July 16, 2025 • 46 mins
No episódio de hoje do DevSecOps Podcast, recebemos a enigmática e afiada Mulher das Cobras para uma conversa sem rodeios sobre Cultura de Segurança no Desenvolvimento de Software. Discutimos como segurança vai muito além de ferramentas e checklists — é comportamento, mentalidade e hábito. Falamos de erros comuns, sabotagens internas e o papel (ignorado) da liderança técnica. Uma aula de cultura, com veneno na medida certa.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:29):
Olá, pessoal!
Sejam muito bem-vindos.
Que prazer estar de volta, apesar de alguns dias de pausa...
dias não, né?
Semanas de pausa.
Porque a agenda é a coisa mais complicada que tem.
Nunca imaginei que fosse tão difícil gerenciar a agenda.
Quatro pessoas...
a minha já difícil, aí eu tenho que conciliar com a do Marcos, com a do Benyur, mais aconvidada de hoje, que daqui a pouco a gente vai apresentar ela.
(00:50):
Enfim, é o caos, mas deve ser copo, podcast, não para.
Produção, vê se você lembra aí.
175 episódios.
É muito episódio, Dá pra chamar isso aqui de Friends, já, ou Lost.
Só os mais velhos vão pegar a referência.
(01:10):
Ou então de Grey's Anatomy, Grey's Anatomy também, tem 300 temporadas o negócio.
Enfim, eu sou Casper Eira.
Eu sou o Benhur.
E eu sou Marcos Santos.
Boa, time completo hoje, daqui a pouco a vai apresentar a convidada e eu tô sem as minhascolas hoje os nossos patrocinadores, mas eu lembro de cabeça Nova 8 distribuidora da Sneak
(01:30):
do Brasil, então você tá procurando aí solução de AppSec, fala com o pessoal da Nova 8,tem o link lá na descrição do YouTube e também no devecicopspodcast.com.br.
Tem também a DigitalWoke que tem portfólio completo de soluções de AppSec pra você e nãose esqueça da Purple Bird Security.
que vai te ajudar com seus incidentes.
(01:51):
tem problema?
Já tomou porrada?
Já tomou ataque?
Vai falar com a Purple Board que pessoal vai ajudar você.
Fala, Marcos.
Quer falar?
faltou a gold security também
Gold Security, Gold Security, tá aí, eles caras tão aí meio enrolados, mas tão aí, tão aí.
E eu tô falando de checkmax também.
Checkmars, boa.
Checkmars também parceira junto com a Nova 8 no Brasil, subredor oficial.
(02:13):
Muito bem, muito bem.
Você está atento, Apesar de não estar faltando nos episódios, mas está ligadinho, né?
só cara mesmo.
Boa.
Pessoal, antes de introduzir a nossa convidada de hoje, a gente falar sobre um tema bacanahoje, que tema que eu gosto bastante, inclusive, que é sobre cultura, cultura de
segurança, cultura do desenvolvimento seguro, ou cultura de segurança no desenvolvimento.
(02:35):
Acho que tem uma margem ainda para esse tópico.
Ainda se discute cultura e por que.
A vai tentar entender pouco disso hoje com insights maravilhosos do nosso mestre BenyurMarcos, meu e claro da nossa convidada.
Juliana Gaiuso, espero ter pronunciado correto o nome, que cada hora tem nome, aparecemuns nomes aqui.
(02:57):
Juliana Gaiuso, muito obrigada pelo tempo, foi caos pra gente achar essa agenda, masachamos, estamos aqui.
Só tenho a agradecer pela disponibilidade.
Fique à vontade pra se apresentar, falar pro pessoal quem você é, de onde você veio, deonde você vai, e a gente entra no tema e começa a bater palma.
Oi, meu nome Juliana, eu trabalho com desenvolvimento.
(03:21):
Eu fiquei surpresa porque eu descobri que o programa é 24 anos.
É mais velho que muita gente, mais tempo de programação, de muitas pessoas que trabalhamcomigo.
Trabalho efetivamente com alguma coisa ligada a desenvolvimento há 15 anos.
(03:46):
E com segurança já há uns três, quatro anos.
Hoje eu trabalho com a MAPSEC em sistema financeiro.
Sempre trabalhei no sistema financeiro.
É isso.
Boa, muito bom.
Eu já tenho uma pergunta curiosa.
Por que Mulher das Cobras?
Porque a Juliana, a gente conheceu ela lá no Twitter.
(04:08):
O Twitter vira e mexe só traz merda, mas muitas vezes tem gente boa lá.
É o caso do sushi com abacate, vamos lembrar aí, produção do sushi, o cangaceiro que agravou há dois, três episódios atrás, e a Mulher das Cobras.
Por que Mulher das Cobras?
Então, é porque eu tenho um braço fechado com tatuagem de cobra.
(04:28):
E aí dia eu tava evento, e cara se referenciava a mim e ele não lembrava meu nome.
E ele falou, sabe, é a mulher das cobras.
Aí meus amigos ficaram enxantados me chamando assim.
Aí ficou.
Pegou.
Não, eu programo Python também, mas não é...
(04:49):
Não, Python nem é tipo...
minha linguagem que eu mais gosto ou que eu mais programei.
Boa, boa, mas tá ali, gente mexe com...
Todo mundo mexe com Python.
Quem é de segurança mexe com Python, não tem como, né?
Bom, beleza.
Pessoal, eu já tenho umas perguntas aqui.
Se vocês querem começar aí, Marcos, Benur, se vocês querem introduzir, porque eu já...
Mano, é pé no peito aqui já.
Não, então mete o pé no peito aí amiguinho.
(05:11):
bala
Pergunta pra Juliana é, quais os desafios de ainda, porque que gente ainda fala de culturade segurança?
Não é tão óbvio que a gente tem que pôr o de segurança quando entra no carro?
Não é a mesma coisa também no desenvolvimento de software, né?
Não é só pôr o cinto de segurança?
Como é que você vê isso aí?
Então, eu tenho uma opinião muito controvérsia sobre isso, que a maior parte dos devsacham que entendem segurança.
(05:37):
E quando eu falo, acham, não é que tipo, eles não sabem.
É que eles não sabem o suficiente.
Tipo, eles têm uma noção que é mais do que a maior parte das pessoas do geral têm.
Aí eles têm a impressão entre eles que eles sabem muito.
E aí eles não querem, de certa forma, perder tempo com isso.
Eles não querem falar assim, não, eu não preciso fazer o Secret Champions, eu não precisoparar pra estudar porque eu já senti isso grossa, eu já entendi.
(06:05):
E aí a parte mais difícil, a barreira mais difícil, é você convencer eles de que precisaacertar e estudar.
Porque eles não querem, tipo, eles acham que o que eles sabem é...
é suficiente.
E eu falo que isso é controvérsio porque se você falar isso pra deve eles já vão vir com10 pedras na mão pra jogar esse vídeo.
(06:27):
Boa, boa, boa, boa apimentada aí pra introduzir.
O que você acha, Benyur?
Deve ter o ego maior que o nosso de segurança?
impossível a gente é terrível a gente é terrível só aquele esquema só do fato de a genteolhar para os caras se dizer seus egos são terríveis já é jogo de ego entendeu então mas
(06:52):
mas eu concordo uma coisa que juliana demais assim que é hoje os devs eles todo mundo aquitodo mundo aqui já foi def de alguma forma né
Então eu fui de dev por muito tempo, o Cassio também, o Marcos também tem ali.
Então a gente sabe que o desenvolver é uma ação criativa.
(07:15):
E uma issue de segurança, ou um bug, um bug qualquer, é tocar uma pedra nessa criação queele tá fazendo.
Então o cara leva até certo tempo de experiência, e ele diz, putz, deixei isso aquipassar.
Só que hoje no cenário a gente também tá num mundo onde o cenário competitivo...
(07:44):
para conseguir uma vaga dentro da RTI, ela está muito agressiva.
Isso faz com que cada erro que gente acaba vendo, acabe complicando pouquinho mais aquelamaturidade do tipo, putz cara, errei, realmente não sabia, foi mal e começa tudo a ser
visto como uma ameaça.
Então eu concordo que...
(08:08):
Fica um pouco mais difícil de lidar e você ir lá e dizer que cara o cara tem um erro, ocara tem problema, cara fez algo errado né mas uma coisa é certa ele não conhece tudo de
segurança e acredito eu que nunca vai conhecer né porque ele está lá para desenvolversoftware, está lá para criar solução né e aí
(08:34):
aquele esquema né o quanto que eu preciso que ele conheça de segurança que é o bom e velhocara se puder não deixe se toquem aqui no código faça pouco pra gente entendeu e o quanto
que cabe a equipe especializada né de de epsec para resolver né e aí eu queria trazertambém uma uma visão pra essa pergunta depois da opinião pra gente passar por opinião pro
(09:00):
marcos ali
que é...
Juliana, depois vamos...
depois, se puder conversar pouquinho sobre o quanto que tem visto, o que tem crescido oconhecimento dos devs sobre segurança e que áreas eles estão conhecendo mais.
Mas primeiro eu quero ouvir pouquinho a opinião do Marco sobre sobre isso também.
(09:27):
Então eu vou falar pouquinho do mercado aqui de fora como que eu tô vendo hoje tá eu vejoque os desenvolvedores daqui fora eles têm uma certa resistência a aprender segurança tá
muitas vezes é coisa simples um scan injection por exemplo que gente pega na aplicação agente tem esforço muito grande para explicar ensinar senta do lado
(09:53):
Às vezes criam cursinho, criam PPT para poder passar a língua de uma maneira maisdidática, faz workshop e mesmo assim esse desenvolvedor tende a cometer o erro novamente.
o desenvolvedor aqui fora eu vejo que ele tem uma resistência maior, não sei se por ego,como a falou o ego de segurança é muito maior né, mas o desenvolvedor ele tende a demorar
(10:17):
mais para captar o recado de que não é para fazer aquilo.
E aqui também tem um...
Então a questão de que a ignorância não funciona.
Então no Brasil eu chegaria e falo, ô seu burro, filho da puta, você tá fazendo esse CareInjection.
Dá pra você parar com essa caralha?
Aqui eu não...
Exatamente.
Aqui se eu falo isso, cara nunca mais vai na minha cara e é capaz de eu receber ainda umanotificação por escrita.
(10:44):
Então a comunicação aqui tem que ser de uma maneira mais letárgica.
Então você tem que falar com a pessoa de uma maneira...
mais devagar, mais orientada, exatamente, mais documental também e nem sempre efetiva evocê não consegue os resultados que você espera.
(11:05):
eu sinto que a cultura aqui fora é pouco mais complicada de aplicar do que dentro doBrasil, né?
Mas aí agora eu vou nem comentar, seguir na próxima pergunta pra Juliana, é o seguinte,tá, o David acha que sabe tudo, a gente tem certeza que gente sabe tudo, A gente ganhou na
briga do ego.
Mas por que então?
Aí como é que você enxerga isso?
Talvez a gente não saiba o porquê, né?
(11:26):
Mas porque o David, beleza, ele acha que sabe tudo, ele não precisa de você me ensinandoou entrando no meu processo.
E quando a gente define então gates ou barreiras, olha, vai ter um scan, vai bloquear opull request, vai acontecer isso...
não, eu também não quero.
Ele nem quer aprender sobre aquilo e nem quer que outros façam algo sobre o código dele,sobre a aplicação dele, que nem é dele.
