesse, não querem se
Eu assumo que o SaaS também, ou você tem de on-prem?
(34:30):
o Sassour OR On-Prem e é a única solução, pelo menos eu sei e eu pesquiso bastante, quefaz isso.
Cool, isso muito legal.
Eu vou sozinho, verdade.
Só para eu dizer, eu tenho isso.
Eu não desenvolvo Não, é engraçado porque eu já mesmo a companhia que hoje, nós temos 12,9, na reduzidos, 9 diferentes escanheiros.
(35:04):
É secreto, é SOS, SCA, aqui, ali e é...
Noites e orquestração.
Temos que definir, por exemplo, centralizado.
Temos que esconder todo o PR.
Não este PR, não esse PR, é todo PR.
E temos Bitbucket, GitLab, até o Search Save.
(35:29):
Tudo que você pode imaginar.
Então, quem pode integrar tudo e eu posso administrar lugar, qualquer PR que ele vaiencostar isso.
Trigar os seus scans, coletar todas datas, abrir um ticket no Jira, ou que E isso é o quepodem dizer, é desenho.
(35:50):
Tem muitas coisas por aí e elas não sabem como centralizar, porque em algum momento vocêprecisa de centralização.
É bem difícil de manajar todas essas atividades separadas.
Sim, você disse perfeitamente, você precisa do seu pânel seu centralizado, é isso.
Exatamente.
Eu tinha boss que dizia, imagina carro sem o dashboard.
(36:15):
Você não sabe a velocidade, o nível o que você Você pode ir de ponto A a ponto B semnenhum problema, mas você precisa dessas informações.
O limite etc.
Então, esse dashboard é o seu guia ao mesmo tempo que o seu código.
Se você tiver problemas, ele vai alertar você.
(36:35):
Upsec, não temos nenhum dashboard, certo?
Upsec, imagina carro onde toda a surface é um dashboard, também controle.
Você sepia pouco no seu prato e o carro muda a direção, certo?
Ou talvez o seu speedometer está no chão porque é onde esse particular produtor...
(37:02):
Uhum, uhum.
o speedometer, Porque não tudo feito pela mesma pessoa, não tem alguma pensão sobre isso.
É combinação como de Frankenstein, como Frankenstein.
E não nada para conectar tudo junto.
Por isso, você muda um pouco sítio e o carro se desliza.
(37:25):
Cool, cool analogy.
Spiros, I have one more point here.
Let me just run my introduction.
Temos a Dev May Cry, que sempre é o cast, o podcast, o guest e assim Sempre falamos algo.
(37:48):
Sabe esse momento lutamos contra os desenvolvedores?
Eu era desenvolvedor, eu ainda coding, mas agora somos segurança.
Sempre falamos algo divertido para fazer o desenvolvedor chorar.
Funcionário e O que faria os desenvolvedores chorarem?
Você pode pensar algo.
Eu tenho algo mente.
Seria algo assim.
todas as equipes da companhia A, teriam todos os scanners, por favor, os melhores scannersde SaaS, SCA, DAS, tudo.
(38:17):
Mas eles precisam manajar cada deles, todas as questões, separadamente.
Então, a solução é, 1.
Eles precisam ir ao seu dashboard ou para encontrar todas as questões, clicar nosdetalhes, depois voltar ao código para ver onde está e fixar e assim.
E depois você tem o DAS, que é outro, on-prem, que você precisa acessar somente com VM,sob VPN, e depois você precisa acessar isso.
(38:43):
Então você tem 13 diferentes ferramentas que você precisa acessar para se e encontrar suasvulnerabilidades e onde está o problema na sua aplicação.
Então esse seria o de dev-maker hoje para fazer os desenvolvedores rirem.
Às vezes eles precisam rir.
Ok, então eu vou construir a A é exatamente sua, com atuados.
(39:11):
Imagine um DAS que dá você vulnerabilidades enquanto você está Go.
E SAS que faz exatamente mesma coisa, tipo, é a minha Php 10, mas com uma SLA de criticalque ser resolvida dia.
Isso incrível.
(39:31):
Essa SLA dá esse sabor de desesperação.
Sem features, sem coisas sem tempo mais.
Você precisa parar tudo para lidar com essas falsas positivas e tudo isso.
Cool.
Talvez para fazer tudo melhor.
Todos esses poderiam ser exportados uma spreadsheet que eles precisam deslizar localmente.
(39:53):
E depois se administrar no Excel.
Ou PDF.
Excel é ainda mais fácil de navegar.
exatamente.
É perfeito.
Vamos fazer a vida mais Ok.
Cool.
Dois três episódios atrás, gente, havia um incrível Devon May Cry sobre a compreensão.
Ou, na sobre o treinamento.
Então você precisa assistir esse episódio.
Dois três episódios atrás, um dos nossos castes foi descrever isso sobre treinamentos.
(40:19):
É louco.
Eu já no primeiro sentado que ele disse.
Você vai para o treinamento e você vê como o slide 1, 50.
Então você precisa ir mais de horas de treino.
Cool.
Spiros, acho que estamos na hora.
Obrigado por se juntar, por compartilhar toda essa valiosa.
(40:40):
Acho que Smitty tem muita potencial.
E, por certeza, eu vou discutir com o meu time.
Gente, nós temos potencial aqui.
Vamos ver o que pode ser um benefício para nós.
Qualquer mensagem qualquer adviamento qualquer beijo ou abraço para a família, eu não sei.
Fui.
Não realmente.
(41:01):
O último mensagem, eu acho, que tem que ser apenas como precisa ser.
Se você automata agressivamente tudo e se você não tem medo de vulnerabilidades, você podefazer sua vida significativamente mais além da vida de aqueles que você serve, que é de
(41:25):
engenharia da companhia.
pessoas que realmente fazem o dinheiro.
não tenha medo de ser agressivo em automação e não tenha medo de ser agressivo em redução
Cool!
Obrigado por isso de novo.
Eu acredito que vemos a mim.
Audiences, você, claro, você já convidado para o próximo episódio.
(41:48):
Mas eu acredito que vamos ver todos no próximo episódio.
Te vejo na próxima semana.
Espero que eu não sozinho de sem o Marcos e o Só minha voz é mais divertida.
Gente, te vejo.
Spiros, obrigado mais uma vez.
Muito Kassir.
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
The Joe Rogan Experience
The official podcast of comedian Joe Rogan.
24/7 News: The Latest
The latest news in 4 minutes updated every hour, every day.