(11:48):
Vamos abstrair que é da empresa.
Eu nem quero aprender sobre segurança e nem quero que você faça segurança para mim.
Como é que isso aí?
Ele nem quer ir no médico, nem quer que ninguém cuide de mim.
Como é que isso funciona?
Como que você enxerga isso?
Porque acaba sendo um tolo, né?
negócio tolo.
Eu bati dos devs agora eu vou defender eles, tá?
(12:12):
Não, é porque assim, o dev também, tipo, mesmo jeito que a gente tem pressão cima dagente, o dev também tem pressão cima dele pra entregar.
E querendo ou não, quando você vai colocar, quando você coloca ali date de segurança,quando você cobra que eles tenham mais atenção com segurança no código, isso leva tempo.
(12:32):
Se, tipo...
Por isso que uma coisa que para mim dá muito certo, é muito além de ganhar a confiança dosdevs, ganhar a confiança através da educação e segurança de quem é PM, de quem é os
executivos da áreas, que vão ter que entender que talvez uma entrega vai demorar poucomais, porque a gente vai ter que ter atenção com segurança ali naquele ponto, para que
(13:00):
eles sejam pouco mais maleáveis com o deve.
para a fronteira de capital, se ele vai ter que parar, talvez ele não vai conseguir subiro pull request que ele subiria dia, porque ele vai ter que tratar aquela vulnerabilidade
aqui.
Mas para mim é melhor tratar essa vulnerabilidade em tempo de desenvolvimento do que lá nafrente ter que voltar para corrigir essa vulnerabilidade já com o processo de
(13:21):
vulnerabilidade aberto.
Porque o deve sente essa pressão.
Mas aí eu vou devolver uma provocação agora também pro time.
Pra todos, Eu vejo o Twitter mesmo, você chacoalhar ali, cai uns 50, É umas discussõesassim de, porque...
(13:44):
Camel case ou Pascal case?
Pode usar Elce, não pode usar Elce.
E assim, vai...
lá, acabou, virou, acabou, acabou.
É o mesmo tempo que você fica três horas cagando, scrollando no Instagram...
é esse tipo de discussão inútil.
Até ter uma utilidade técnica ali, vai, não é 100 % inútil, mas não é talvez relevantepara esse contexto.
(14:05):
aí, qual é a provocação aqui?
Não faria sentido enquanto profissional, enquanto profissional, sei lá, você pegaCristiano Ronaldo da vida, ele é atleta, ele precisa cuidar do corpo, ele precisa cuidar
da alimentação, precisa estar bem da cabeça, precisa...
ele se cuida.
O deve não é parte inerente do trabalho dele, segurança.
(14:26):
E aí faria parte desse profissional, pera, deixa eu buscar pouco mais aqui.
Ainda que eu tenho o ego, eu...
Aí que eu quero entender mais, saber mais, ao invés de engajar discussões.
Talvez eu esteja pegando o pior exemplo que é o Twitter, mas no mundo real também vejo asmesmas discussões inúteis da galera discutindo umas paradas que você fala, caralho, pra
quê?
E não tá discutindo coisas do tipo, poxa, por que que estão fazendo isso com o meu código?
(14:51):
Olha, que interessante esse resultado do SAST.
Olha, uma vulnerabilidade aqui, uma vulnerabilidade ali, enfim.
Então talvez essa provocação aí, Marcos, se quiser comentar, por que que tem essadedicação em coisas talvez inúteis e não uma dedicação como profissional, algo que talvez
faça sentido?
(15:11):
Todos nós temos falhas com isso, mas como é você vê isso?
Eu nem acho que é isso, que assim, o dev tudo bem, ele tem uma pressão ali pra fazer asentregas ele...
E realmente também uma pressão muito grande pra entregar as coisas dentro do prazo e tudomais Só que eu vejo também que os devs perdem muito tempo coisas inúteis ao mesmo tempo
que eles poderiam estar estudando, igual você falou Quantas vezes eu não precisei passar aorientação aqui do cara, sei lá, estar com SSRF Ou as vezes até o Tolkien chumbado ali e o
(15:41):
cara tava...
Muitas vezes vou no YouTube, ou tava ali navegando no Twitter, ou tava mexendo alguma redesocial específica.
Então o tempo que ele perde ali, cara, ele perde pelo menos duas horas de trabalho por diaali coisas inúteis.
É, todos nós, todos nós, todos nós, não é só o deve.
(16:03):
Não, não.
o pessoal tem uma pressão certa, eu concordo.
Mas às vezes você já sabe que tem essa pressão, não faz sentido ser sou profissionalmelhor pra você aliviar essa pressão que vai vir de qualquer jeito.
Não só isso.
Não, não, pode seguir, É.
Não, é que eu ia falar que tá, ele tem realmente que ter essa prioridade, só porque não éuma defesa totalmente, só porque a gente tem que entender a gente como segurança, que a
(16:32):
gente só olha pra segurança.
Então claro que 100 % do tempo a gente tá ali focado segurança.
Eu acho que os devs deveriam realmente, tipo, focar mais segurança, e sendo sincera, euacho que tá melhorando muito.
as pessoas falam mais, as pessoas cobram mais.
Do que era, por exemplo, era deve uns anos atrás, gente não tinha tanta pressão comsegurança assim.
(16:54):
Hoje é muito mais cobrado.
Só porque, além disso, eles têm que ter atenção com outras coisas também.
A gente volta no ponto que, eu acho que foi o Ben Hur que tinha falado, que o deve, eletem outras obrigações dele.
Tipo, ele não é a pessoa que está 100 % focada segurança.
Eu acho que a obrigação do Dave é muito mais entender os pontos de segurança e atender agente sem ser uma pessoa de má vontade do que ficar ali realmente 100 % tempo a cada
(17:27):
segurança.
Até porque ele nem vai ficar 100 % focado porque não é o trabalho dele de fato.
Mas acho que é o que você comentou no começo, às vezes é ele olhar pouco para a segurançaporque também é responsabilidade.
Porque querendo ou não, falar uma frase bem simples de entender.
Querendo ou não, é o deve que cria o bug.
É o deve que cria a vulnerabilidade.
Ponto.
(17:47):
Se ele está fazendo propositalmente ou não, são outros 500, mas ele que cria.
Então é inerente a profissão dele de olhar para isso.
Mas aí, uma próxima provocação agora, que é a seguinte.
Muitas empresas têm diversos processos e culturas, cultura agile, porque todo mundo agoraé cultura ágil.
Então o que desenvolver com sprint, é o Scrum, é a caralho que for.
(18:08):
Perfeito, lindo e maravilhoso.
Então não seria a culpa da empresa não ter essa cultura de segurança e fazer com que asoutras pessoas lá trabalhando sigam isso?
Porque essa empresa fala, empresa que eu digo, alguém é dono, né?
Empresa privada tem dono, tem acionista, tem um CEO.
fala, olha, a empresa é minha.
as coisas acontecem aqui como eu quero ou como os acionistas definem ou como o businessdefine.
(18:33):
Isso quer dizer que para o nosso negócio a gente não entrega software com vandalidadescríticas, por exemplo.
Tá, então foi definido isso por quem manda, o resto obedece.
Eu vejo isso pra mim aí, Benyur talvez um comentário teu né, por que a galera perdeu essesenso de obediência, saca?
(18:54):
Cara, se eu sou funcionário, eu sou o cara de segurança, eu vou lá e falo, tem risco naempresa.
O CEO vai falar, beleza, obrigado pelo aviso do risco, eu vou continuar seguindo o risco.
Fiz o meu trabalho, ele que tomou a decisão.
Mas eu vejo, e aí muitas vezes o time de segurança achando que é o dono da empresa e otime de deve achando que o dono da empresa.
Ah não, tem vulnerabilidade?
Beleza, mas não vou corrigir porque a prioridade é entrega.
(19:14):
E eu vou falar, não, tem que corrigir porque a prioridade é a segurança.
Mas no fim das contas, nenhum de nós decide.
Então eu acho que perdeu-se pouco desse senso de hierarquia, não é obediência, nãohierarquia, saca?
sei lá, como vocês veem isso aí?
cara até fazendo um comentário cima foi igual a juliana falant que era até piorantigamente quantas features request não deixou passar com o b.o de segurança e ninguém te
(19:41):
cobrou?
cassio duvido que ninguém deixou passar cara eu deixei várias passagens no meu passado sódeixei a hp ali nossa
Quem nunca?
O meu ponto é assim, acho que...
Tem pouco de verdade no que a Juliana falou, mas eu ainda acho que não está melhor do queantes.
Eu acho que está pior.
(20:02):
Meu feeling está pior.
eu acho que você tem sentimento por que migramos para a segurança.
Se não tivesse uns migrados, a gente ainda estaria na briga.
Eu acho que é aquela rixa, né?
Mas segue aí, Juliano.
Ando aí.
Não, é porque é uma coisa que tanto eu vejo muita gente de segurança que é uma coisa queeu considero eu muito grande, principalmente diante de tecnologia, as pessoas acham que o
(20:28):
código tem que ser perfeito, e 100 % clean code e código como estado da arte, e a genteesquece que no fundo tudo serve ao negócio.
Tipo, o mais importante é o negócio, porque o negócio é o que pagar a conta no final domês.
Então assim, é...
Eu quero sim que a gente não tenha vulnerabilidade crítica, mas às vezes eu vou ter queassumir risco alto.
(20:52):
Faz parte do negócio.
Eu gosto muito desse contexto, mas olha o perigo.
Quando a gente fala de um...
Então, mas...
Não, não, porrada, porrada.
Falei,
Porque assim, a gente tá falando da empresa com os modos ideais, com time de segurança, dedesenvolvimento, blá blá.
(21:15):
Eu passei por algumas empresas que nem sequer pensavam segurança.
Inclusive aqui na Alemanha também eu estou implementando segurança.
Os devs não estavam acostumados a ninguém caçar coisa no código deles.
Eu tô caçando agora e tá sendo trabalho do caceta.
Explicar, passar pro cara corrigir.
Imagina que software tem 30 anos de desenvolvimento e nunca ninguém caçou o bug desegurança ali.
(21:36):
nem precisa caçar, pula uma tela.
Então eu acho que a gente tem que pegar as empresas que já estão nos modos ideais, onde játem os times separados de uma maneira legal, tudo bonitinho, e essas empresas que estão
começando agora a implementar a segurança.
Acho que a cultura dentro desses dois mundos vão ser bem diferentes.
(21:58):
O meu ponto era o seguinte, o negócio tem sempre um propósito social por trás.
é só ganhar, é lógico, gerar grana.
Mas se eu tenho o e-commerce, eu estou vendendo um produto, esse produto para as pessoasusarem, ou produto para limpar a roupa delas, ou produto que vai alimentar elas, ou
produto que é de entretenimento.
Você tem uma função social.
(22:19):
Então quando eu como negócio negligencio a segurança, eu estou assumindo o risco deimpactar a sociedade também.
É igual bebê dirigir.
mas é o bebê dirigir.
Tá, mas você assume o risco de bater o carro e matar alguém, causar incidente mataralguém.
Não é só o seu prejuízo próprio.
Por isso que entre esse meu...
O que a Juliana falou eu concordo, mas eu acho que tem esse ponto de tá, o negócio elepaga as contas.
(22:44):
A funcionalidade tá no ar, mas trouxe uma vulnerabilidade que foi explorada num banco, porexemplo, e fez as pessoas perderem dinheiro.
Ou num serviço crítico que ficou offline por x tempo.
Então o impacto que isso causa, esse é o meu...
Eu não consigo ter essa aceitação ainda, entende?
Eu entendo seu ponto, e eu acho que essa é uma das partes mais difíceis do nosso trabalhocom o Mobsac, que é a gente mensurar como manter seguro para ele sem impactar no negócio.
(23:19):
a gente fala que o software é mais seguro, você quer software seguro e você tira datomada, não vai ter duvidade nenhuma.
Enquanto o software estiver lá online, vai ter alguma.
Tipo, hoje não tem, amanhã Mobsac tem, é alguém descobriu.
uma vulnerabilidade e uma dependência que você tem no seu código e pode ser usado paraexplorar.
Eu acho que isso é ponto de cultura para a gente, de segurança também, que a gente tambémtem que aceitar que é praticamente impossível ficar 100%.
(23:48):
Sim?
Eu tô no...
Eu tô no...
Fala bem, eu falo bem.
uma das coisas que eu vou jogar pouco a culpa pra gente que é eu fico na dúvida se de fatomuita gente não quer ouvir falar de segurança ou não entender o risco sabe porque por
(24:13):
exemplo assim ó a gente chega lá e vou dar uma lista pro cara de 40 dependências que eletem que atualizar
E daí ele te pergunta por que e tu fala porque é bom atualizar.
Eu acho que costuma causar pouco de atrito porque o que está entregando trabalho para ocara que muitas vezes pode levar para ele alguns dias úteis para ele conseguir atualizar
(24:38):
tudo que ele precisa porque assim ó vamos lá não vamos vamos lá não significa que opackage
tiver uma atualização minor, patching ou major version, digamos assim, não, mas é só umaatualização patch, só uma atualização da última parte, pequenininha, não vai quebrar o
(25:02):
código.
Não significa que o sem ver, definindo que um patch não quebra o código, que o cara queestá desenvolvendo e criando aquela biblioteca
sabe implementar isso e que não vai quebrar.
Já conheci vários casos em que teve upgrade na minor e o cara trocou funcionalidade cordado negócio, E não documentou break in change.
(25:34):
Não documentou break in change no código.
E aí tinha vulnerabilidade da biblioteca, precisou migrar a biblioteca, era minor, nãotinha break in change, migrou, quebrou e prod.
Tá?
Então assim, qual que a mensagem que fica no final?
Quebrou proje porque o pessoal de segurança pediu pra atualizar.
(25:57):
Exato, a culpa é nossa.
é a mensagem que vai lá no final.
Então assim, questão é cara, e às vezes seguinte é, a vulnerabilidade que Tic estava lá,que pedia para a atualizar a biblioteca, era de fato risco?
talvez o impacto do risco desse negócio seja algo relevante, precisava nem ter feitoatualização de fato.
(26:24):
Exato.
entendeu?
Saca?
Então...
Assuma pouco assim do lado da área de EPSEC que é...
Não a área de EPSEC, né?
A gente precisa levar melhor risco.
Entendeu?
E dá visibilidade daquilo que, olha, a gente não está priorizando isso aqui agora, porqueisso aqui a gente vai avaliar melhor.
(26:49):
para ver o que a gente apresenta até o momento.
Porque é muito fácil e segurança foi por muito tempo isso.
Pega o resultado de ferramenta de scan e cria os tickets automáticos para galera.
Toma aí, corrigem isso aqui.
Isso queimou muitas relações e ainda se tem muito sobre isso.
(27:13):
Mas esse é o ponto que eu falei que às vezes é tão importante como educar os devs, educare ter uma boa relação com o PM, com o PO, que é pra justamente gente conseguir, tanto a
gente entender o negócio e conseguir ter um trade melhor de como fazer, como também praquando a gente levar o ticket pros devs, eles terem o tempo suficiente pra testar e
(27:36):
realmente subir sem quebrar.
Porque, por exemplo, quando uma coisa quebra produção...
A culpa não é só de quem colocou aquilo produção, a culpa é do processo inteiro.
Não fez o meu gemude?
Não testou isso no ambiente apropriado antes?
Tipo, por que foi assim?
Era uma coisa realmente, tipo, você estava orgum e precisou subir assim?
O que aconteceu?
(27:58):
E se a gente não tem uma boa relação e a gente acusa isso, parece realmente que você estábrigando.
E ao contrário, quando você tem uma boa relação, você está ali junto construindo também.
Você vai assim, ó, por que eu quero fazer isso?
Porque eu quero testar, porque eu quero garantir que quando gente está subindo umaautorização de segurança, não vai quebrar nada, não vai interferir na...
(28:19):
Tipo, não vai cair, não vai alterar a funcionalidade, eu não vou estar gerando outroproblema quando eu estou corrigindo
porque nem todos os problemas de software são problemas seguros.
E até alguns comentários, até esse que o Ben Ruf comentou, eu acho que todos envolvidos noprocesso tem uma certa responsabilidade, mas um pacote que quebre em produção não tem como
(28:43):
não ser uma culpa direta de arquitetura barra de desenvolvimento.
Não tem como.
E até QA junto, Você passou por QA e não viu, né?
Mas, assim, é muito específico.
Agora, isso que tu falou bem, talvez nem existisse esse problema se o time de segurançaolhasse e falasse, não, calma, isso não é risco.
não vou nem gerar essa demanda, pronto, acabou, anulou ali.
(29:05):
é igual, olha, vai lá e pega o ônibus e vai pra tal lugar, aí o ônibus que você tava vai eexplode.
Puta, a culpa é minha que mandei você pegar o ônibus.
Mano, não, né?
A culpa é da motorista, do ônibus, sei lá o que, mas...
Pô, pega o avião, o avião cai, lá.
Então, tipo, não dá pra pôr a culpa nesse contexto aí específico que o Benyul colocou, maseu acho que cada vez mais tem feito sentido na minha cabeça a história do Epicec é o
(29:26):
médico, Sabe?
A pessoa vem no médico, você está com dor, o médico te recomenda, você vai lá e faz otratamento, mas ele não vai para casa com você, vê se você está tomando remédio no
horário, vê se você está indo para academia.
Você vai voltar depois uma consulta, ele vai falar que você melhorou ou não.
Se você voltar, e ponto, ele vai te aconselhar, sabe?
Mas ele não vai pegar na tua mão, ele é um médico.
Então eu tenho visto a PSEC cada vez mais dessa forma, tipo, olha, a gente faz os exames,análises, mostra os problemas, o que deve ser feito.
(29:54):
A gente é muito...
No nosso caso, era deve, muitas vezes ajuda como resolver, o médico nem isso faz, ele vaite falar, toma isso de 12 12 horas, né?
Mas ele não vai pôr na boca e fazer você engolir.
Então, mas no fim das contas, a decisão de ter aquele risco da sua saúde é tua, dopaciente.
Então, no nosso caso, o paciente é o business.
Não é o deve, não é a gente de segurança.
(30:16):
Mas o deve também tem que entender isso.
O paciente nem é ele.
Ele está junto nessa construção, que acho que a Juliana falou muito bem agora, deconstruir juntos.
O paciente é o negócio em si.
Só que aí entra essa pitada de lenha na fogueira que eu falei.
Se o negócio é crítico, é um banco, é uma infraestrutura crítica, não tem essa de não vou,não quero, estou afim.
(30:38):
Tipo, mano, vai fazer, pronto que acabou.
É esse o meu...
a minha ainda...
treta interna, né?
Que eu preciso entender de cara, como é que a gente aborda isso?
Por exemplo, quando você chega no médico e você tem uma doença grave.
O médico, se você não quer o tratamento, você tem que assinar o termo de ética,responsabilidade, porque se não o médico é culpado.
(31:01):
Cara, eu vi que você vai morrer daqui seis meses se não fizer uma cirurgia.
Não quero.
O médico fala, tá bom, assina aqui, tá tudo certo, segue a sua vida aí.
Nos próximos seis meses, né?
Então assim, você não tem a opção de não quero.
Por exemplo, quando eu trabalhei na ABB de robótica, a gente entregava software prafábrica, fábrica de carro, montadora, alimentícia, literalmente robôs que controlavam as
(31:23):
fábricas.
Então, tipo, robô daquele não podia parar, porque isso não impacta a produção do paísinteiro.
Ou usina, por exemplo, podia explodir, trazer um risco ali sério.
Não tem não vou ver, não vou fazer o scan, não quero corrigir.
Não tem essa.
Você vai, acabou.
O negócio manda isso.
Então, com cultura ou sem cultura, era a norma da empresa.
(31:44):
É isso que às vezes eu acho que falta pouco.
Eu vou usar essa palavra que ninguém gosta, Mas falta pouquinho de ditadura às vezes, né?
Falta ditadura ali, mano.
Não tem no quero, vou, vou ver.
Não tem essa, vai fazer e pronto, cabô, empresa é minha, Empresa é minha, eu que mando.
Acho que falta pouco, bom, enfim.
Acho que falta pouco.
da empresa minha, porque quando a gente está no setor público também tem segurança.
(32:07):
E também precisa ter hierarquia.
Eu acho que tanto deve quanto segurança, aí acho que gente começou bem o episódio falandode ego, Tanto deve quanto segurança, talvez coloquem os egos acima do bem maior que é o
próprio negócio, seja ele qual for.
Eu trabalhei e-commerce uma vez, não vou falar o nome específico, mas sei lá, vendecapinha de celular.
(32:29):
Imagina que caiu o e-commerce.
Qual o impacto na sociedade se as pessoas não compram capinha do celular?
Tipo, foda-se.
Foda-se.
Entre aspas, foda-se.
Agora...
Trabalhei na Serasa, por exemplo.
Qual o impacto da Serasa fora do ar?
Porra, toda a proteção de crédito no país inteira, ou bancos que eu trabalhei, você nãotem como opção de ficar fora do ar.
(32:52):
Então é essa jogada, tipo lá nas capinhas do celular, o pessoal podia falar, não vou fazerscan, não quero ver agora.
Tá bom, beleza.
O risco do negócio si é baixo, mas entende, tem uma certa inerência ao negócio.
Só pra pôr lenha na fogueira, não estão resolvendo nada aqui.
(33:16):
Juliana, pode comentar, eu tinha outra pergunta aqui, mas você pode comentar.
Eu ia fazer o contrário, queria trazer uma provocação para vocês.
Porque a falou assim, se só o aponta e você leva o ticket sem fazer, o que é a função doscan no final das contas?
Porque só instalar o scan e apresentar o ticket, isso gente consegue automatizar.
Você precisa de dive para automatizar isso uma vez e pronto, não precisa mais da gente.
(33:42):
Até onde a gente está realmente fazendo o que há trabalho?
Eu quero saber de vocês.
Marcos gosta de desligar logo à noite para economizar espaço.
Não, não, mas essa daí eu vou mandar pra bigger.
É isso aí,
Para mim, ferramentas são aceleradores.
(34:08):
Então, ferramenta resolve dois casos, mim.
Velocidade e escalabilidade.
Agora, quando a gente fala sobre qualidade, quando a gente fala sobre especificidade,
(34:29):
especialidade.
Vou dar exemplo.
A gente pode ter pego distintas issues dentro de scan.
A gente olha lá o backlog, scan nos repositórios, tem 800 issues.
Agora a questão é pelo que a gente está procurando?
O que que de fato expõe a gente ao risco?
(34:52):
Porque eu pegar monte de vulnerabilidade crítica que está Docker Container e dizer procara isso aqui é crítico, tem que resolver, a ferramenta vai apontar aquilo como crítico.
Agora tu vai pegar um container, esse container vai ter milhão de libs internas que temvulnerabilidade crítica que nunca vai ser chamada pela aplicação.
Que é o cenário atual, é o cenário real hoje.
(35:15):
Agora a questão é...
A gente souber, a gente precisa saber quais são, por exemplo, as vulnerabilidadescríticas, os maiores riscos e precisa endereçar para mitigar risco real.
Hoje eu ainda não vejo as ferramentas que tem no mercado sendo capaz de substituir umaárea de segurança para atingir esse objetivo.
(35:50):
elas ajudam muito a gente a cada vez tomar melhores decisões.
Então, exemplo, cara, eu quero saber o que de fato é crítico.
Beleza, isso aqui é tudo que tem crítico.
Agora eu preciso refinar com a minha expertise de dentro de casa.
O que eu tenho exposto para a internet?
Beleza, cara, a maioria do meu parque de tecnologia é Python.
(36:12):
E eu estou tendo muito problema de server size request forgery.
Por que eu estou tendo muito problema de sabedoria de request?
Aí começa o profissional de IPsec.
Por que eu estou tendo muito desse tipo de vulnerabilidade?
E aí tu chegar nesse porquê, e desse porquê.
Olha só, tá todo mundo usando a biblioteca default do Python dessa forma.
(36:35):
E é por isso que tá todo mundo tendo essa vulnerabilidade.
O que eu posso fazer?
para tentar mitigar essa classe de vulnerabilidade dentro do meu ecossistema.
Eu vou criar security default, eu vou criar uma regra customizada para tentar buscar issoaqui.
Eu vou jogar alguma coisa no plugin, na IDE do cara, entende?
(37:01):
E aí é onde eu acho que entra muito o profissional de upsac.
É quando ele começa a entender o porquê que a ferramenta está entregando aquele monte devulnerabilidade ali dentro.
E o que a gente vai fazer para baixar esse número?
Agora, tanto que sem ferramenta eu acho inviável esse trabalho.
Entende?
Aí eu acho que eu iria mais para Red Team e sem ferramenta também ficaria tão complicadotanto, né?
(37:26):
Mas para uma área de penteste ou coisa assim que a parte manual é tão importante quanto,para mim o profissional de upsets é, em resumo, saber o porquê estamos assim e o que nós
vamos fazer para isso não aparecer mais.
feito.
O comentário cima disso aí, Benyur, se a produção puder pegar pra gente aí, algumastemporadas atrás, a gente gravou, acho que foi na quarta temporada, lá com o pessoal do
(37:53):
Apiro, que é ESPM.
E recentemente eu fiz POK com eles de novo e ela chega nesse nível de...
Fazendo propaganda, Chega no nível que você falou, Benyur.
Você consegue, dos scans, introduzir com texto...
Essa é palavra chave, né?
Introduzir contexto naqueles findings.
Então tá, eu tenho as que ela injetam aqui.
(38:15):
Mas era uma aplicação que eu já classifiquei como um Low Business Impact pra mim.
E era uma aplicação que não tá exposta pra internet, nem tá na cloud, tá no meu ambienteon-premise.
Tá bom, só de você adicionar esses parâmetros, isso já te dá uma classificação X.
Agora, uma secret, numa API, exposta pra internet.
(38:35):
não é nuvem ou onde quer que seja, mas está exposta.
É uma secret válida, não é uma secret já inspirada.
Você vê que são três, quatro parâmetros que trazem uma criatividade muito maior para essasecret.
E é uma secret não é do Google Maps, é uma chave da AWS, sei lá.
Veja que todas essas informações num finding, nesse contexto por exemplo, aí sim é ticketdireto, uma mensagem para o cara no Teams, mano, resolve.
(39:02):
Do que, olha, a aplicação não está exposta.
é uma chave que tá inválida, mas é uma má prática.
Então o time ainda tá chumbando coisa no código.
a gente vai abordar isso, não abordar isso com ticket, com SLA.
A abordar isso numa talk, num almoço, agora uma circuito exposta numa API, uma chave deuma cloud nossa, pessoal que é diferente, percebe?
(39:23):
Então, lembra que o Apiro, acho que a gravou essa produção, consegui lembrar, porque é atemporada que foi, ele faz exatamente isso, trazendo esses contos.
textos prazixos, seja SACI, SCA, DAS, o que quer que seja, porque aí sim não só facilita,que você falou, acelera, escala o trabalho do AppSec, mas o AppSec ainda no fim é aquele
(39:45):
cara que vai saber como que ele aborda o time A ou o time B.
Juliana falou muito bem, o time A é uma galera já profissional, então eu abordo X.
O time B é time de juniors, eu abordo diferentemente.
E é uma aplicação que tem impacto com negócio, então eu nem vou pro time, eu já vou diretono management.
level acima sabe então na minha visão acho que o cara de epsec o time de epsec é esse caraque mastigaria os findings, mastiga os finds ou tempera os findings com o contexto de
(40:14):
negócio porque aí o resultado final é o risco que o Ben Roff falou muito bem né qual é orisco real risco é risco né?
qual é risco real disso que aconteceu?
produção tá lenta hoje produção, não achou os episódios?
tô esperando ser isso, só ter que falar foi 17 de dezembro do ano passado, dos últimosepisódios da...
(40:39):
Quinta temporada então, não isso?
Boa.
Boa.
Produção tá, produção aqui ganha bem pra isso, né, produção?
Pessoal, o tempo passa, o tempo voa.
Antes de encerrar, Juliano, você quer comentar alguma coisa?
Tem que ter um episódio 2 disso aqui, porque dá pra desenvolver treta, pra...
Nossa, vai ficar da hora.
(41:00):
Mas o tempo voou.
O que mais você quer falar, que nós queremos comentar pra gente encerrar?
É só tipo fazer um...
Eu acho que a gente também tem que fazer um meio a culpa, às vezes, que você tava falandode que a gente tem que falar.
Muitas vezes a gente não sabe falar sem acusar.
E aí a perde a...
Perde a boa vontade, assim, a gente tem que ser mais maleável também e aceitar o outrotambém.
(41:26):
É cultura é uma coisa que é contínua, igual segurança.
Não tem como parar.
A gente vai fazer hoje, educar e amanhã vai aparecer uma coisa nova, desafio novo.
É isso.
Eu acho que...
Eu adoro as analogias, acho que a história da academia, ela conecta muito bem com isso.
(41:51):
São poucas pessoas que de fato gostam de ir pra academia.
Poucas.
Eu sou dos que não gosto.
Mas eu vou, eu vou porque eu sei os benefícios, eu sei o que aquilo me traz no longoprazo.
Eu sou ansioso, eu quero ir pra academia hoje e amanhã, eu já quero estar trincadolevantando caminhão.
Eu sei que não é assim que funciona.
Então, entender esse processo, às sabe?
(42:11):
Eu preciso disso, isso é benéfico pra mim, E dedicar aquilo, tá?
que...
Acho que essa seria...
Antes de encerrar, na verdade antes, olha só, já ia esquecendo, Marcos.
Oh verdade, eu mei cry Mano, gritinho
o Benhur ama essa vinheta, cara.
(42:32):
Ele ama.
Vou colocar ela de Wingtone no celular dele.
Quando gente ligar, vai tocar o Devil May Cry.
O que a gente tem hoje para fazer os devils chorarem?
O que a gente tem hoje?
Alguém tem alguma ferramenta, algum prática, processo para fazer os devils chorarem?
Juliana, é quadro que a gente tem aqui de Devil May Cry, literalmente.
(42:53):
Coisas que a gente faria para o devils chorarem.
Fala aí, bem-vindo.
Eu acho que fazer aquela reunião, aquele ranking assim sabe?
Não, eu vou fazer programa de segurança, aí tu faz ranking.
Os top 3 pessoas que mais fizeram vulnerabilidade e as top 3 que mais deixaramvulnerabilidade.
Entendeu?
E aí tu põe os dois lados assim.
(43:15):
É uma coisa que pode render um processo legal, mas é um caso que...
Gosto!
fazer os devs chorar, obrigar eles a assistir uma apresentação de três horas com todas asmétricas de segurança do código que eles fizeram.
Boa!
Olha só!
Apresentação essa com Excel sem zoom.
Excel é aquelas letrinhas, 500 colunas.
(43:37):
É.
Aquele microfone rasgado, rachado, com áudio ruim,
Não, não, não, não, não, não, não, não, não, não, não, não, não, não, não, não, não, não,
(44:04):
Tipo, não vamos fazer...
Não precisa fazer o...
Nossa gente, eu sou mais eléxica e eu esqueço a palavra Não, não precisa fazer o expose dogit de quem subiu aquela linha de código Pega o código e...
nesse ranking acho que eu colocaria os três piores ainda, tipo já, dar o assine dotraining, o treinamento aquele que a falou nos episódios atrás, como é tinha que ser, que
(44:26):
é Devil May Cry também, que o cara não consegue dar next neck, ele tem que fazer os quiz etal, cara 8 horas só fazendo essa merda.
Aí no final...
eu piorar pouco aí.
Fazer tudo isso aí.
Não aqueles monitorzinhos de porteiro lá, de atores e polegadas, sabe?
Resolução 7620p.
(44:47):
Não, aí é uma boa se fosse digital.
Mas eu falei, se for presencial, o cara tem que estar olhando para a tela mesmo, o telãolá.
Então, malditório.
do curso, tu põe uma pergunta, uma só.
E se o cara errar, só mostra botãozinho.
Retake Curse.
E a pergunta tem que ser tirada do rodapé do primeiro slide.
(45:09):
E
É isso.
Sensacional, cara.
Devil May Cry de hoje foi...
Acho que tá campeão até agora.
Bom, pessoal, obrigado, Juliana, obrigado pelo tempo.
Mas vai ter ter parte dois, com certeza.
Esse tópico aqui é muito bom.
A gente só provocou, galera.
Não trouxemos solução nenhuma.
Só arrumamos treta pra gente postar no Twitter daqui a pouco.
(45:30):
Mas é isso, pessoal.
Obrigado.
Mais Deve Ser Caos Podcast.
Acho que é o episódio 175, se eu não tô enganado.
De qualquer forma, acompanhe a gente todas as redes sociais e plataformas.
Eu sou Casper Eri.
Eu sou o Benhor.
E eu sou Marcos Santos.
Bem, estivemos hoje com Juliana Gaioso, ou Mulher das Cobras, como preferido.
(45:50):
Então é isso, valeu pessoal, a se vê na semana que vem.
Valeu, pessoal!
abraço!
pessoal, beijo de luz!
Olá, pessoal!
Sejam muito bem-vindos.
Que prazer estar de volta, apesar de alguns dias de pausa...
dias não, né?
Semanas de pausa.
Porque a agenda é a coisa mais complicada que tem.
Nunca imaginei que fosse tão difícil gerenciar a agenda.
Quatro pessoas...
a minha já difícil, aí eu tenho que conciliar com a do Marcos, com a do Benyur, mais aconvidada de hoje, que daqui a pouco a gente vai apresentar ela.
(00:50):
Enfim, é o caos, mas deve ser copo, podcast, não para.
Produção, vê se você lembra aí.
175 episódios.
É muito episódio, Dá pra chamar isso aqui de Friends, já, ou Lost.
Só os mais velhos vão pegar a referência.
(01:10):
Ou então de Grey's Anatomy, Grey's Anatomy também, tem 300 temporadas o negócio.
Enfim, eu sou Casper Eira.
Eu sou o Benhur.
E eu sou Marcos Santos.
Boa, time completo hoje, daqui a pouco a vai apresentar a convidada e eu tô sem as minhascolas hoje os nossos patrocinadores, mas eu lembro de cabeça Nova 8 distribuidora da Sneak
(01:30):
do Brasil, então você tá procurando aí solução de AppSec, fala com o pessoal da Nova 8,tem o link lá na descrição do YouTube e também no devecicopspodcast.com.br.
Tem também a DigitalWoke que tem portfólio completo de soluções de AppSec pra você e nãose esqueça da Purple Bird Security.
que vai te ajudar com seus incidentes.
(01:51):
tem problema?
Já tomou porrada?
Já tomou ataque?
Vai falar com a Purple Board que pessoal vai ajudar você.
Fala, Marcos.
Quer falar?
faltou a gold security também
Gold Security, Gold Security, tá aí, eles caras tão aí meio enrolados, mas tão aí, tão aí.
E eu tô falando de checkmax também.
Checkmars, boa.
Checkmars também parceira junto com a Nova 8 no Brasil, subredor oficial.
(02:13):
Muito bem, muito bem.
Você está atento, Apesar de não estar faltando nos episódios, mas está ligadinho, né?
só cara mesmo.
Boa.
Pessoal, antes de introduzir a nossa convidada de hoje, a gente falar sobre um tema bacanahoje, que tema que eu gosto bastante, inclusive, que é sobre cultura, cultura de
segurança, cultura do desenvolvimento seguro, ou cultura de segurança no desenvolvimento.
(02:35):
Acho que tem uma margem ainda para esse tópico.
Ainda se discute cultura e por que.
A vai tentar entender pouco disso hoje com insights maravilhosos do nosso mestre BenyurMarcos, meu e claro da nossa convidada.
Juliana Gaiuso, espero ter pronunciado correto o nome, que cada hora tem nome, aparecemuns nomes aqui.
(02:57):
Juliana Gaiuso, muito obrigada pelo tempo, foi caos pra gente achar essa agenda, masachamos, estamos aqui.
Só tenho a agradecer pela disponibilidade.
Fique à vontade pra se apresentar, falar pro pessoal quem você é, de onde você veio, deonde você vai, e a gente entra no tema e começa a bater palma.
Oi, meu nome Juliana, eu trabalho com desenvolvimento.
(03:21):
Eu fiquei surpresa porque eu descobri que o programa é 24 anos.
É mais velho que muita gente, mais tempo de programação, de muitas pessoas que trabalhamcomigo.
Trabalho efetivamente com alguma coisa ligada a desenvolvimento há 15 anos.
(03:46):
E com segurança já há uns três, quatro anos.
Hoje eu trabalho com a MAPSEC em sistema financeiro.
Sempre trabalhei no sistema financeiro.
É isso.
Boa, muito bom.
Eu já tenho uma pergunta curiosa.
Por que Mulher das Cobras?
Porque a Juliana, a gente conheceu ela lá no Twitter.
(04:08):
O Twitter vira e mexe só traz merda, mas muitas vezes tem gente boa lá.
É o caso do sushi com abacate, vamos lembrar aí, produção do sushi, o cangaceiro que agravou há dois, três episódios atrás, e a Mulher das Cobras.
Por que Mulher das Cobras?
Então, é porque eu tenho um braço fechado com tatuagem de cobra.
(04:28):
E aí dia eu tava evento, e cara se referenciava a mim e ele não lembrava meu nome.
E ele falou, sabe, é a mulher das cobras.
Aí meus amigos ficaram enxantados me chamando assim.
Aí ficou.
Pegou.
Não, eu programo Python também, mas não é...
(04:49):
Não, Python nem é tipo...
minha linguagem que eu mais gosto ou que eu mais programei.
Boa, boa, mas tá ali, gente mexe com...
Todo mundo mexe com Python.
Quem é de segurança mexe com Python, não tem como, né?
Bom, beleza.
Pessoal, eu já tenho umas perguntas aqui.
Se vocês querem começar aí, Marcos, Benur, se vocês querem introduzir, porque eu já...
Mano, é pé no peito aqui já.
Não, então mete o pé no peito aí amiguinho.
(05:11):
bala
Pergunta pra Juliana é, quais os desafios de ainda, porque que gente ainda fala de culturade segurança?
Não é tão óbvio que a gente tem que pôr o de segurança quando entra no carro?
Não é a mesma coisa também no desenvolvimento de software, né?
Não é só pôr o cinto de segurança?
Como é que você vê isso aí?
Então, eu tenho uma opinião muito controvérsia sobre isso, que a maior parte dos devsacham que entendem segurança.
(05:37):
E quando eu falo, acham, não é que tipo, eles não sabem.
É que eles não sabem o suficiente.
Tipo, eles têm uma noção que é mais do que a maior parte das pessoas do geral têm.
Aí eles têm a impressão entre eles que eles sabem muito.
E aí eles não querem, de certa forma, perder tempo com isso.
Eles não querem falar assim, não, eu não preciso fazer o Secret Champions, eu não precisoparar pra estudar porque eu já senti isso grossa, eu já entendi.
(06:05):
E aí a parte mais difícil, a barreira mais difícil, é você convencer eles de que precisaacertar e estudar.
Porque eles não querem, tipo, eles acham que o que eles sabem é...
é suficiente.
E eu falo que isso é controvérsio porque se você falar isso pra deve eles já vão vir com10 pedras na mão pra jogar esse vídeo.
(06:27):
Boa, boa, boa, boa apimentada aí pra introduzir.
O que você acha, Benyur?
Deve ter o ego maior que o nosso de segurança?
impossível a gente é terrível a gente é terrível só aquele esquema só do fato de a genteolhar para os caras se dizer seus egos são terríveis já é jogo de ego entendeu então mas
(06:52):
mas eu concordo uma coisa que juliana demais assim que é hoje os devs eles todo mundo aquitodo mundo aqui já foi def de alguma forma né
Então eu fui de dev por muito tempo, o Cassio também, o Marcos também tem ali.
Então a gente sabe que o desenvolver é uma ação criativa.
(07:15):
E uma issue de segurança, ou um bug, um bug qualquer, é tocar uma pedra nessa criação queele tá fazendo.
Então o cara leva até certo tempo de experiência, e ele diz, putz, deixei isso aquipassar.
Só que hoje no cenário a gente também tá num mundo onde o cenário competitivo...
(07:44):
para conseguir uma vaga dentro da RTI, ela está muito agressiva.
Isso faz com que cada erro que gente acaba vendo, acabe complicando pouquinho mais aquelamaturidade do tipo, putz cara, errei, realmente não sabia, foi mal e começa tudo a ser
visto como uma ameaça.
Então eu concordo que...
(08:08):
Fica um pouco mais difícil de lidar e você ir lá e dizer que cara o cara tem um erro, ocara tem problema, cara fez algo errado né mas uma coisa é certa ele não conhece tudo de
segurança e acredito eu que nunca vai conhecer né porque ele está lá para desenvolversoftware, está lá para criar solução né e aí
(08:34):
aquele esquema né o quanto que eu preciso que ele conheça de segurança que é o bom e velhocara se puder não deixe se toquem aqui no código faça pouco pra gente entendeu e o quanto
que cabe a equipe especializada né de de epsec para resolver né e aí eu queria trazertambém uma uma visão pra essa pergunta depois da opinião pra gente passar por opinião pro
(09:00):
marcos ali
que é...
Juliana, depois vamos...
depois, se puder conversar pouquinho sobre o quanto que tem visto, o que tem crescido oconhecimento dos devs sobre segurança e que áreas eles estão conhecendo mais.
Mas primeiro eu quero ouvir pouquinho a opinião do Marco sobre sobre isso também.
(09:27):
Então eu vou falar pouquinho do mercado aqui de fora como que eu tô vendo hoje tá eu vejoque os desenvolvedores daqui fora eles têm uma certa resistência a aprender segurança tá
muitas vezes é coisa simples um scan injection por exemplo que gente pega na aplicação agente tem esforço muito grande para explicar ensinar senta do lado
(09:53):
Às vezes criam cursinho, criam PPT para poder passar a língua de uma maneira maisdidática, faz workshop e mesmo assim esse desenvolvedor tende a cometer o erro novamente.
o desenvolvedor aqui fora eu vejo que ele tem uma resistência maior, não sei se por ego,como a falou o ego de segurança é muito maior né, mas o desenvolvedor ele tende a demorar
(10:17):
mais para captar o recado de que não é para fazer aquilo.
E aqui também tem um...
Então a questão de que a ignorância não funciona.
Então no Brasil eu chegaria e falo, ô seu burro, filho da puta, você tá fazendo esse CareInjection.
Dá pra você parar com essa caralha?
Aqui eu não...
Exatamente.
Aqui se eu falo isso, cara nunca mais vai na minha cara e é capaz de eu receber ainda umanotificação por escrita.
(10:44):
Então a comunicação aqui tem que ser de uma maneira mais letárgica.
Então você tem que falar com a pessoa de uma maneira...
mais devagar, mais orientada, exatamente, mais documental também e nem sempre efetiva evocê não consegue os resultados que você espera.
(11:05):
eu sinto que a cultura aqui fora é pouco mais complicada de aplicar do que dentro doBrasil, né?
Mas aí agora eu vou nem comentar, seguir na próxima pergunta pra Juliana, é o seguinte,tá, o David acha que sabe tudo, a gente tem certeza que gente sabe tudo, A gente ganhou na
briga do ego.
Mas por que então?
Aí como é que você enxerga isso?
Talvez a gente não saiba o porquê, né?
(11:26):
Mas porque o David, beleza, ele acha que sabe tudo, ele não precisa de você me ensinandoou entrando no meu processo.
E quando a gente define então gates ou barreiras, olha, vai ter um scan, vai bloquear opull request, vai acontecer isso...
não, eu também não quero.
Ele nem quer aprender sobre aquilo e nem quer que outros façam algo sobre o código dele,sobre a aplicação dele, que nem é dele.
(11:48):
Vamos abstrair que é da empresa.
Eu nem quero aprender sobre segurança e nem quero que você faça segurança para mim.
Como é que isso aí?
Ele nem quer ir no médico, nem quer que ninguém cuide de mim.
Como é que isso funciona?
Como que você enxerga isso?
Porque acaba sendo um tolo, né?
negócio tolo.
Eu bati dos devs agora eu vou defender eles, tá?
(12:12):
Não, é porque assim, o dev também, tipo, mesmo jeito que a gente tem pressão cima dagente, o dev também tem pressão cima dele pra entregar.
E querendo ou não, quando você vai colocar, quando você coloca ali date de segurança,quando você cobra que eles tenham mais atenção com segurança no código, isso leva tempo.
(12:32):
Se, tipo...
Por isso que uma coisa que para mim dá muito certo, é muito além de ganhar a confiança dosdevs, ganhar a confiança através da educação e segurança de quem é PM, de quem é os
executivos da áreas, que vão ter que entender que talvez uma entrega vai demorar poucomais, porque a gente vai ter que ter atenção com segurança ali naquele ponto, para que
(13:00):
eles sejam pouco mais maleáveis com o deve.
para a fronteira de capital, se ele vai ter que parar, talvez ele não vai conseguir subiro pull request que ele subiria dia, porque ele vai ter que tratar aquela vulnerabilidade
aqui.
Mas para mim é melhor tratar essa vulnerabilidade em tempo de desenvolvimento do que lá nafrente ter que voltar para corrigir essa vulnerabilidade já com o processo de
(13:21):
vulnerabilidade aberto.
Porque o deve sente essa pressão.
Mas aí eu vou devolver uma provocação agora também pro time.
Pra todos, Eu vejo o Twitter mesmo, você chacoalhar ali, cai uns 50, É umas discussõesassim de, porque...
(13:44):
Camel case ou Pascal case?
Pode usar Elce, não pode usar Elce.
E assim, vai...
lá, acabou, virou, acabou, acabou.
É o mesmo tempo que você fica três horas cagando, scrollando no Instagram...
é esse tipo de discussão inútil.
Até ter uma utilidade técnica ali, vai, não é 100 % inútil, mas não é talvez relevantepara esse contexto.
(14:05):
aí, qual é a provocação aqui?
Não faria sentido enquanto profissional, enquanto profissional, sei lá, você pegaCristiano Ronaldo da vida, ele é atleta, ele precisa cuidar do corpo, ele precisa cuidar
da alimentação, precisa estar bem da cabeça, precisa...
ele se cuida.
O deve não é parte inerente do trabalho dele, segurança.
(14:26):
E aí faria parte desse profissional, pera, deixa eu buscar pouco mais aqui.
Ainda que eu tenho o ego, eu...
Aí que eu quero entender mais, saber mais, ao invés de engajar discussões.
Talvez eu esteja pegando o pior exemplo que é o Twitter, mas no mundo real também vejo asmesmas discussões inúteis da galera discutindo umas paradas que você fala, caralho, pra
quê?
E não tá discutindo coisas do tipo, poxa, por que que estão fazendo isso com o meu código?
(14:51):
Olha, que interessante esse resultado do SAST.
Olha, uma vulnerabilidade aqui, uma vulnerabilidade ali, enfim.
Então talvez essa provocação aí, Marcos, se quiser comentar, por que que tem essadedicação em coisas talvez inúteis e não uma dedicação como profissional, algo que talvez
faça sentido?
(15:11):
Todos nós temos falhas com isso, mas como é você vê isso?
Eu nem acho que é isso, que assim, o dev tudo bem, ele tem uma pressão ali pra fazer asentregas ele...
E realmente também uma pressão muito grande pra entregar as coisas dentro do prazo e tudomais Só que eu vejo também que os devs perdem muito tempo coisas inúteis ao mesmo tempo
que eles poderiam estar estudando, igual você falou Quantas vezes eu não precisei passar aorientação aqui do cara, sei lá, estar com SSRF Ou as vezes até o Tolkien chumbado ali e o
(15:41):
cara tava...
Muitas vezes vou no YouTube, ou tava ali navegando no Twitter, ou tava mexendo alguma redesocial específica.
Então o tempo que ele perde ali, cara, ele perde pelo menos duas horas de trabalho por diaali coisas inúteis.
É, todos nós, todos nós, todos nós, não é só o deve.
(16:03):
Não, não.
o pessoal tem uma pressão certa, eu concordo.
Mas às vezes você já sabe que tem essa pressão, não faz sentido ser sou profissionalmelhor pra você aliviar essa pressão que vai vir de qualquer jeito.
Não só isso.
Não, não, pode seguir, É.
Não, é que eu ia falar que tá, ele tem realmente que ter essa prioridade, só porque não éuma defesa totalmente, só porque a gente tem que entender a gente como segurança, que a
(16:32):
gente só olha pra segurança.
Então claro que 100 % do tempo a gente tá ali focado segurança.
Eu acho que os devs deveriam realmente, tipo, focar mais segurança, e sendo sincera, euacho que tá melhorando muito.
as pessoas falam mais, as pessoas cobram mais.
Do que era, por exemplo, era deve uns anos atrás, gente não tinha tanta pressão comsegurança assim.
(16:54):
Hoje é muito mais cobrado.
Só porque, além disso, eles têm que ter atenção com outras coisas também.
A gente volta no ponto que, eu acho que foi o Ben Hur que tinha falado, que o deve, eletem outras obrigações dele.
Tipo, ele não é a pessoa que está 100 % focada segurança.
Eu acho que a obrigação do Dave é muito mais entender os pontos de segurança e atender agente sem ser uma pessoa de má vontade do que ficar ali realmente 100 % tempo a cada
(17:27):
segurança.
Até porque ele nem vai ficar 100 % focado porque não é o trabalho dele de fato.
Mas acho que é o que você comentou no começo, às vezes é ele olhar pouco para a segurançaporque também é responsabilidade.
Porque querendo ou não, falar uma frase bem simples de entender.
Querendo ou não, é o deve que cria o bug.
É o deve que cria a vulnerabilidade.
Ponto.
(17:47):
Se ele está fazendo propositalmente ou não, são outros 500, mas ele que cria.
Então é inerente a profissão dele de olhar para isso.
Mas aí, uma próxima provocação agora, que é a seguinte.
Muitas empresas têm diversos processos e culturas, cultura agile, porque todo mundo agoraé cultura ágil.
Então o que desenvolver com sprint, é o Scrum, é a caralho que for.
(18:08):
Perfeito, lindo e maravilhoso.
Então não seria a culpa da empresa não ter essa cultura de segurança e fazer com que asoutras pessoas lá trabalhando sigam isso?
Porque essa empresa fala, empresa que eu digo, alguém é dono, né?
Empresa privada tem dono, tem acionista, tem um CEO.
fala, olha, a empresa é minha.
as coisas acontecem aqui como eu quero ou como os acionistas definem ou como o businessdefine.
(18:33):
Isso quer dizer que para o nosso negócio a gente não entrega software com vandalidadescríticas, por exemplo.
Tá, então foi definido isso por quem manda, o resto obedece.
Eu vejo isso pra mim aí, Benyur talvez um comentário teu né, por que a galera perdeu essesenso de obediência, saca?
(18:54):
Cara, se eu sou funcionário, eu sou o cara de segurança, eu vou lá e falo, tem risco naempresa.
O CEO vai falar, beleza, obrigado pelo aviso do risco, eu vou continuar seguindo o risco.
Fiz o meu trabalho, ele que tomou a decisão.
Mas eu vejo, e aí muitas vezes o time de segurança achando que é o dono da empresa e otime de deve achando que o dono da empresa.
Ah não, tem vulnerabilidade?
Beleza, mas não vou corrigir porque a prioridade é entrega.
(19:14):
E eu vou falar, não, tem que corrigir porque a prioridade é a segurança.
Mas no fim das contas, nenhum de nós decide.
Então eu acho que perdeu-se pouco desse senso de hierarquia, não é obediência, nãohierarquia, saca?
sei lá, como vocês veem isso aí?
cara até fazendo um comentário cima foi igual a juliana falant que era até piorantigamente quantas features request não deixou passar com o b.o de segurança e ninguém te
(19:41):
cobrou?
cassio duvido que ninguém deixou passar cara eu deixei várias passagens no meu passado sódeixei a hp ali nossa
Quem nunca?
O meu ponto é assim, acho que...
Tem pouco de verdade no que a Juliana falou, mas eu ainda acho que não está melhor do queantes.
Eu acho que está pior.
(20:02):
Meu feeling está pior.
eu acho que você tem sentimento por que migramos para a segurança.
Se não tivesse uns migrados, a gente ainda estaria na briga.
Eu acho que é aquela rixa, né?
Mas segue aí, Juliano.
Ando aí.
Não, é porque é uma coisa que tanto eu vejo muita gente de segurança que é uma coisa queeu considero eu muito grande, principalmente diante de tecnologia, as pessoas acham que o
(20:28):
código tem que ser perfeito, e 100 % clean code e código como estado da arte, e a genteesquece que no fundo tudo serve ao negócio.
Tipo, o mais importante é o negócio, porque o negócio é o que pagar a conta no final domês.
Então assim, é...
Eu quero sim que a gente não tenha vulnerabilidade crítica, mas às vezes eu vou ter queassumir risco alto.
(20:52):
Faz parte do negócio.
Eu gosto muito desse contexto, mas olha o perigo.
Quando a gente fala de um...
Então, mas...
Não, não, porrada, porrada.
Falei,
Porque assim, a gente tá falando da empresa com os modos ideais, com time de segurança, dedesenvolvimento, blá blá.
(21:15):
Eu passei por algumas empresas que nem sequer pensavam segurança.
Inclusive aqui na Alemanha também eu estou implementando segurança.
Os devs não estavam acostumados a ninguém caçar coisa no código deles.
Eu tô caçando agora e tá sendo trabalho do caceta.
Explicar, passar pro cara corrigir.
Imagina que software tem 30 anos de desenvolvimento e nunca ninguém caçou o bug desegurança ali.
(21:36):
nem precisa caçar, pula uma tela.
Então eu acho que a gente tem que pegar as empresas que já estão nos modos ideais, onde játem os times separados de uma maneira legal, tudo bonitinho, e essas empresas que estão
começando agora a implementar a segurança.
Acho que a cultura dentro desses dois mundos vão ser bem diferentes.
(21:58):
O meu ponto era o seguinte, o negócio tem sempre um propósito social por trás.
é só ganhar, é lógico, gerar grana.
Mas se eu tenho o e-commerce, eu estou vendendo um produto, esse produto para as pessoasusarem, ou produto para limpar a roupa delas, ou produto que vai alimentar elas, ou
produto que é de entretenimento.
Você tem uma função social.
(22:19):
Então quando eu como negócio negligencio a segurança, eu estou assumindo o risco deimpactar a sociedade também.
É igual bebê dirigir.
mas é o bebê dirigir.
Tá, mas você assume o risco de bater o carro e matar alguém, causar incidente mataralguém.
Não é só o seu prejuízo próprio.
Por isso que entre esse meu...
O que a Juliana falou eu concordo, mas eu acho que tem esse ponto de tá, o negócio elepaga as contas.
(22:44):
A funcionalidade tá no ar, mas trouxe uma vulnerabilidade que foi explorada num banco, porexemplo, e fez as pessoas perderem dinheiro.
Ou num serviço crítico que ficou offline por x tempo.
Então o impacto que isso causa, esse é o meu...
Eu não consigo ter essa aceitação ainda, entende?
Eu entendo seu ponto, e eu acho que essa é uma das partes mais difíceis do nosso trabalhocom o Mobsac, que é a gente mensurar como manter seguro para ele sem impactar no negócio.
(23:19):
a gente fala que o software é mais seguro, você quer software seguro e você tira datomada, não vai ter duvidade nenhuma.
Enquanto o software estiver lá online, vai ter alguma.
Tipo, hoje não tem, amanhã Mobsac tem, é alguém descobriu.
uma vulnerabilidade e uma dependência que você tem no seu código e pode ser usado paraexplorar.
Eu acho que isso é ponto de cultura para a gente, de segurança também, que a gente tambémtem que aceitar que é praticamente impossível ficar 100%.
(23:48):
Sim?
Eu tô no...
Eu tô no...
Fala bem, eu falo bem.
uma das coisas que eu vou jogar pouco a culpa pra gente que é eu fico na dúvida se de fatomuita gente não quer ouvir falar de segurança ou não entender o risco sabe porque por
(24:13):
exemplo assim ó a gente chega lá e vou dar uma lista pro cara de 40 dependências que eletem que atualizar
E daí ele te pergunta por que e tu fala porque é bom atualizar.
Eu acho que costuma causar pouco de atrito porque o que está entregando trabalho para ocara que muitas vezes pode levar para ele alguns dias úteis para ele conseguir atualizar
(24:38):
tudo que ele precisa porque assim ó vamos lá não vamos vamos lá não significa que opackage
tiver uma atualização minor, patching ou major version, digamos assim, não, mas é só umaatualização patch, só uma atualização da última parte, pequenininha, não vai quebrar o
(25:02):
código.
Não significa que o sem ver, definindo que um patch não quebra o código, que o cara queestá desenvolvendo e criando aquela biblioteca
sabe implementar isso e que não vai quebrar.
Já conheci vários casos em que teve upgrade na minor e o cara trocou funcionalidade cordado negócio, E não documentou break in change.
(25:34):
Não documentou break in change no código.
E aí tinha vulnerabilidade da biblioteca, precisou migrar a biblioteca, era minor, nãotinha break in change, migrou, quebrou e prod.
Tá?
Então assim, qual que a mensagem que fica no final?
Quebrou proje porque o pessoal de segurança pediu pra atualizar.
(25:57):
Exato, a culpa é nossa.
é a mensagem que vai lá no final.
Então assim, questão é cara, e às vezes seguinte é, a vulnerabilidade que Tic estava lá,que pedia para a atualizar a biblioteca, era de fato risco?
talvez o impacto do risco desse negócio seja algo relevante, precisava nem ter feitoatualização de fato.
(26:24):
Exato.
entendeu?
Saca?
Então...
Assuma pouco assim do lado da área de EPSEC que é...
Não a área de EPSEC, né?
A gente precisa levar melhor risco.
Entendeu?
E dá visibilidade daquilo que, olha, a gente não está priorizando isso aqui agora, porqueisso aqui a gente vai avaliar melhor.
(26:49):
para ver o que a gente apresenta até o momento.
Porque é muito fácil e segurança foi por muito tempo isso.
Pega o resultado de ferramenta de scan e cria os tickets automáticos para galera.
Toma aí, corrigem isso aqui.
Isso queimou muitas relações e ainda se tem muito sobre isso.
(27:13):
Mas esse é o ponto que eu falei que às vezes é tão importante como educar os devs, educare ter uma boa relação com o PM, com o PO, que é pra justamente gente conseguir, tanto a
gente entender o negócio e conseguir ter um trade melhor de como fazer, como também praquando a gente levar o ticket pros devs, eles terem o tempo suficiente pra testar e
(27:36):
realmente subir sem quebrar.
Porque, por exemplo, quando uma coisa quebra produção...
A culpa não é só de quem colocou aquilo produção, a culpa é do processo inteiro.
Não fez o meu gemude?
Não testou isso no ambiente apropriado antes?
Tipo, por que foi assim?
Era uma coisa realmente, tipo, você estava orgum e precisou subir assim?
O que aconteceu?
(27:58):
E se a gente não tem uma boa relação e a gente acusa isso, parece realmente que você estábrigando.
E ao contrário, quando você tem uma boa relação, você está ali junto construindo também.
Você vai assim, ó, por que eu quero fazer isso?
Porque eu quero testar, porque eu quero garantir que quando gente está subindo umaautorização de segurança, não vai quebrar nada, não vai interferir na...
(28:19):
Tipo, não vai cair, não vai alterar a funcionalidade, eu não vou estar gerando outroproblema quando eu estou corrigindo
porque nem todos os problemas de software são problemas seguros.
E até alguns comentários, até esse que o Ben Ruf comentou, eu acho que todos envolvidos noprocesso tem uma certa responsabilidade, mas um pacote que quebre em produção não tem como
(28:43):
não ser uma culpa direta de arquitetura barra de desenvolvimento.
Não tem como.
E até QA junto, Você passou por QA e não viu, né?
Mas, assim, é muito específico.
Agora, isso que tu falou bem, talvez nem existisse esse problema se o time de segurançaolhasse e falasse, não, calma, isso não é risco.
não vou nem gerar essa demanda, pronto, acabou, anulou ali.
(29:05):
é igual, olha, vai lá e pega o ônibus e vai pra tal lugar, aí o ônibus que você tava vai eexplode.
Puta, a culpa é minha que mandei você pegar o ônibus.
Mano, não, né?
A culpa é da motorista, do ônibus, sei lá o que, mas...
Pô, pega o avião, o avião cai, lá.
Então, tipo, não dá pra pôr a culpa nesse contexto aí específico que o Benyul colocou, maseu acho que cada vez mais tem feito sentido na minha cabeça a história do Epicec é o
(29:26):
médico, Sabe?
A pessoa vem no médico, você está com dor, o médico te recomenda, você vai lá e faz otratamento, mas ele não vai para casa com você, vê se você está tomando remédio no
horário, vê se você está indo para academia.
Você vai voltar depois uma consulta, ele vai falar que você melhorou ou não.
Se você voltar, e ponto, ele vai te aconselhar, sabe?
Mas ele não vai pegar na tua mão, ele é um médico.
Então eu tenho visto a PSEC cada vez mais dessa forma, tipo, olha, a gente faz os exames,análises, mostra os problemas, o que deve ser feito.
(29:54):
A gente é muito...
No nosso caso, era deve, muitas vezes ajuda como resolver, o médico nem isso faz, ele vaite falar, toma isso de 12 12 horas, né?
Mas ele não vai pôr na boca e fazer você engolir.
Então, mas no fim das contas, a decisão de ter aquele risco da sua saúde é tua, dopaciente.
Então, no nosso caso, o paciente é o business.
Não é o deve, não é a gente de segurança.
(30:16):
Mas o deve também tem que entender isso.
O paciente nem é ele.
Ele está junto nessa construção, que acho que a Juliana falou muito bem agora, deconstruir juntos.
O paciente é o negócio em si.
Só que aí entra essa pitada de lenha na fogueira que eu falei.
Se o negócio é crítico, é um banco, é uma infraestrutura crítica, não tem essa de não vou,não quero, estou afim.
(30:38):
Tipo, mano, vai fazer, pronto que acabou.
É esse o meu...
a minha ainda...
treta interna, né?
Que eu preciso entender de cara, como é que a gente aborda isso?
Por exemplo, quando você chega no médico e você tem uma doença grave.
O médico, se você não quer o tratamento, você tem que assinar o termo de ética,responsabilidade, porque se não o médico é culpado.
(31:01):
Cara, eu vi que você vai morrer daqui seis meses se não fizer uma cirurgia.
Não quero.
O médico fala, tá bom, assina aqui, tá tudo certo, segue a sua vida aí.
Nos próximos seis meses, né?
Então assim, você não tem a opção de não quero.
Por exemplo, quando eu trabalhei na ABB de robótica, a gente entregava software prafábrica, fábrica de carro, montadora, alimentícia, literalmente robôs que controlavam as
(31:23):
fábricas.
Então, tipo, robô daquele não podia parar, porque isso não impacta a produção do paísinteiro.
Ou usina, por exemplo, podia explodir, trazer um risco ali sério.
Não tem não vou ver, não vou fazer o scan, não quero corrigir.
Não tem essa.
Você vai, acabou.
O negócio manda isso.
Então, com cultura ou sem cultura, era a norma da empresa.
(31:44):
É isso que às vezes eu acho que falta pouco.
Eu vou usar essa palavra que ninguém gosta, Mas falta pouquinho de ditadura às vezes, né?
Falta ditadura ali, mano.
Não tem no quero, vou, vou ver.
Não tem essa, vai fazer e pronto, cabô, empresa é minha, Empresa é minha, eu que mando.
Acho que falta pouco, bom, enfim.
Acho que falta pouco.
da empresa minha, porque quando a gente está no setor público também tem segurança.
(32:07):
E também precisa ter hierarquia.
Eu acho que tanto deve quanto segurança, aí acho que gente começou bem o episódio falandode ego, Tanto deve quanto segurança, talvez coloquem os egos acima do bem maior que é o
próprio negócio, seja ele qual for.
Eu trabalhei e-commerce uma vez, não vou falar o nome específico, mas sei lá, vendecapinha de celular.
(32:29):
Imagina que caiu o e-commerce.
Qual o impacto na sociedade se as pessoas não compram capinha do celular?
Tipo, foda-se.
Foda-se.
Entre aspas, foda-se.
Agora...
Trabalhei na Serasa, por exemplo.
Qual o impacto da Serasa fora do ar?
Porra, toda a proteção de crédito no país inteira, ou bancos que eu trabalhei, você nãotem como opção de ficar fora do ar.
(32:52):
Então é essa jogada, tipo lá nas capinhas do celular, o pessoal podia falar, não vou fazerscan, não quero ver agora.
Tá bom, beleza.
O risco do negócio si é baixo, mas entende, tem uma certa inerência ao negócio.
Só pra pôr lenha na fogueira, não estão resolvendo nada aqui.
(33:16):
Juliana, pode comentar, eu tinha outra pergunta aqui, mas você pode comentar.
Eu ia fazer o contrário, queria trazer uma provocação para vocês.
Porque a falou assim, se só o aponta e você leva o ticket sem fazer, o que é a função doscan no final das contas?
Porque só instalar o scan e apresentar o ticket, isso gente consegue automatizar.
Você precisa de dive para automatizar isso uma vez e pronto, não precisa mais da gente.
(33:42):
Até onde a gente está realmente fazendo o que há trabalho?
Eu quero saber de vocês.
Marcos gosta de desligar logo à noite para economizar espaço.
Não, não, mas essa daí eu vou mandar pra bigger.
É isso aí,
Para mim, ferramentas são aceleradores.
(34:08):
Então, ferramenta resolve dois casos, mim.
Velocidade e escalabilidade.
Agora, quando a gente fala sobre qualidade, quando a gente fala sobre especificidade,
(34:29):
especialidade.
Vou dar exemplo.
A gente pode ter pego distintas issues dentro de scan.
A gente olha lá o backlog, scan nos repositórios, tem 800 issues.
Agora a questão é pelo que a gente está procurando?
O que que de fato expõe a gente ao risco?
(34:52):
Porque eu pegar monte de vulnerabilidade crítica que está Docker Container e dizer procara isso aqui é crítico, tem que resolver, a ferramenta vai apontar aquilo como crítico.
Agora tu vai pegar um container, esse container vai ter milhão de libs internas que temvulnerabilidade crítica que nunca vai ser chamada pela aplicação.
Que é o cenário atual, é o cenário real hoje.
(35:15):
Agora a questão é...
A gente souber, a gente precisa saber quais são, por exemplo, as vulnerabilidadescríticas, os maiores riscos e precisa endereçar para mitigar risco real.
Hoje eu ainda não vejo as ferramentas que tem no mercado sendo capaz de substituir umaárea de segurança para atingir esse objetivo.
(35:50):
elas ajudam muito a gente a cada vez tomar melhores decisões.
Então, exemplo, cara, eu quero saber o que de fato é crítico.
Beleza, isso aqui é tudo que tem crítico.
Agora eu preciso refinar com a minha expertise de dentro de casa.
O que eu tenho exposto para a internet?
Beleza, cara, a maioria do meu parque de tecnologia é Python.
(36:12):
E eu estou tendo muito problema de server size request forgery.
Por que eu estou tendo muito problema de sabedoria de request?
Aí começa o profissional de IPsec.
Por que eu estou tendo muito desse tipo de vulnerabilidade?
E aí tu chegar nesse porquê, e desse porquê.
Olha só, tá todo mundo usando a biblioteca default do Python dessa forma.
(36:35):
E é por isso que tá todo mundo tendo essa vulnerabilidade.
O que eu posso fazer?
para tentar mitigar essa classe de vulnerabilidade dentro do meu ecossistema.
Eu vou criar security default, eu vou criar uma regra customizada para tentar buscar issoaqui.
Eu vou jogar alguma coisa no plugin, na IDE do cara, entende?
(37:01):
E aí é onde eu acho que entra muito o profissional de upsac.
É quando ele começa a entender o porquê que a ferramenta está entregando aquele monte devulnerabilidade ali dentro.
E o que a gente vai fazer para baixar esse número?
Agora, tanto que sem ferramenta eu acho inviável esse trabalho.
Entende?
Aí eu acho que eu iria mais para Red Team e sem ferramenta também ficaria tão complicadotanto, né?
(37:26):
Mas para uma área de penteste ou coisa assim que a parte manual é tão importante quanto,para mim o profissional de upsets é, em resumo, saber o porquê estamos assim e o que nós
vamos fazer para isso não aparecer mais.
feito.
O comentário cima disso aí, Benyur, se a produção puder pegar pra gente aí, algumastemporadas atrás, a gente gravou, acho que foi na quarta temporada, lá com o pessoal do
(37:53):
Apiro, que é ESPM.
E recentemente eu fiz POK com eles de novo e ela chega nesse nível de...
Fazendo propaganda, Chega no nível que você falou, Benyur.
Você consegue, dos scans, introduzir com texto...
Essa é palavra chave, né?
Introduzir contexto naqueles findings.
Então tá, eu tenho as que ela injetam aqui.
(38:15):
Mas era uma aplicação que eu já classifiquei como um Low Business Impact pra mim.
E era uma aplicação que não tá exposta pra internet, nem tá na cloud, tá no meu ambienteon-premise.
Tá bom, só de você adicionar esses parâmetros, isso já te dá uma classificação X.
Agora, uma secret, numa API, exposta pra internet.
(38:35):
não é nuvem ou onde quer que seja, mas está exposta.
É uma secret válida, não é uma secret já inspirada.
Você vê que são três, quatro parâmetros que trazem uma criatividade muito maior para essasecret.
E é uma secret não é do Google Maps, é uma chave da AWS, sei lá.
Veja que todas essas informações num finding, nesse contexto por exemplo, aí sim é ticketdireto, uma mensagem para o cara no Teams, mano, resolve.
(39:02):
Do que, olha, a aplicação não está exposta.
é uma chave que tá inválida, mas é uma má prática.
Então o time ainda tá chumbando coisa no código.
a gente vai abordar isso, não abordar isso com ticket, com SLA.
A abordar isso numa talk, num almoço, agora uma circuito exposta numa API, uma chave deuma cloud nossa, pessoal que é diferente, percebe?
(39:23):
Então, lembra que o Apiro, acho que a gravou essa produção, consegui lembrar, porque é atemporada que foi, ele faz exatamente isso, trazendo esses contos.
textos prazixos, seja SACI, SCA, DAS, o que quer que seja, porque aí sim não só facilita,que você falou, acelera, escala o trabalho do AppSec, mas o AppSec ainda no fim é aquele
(39:45):
cara que vai saber como que ele aborda o time A ou o time B.
Juliana falou muito bem, o time A é uma galera já profissional, então eu abordo X.
O time B é time de juniors, eu abordo diferentemente.
E é uma aplicação que tem impacto com negócio, então eu nem vou pro time, eu já vou diretono management.
level acima sabe então na minha visão acho que o cara de epsec o time de epsec é esse caraque mastigaria os findings, mastiga os finds ou tempera os findings com o contexto de
(40:14):
negócio porque aí o resultado final é o risco que o Ben Roff falou muito bem né qual é orisco real risco é risco né?
qual é risco real disso que aconteceu?
produção tá lenta hoje produção, não achou os episódios?
tô esperando ser isso, só ter que falar foi 17 de dezembro do ano passado, dos últimosepisódios da...
(40:39):
Quinta temporada então, não isso?
Boa.
Boa.
Produção tá, produção aqui ganha bem pra isso, né, produção?
Pessoal, o tempo passa, o tempo voa.
Antes de encerrar, Juliano, você quer comentar alguma coisa?
Tem que ter um episódio 2 disso aqui, porque dá pra desenvolver treta, pra...
Nossa, vai ficar da hora.
(41:00):
Mas o tempo voou.
O que mais você quer falar, que nós queremos comentar pra gente encerrar?
É só tipo fazer um...
Eu acho que a gente também tem que fazer um meio a culpa, às vezes, que você tava falandode que a gente tem que falar.
Muitas vezes a gente não sabe falar sem acusar.
E aí a perde a...
Perde a boa vontade, assim, a gente tem que ser mais maleável também e aceitar o outrotambém.
(41:26):
É cultura é uma coisa que é contínua, igual segurança.
Não tem como parar.
A gente vai fazer hoje, educar e amanhã vai aparecer uma coisa nova, desafio novo.
É isso.
Eu acho que...
Eu adoro as analogias, acho que a história da academia, ela conecta muito bem com isso.
(41:51):
São poucas pessoas que de fato gostam de ir pra academia.
Poucas.
Eu sou dos que não gosto.
Mas eu vou, eu vou porque eu sei os benefícios, eu sei o que aquilo me traz no longoprazo.
Eu sou ansioso, eu quero ir pra academia hoje e amanhã, eu já quero estar trincadolevantando caminhão.
Eu sei que não é assim que funciona.
Então, entender esse processo, às sabe?
(42:11):
Eu preciso disso, isso é benéfico pra mim, E dedicar aquilo, tá?
que...
Acho que essa seria...
Antes de encerrar, na verdade antes, olha só, já ia esquecendo, Marcos.
Oh verdade, eu mei cry Mano, gritinho
o Benhur ama essa vinheta, cara.
(42:32):
Ele ama.
Vou colocar ela de Wingtone no celular dele.
Quando gente ligar, vai tocar o Devil May Cry.
O que a gente tem hoje para fazer os devils chorarem?
O que a gente tem hoje?
Alguém tem alguma ferramenta, algum prática, processo para fazer os devils chorarem?
Juliana, é quadro que a gente tem aqui de Devil May Cry, literalmente.
(42:53):
Coisas que a gente faria para o devils chorarem.
Fala aí, bem-vindo.
Eu acho que fazer aquela reunião, aquele ranking assim sabe?
Não, eu vou fazer programa de segurança, aí tu faz ranking.
Os top 3 pessoas que mais fizeram vulnerabilidade e as top 3 que mais deixaramvulnerabilidade.
Entendeu?
E aí tu põe os dois lados assim.
(43:15):
É uma coisa que pode render um processo legal, mas é um caso que...
Gosto!
fazer os devs chorar, obrigar eles a assistir uma apresentação de três horas com todas asmétricas de segurança do código que eles fizeram.
Boa!
Olha só!
Apresentação essa com Excel sem zoom.
Excel é aquelas letrinhas, 500 colunas.
(43:37):
É.
Aquele microfone rasgado, rachado, com áudio ruim,
Não, não, não, não, não, não, não, não, não, não, não, não, não, não, não, não, não, não,
(44:04):
Tipo, não vamos fazer...
Não precisa fazer o...
Nossa gente, eu sou mais eléxica e eu esqueço a palavra Não, não precisa fazer o expose dogit de quem subiu aquela linha de código Pega o código e...
nesse ranking acho que eu colocaria os três piores ainda, tipo já, dar o assine dotraining, o treinamento aquele que a falou nos episódios atrás, como é tinha que ser, que
(44:26):
é Devil May Cry também, que o cara não consegue dar next neck, ele tem que fazer os quiz etal, cara 8 horas só fazendo essa merda.
Aí no final...
eu piorar pouco aí.
Fazer tudo isso aí.
Não aqueles monitorzinhos de porteiro lá, de atores e polegadas, sabe?
Resolução 7620p.
(44:47):
Não, aí é uma boa se fosse digital.
Mas eu falei, se for presencial, o cara tem que estar olhando para a tela mesmo, o telãolá.
Então, malditório.
do curso, tu põe uma pergunta, uma só.
E se o cara errar, só mostra botãozinho.
Retake Curse.
E a pergunta tem que ser tirada do rodapé do primeiro slide.
(45:09):
E
É isso.
Sensacional, cara.
Devil May Cry de hoje foi...
Acho que tá campeão até agora.
Bom, pessoal, obrigado, Juliana, obrigado pelo tempo.
Mas vai ter ter parte dois, com certeza.
Esse tópico aqui é muito bom.
A gente só provocou, galera.
Não trouxemos solução nenhuma.
Só arrumamos treta pra gente postar no Twitter daqui a pouco.
(45:30):
Mas é isso, pessoal.
Obrigado.
Mais Deve Ser Caos Podcast.
Acho que é o episódio 175, se eu não tô enganado.
De qualquer forma, acompanhe a gente todas as redes sociais e plataformas.
Eu sou Casper Eri.
Eu sou o Benhor.
E eu sou Marcos Santos.
Bem, estivemos hoje com Juliana Gaioso, ou Mulher das Cobras, como preferido.
(45:50):
Então é isso, valeu pessoal, a se vê na semana que vem.
Valeu, pessoal!
abraço!
pessoal, beijo de luz!
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
Dateline NBC
Current and classic episodes, featuring compelling true-crime mysteries, powerful documentaries and in-depth investigations. Follow now to get the latest episodes of Dateline NBC completely free, or subscribe to Dateline Premium for ad-free listening and exclusive bonus content: DatelinePremium.com
The Burden
The Burden is a documentary series that takes listeners into the hidden places where justice is done (and undone). It dives deep into the lives of heroes and villains. And it focuses a spotlight on those who triumph even when the odds are against them. Season 5 - The Burden: Death & Deceit in Alliance On April Fools Day 1999, 26-year-old Yvonne Layne was found murdered in her Alliance, Ohio home. David Thorne, her ex-boyfriend and father of one of her children, was instantly a suspect. Another young man admitted to the murder, and David breathed a sigh of relief, until the confessed murderer fingered David; “He paid me to do it.” David was sentenced to life without parole. Two decades later, Pulitzer winner and podcast host, Maggie Freleng (Bone Valley Season 3: Graves County, Wrongful Conviction, Suave) launched a “live” investigation into David's conviction alongside Jason Baldwin (himself wrongfully convicted as a member of the West Memphis Three). Maggie had come to believe that the entire investigation of David was botched by the tiny local police department, or worse, covered up the real killer. Was Maggie correct? Was David’s claim of innocence credible? In Death and Deceit in Alliance, Maggie recounts the case that launched her career, and ultimately, “broke” her.” The results will shock the listener and reduce Maggie to tears and self-doubt. This is not your typical wrongful conviction story. In fact, it turns the genre on its head. It asks the question: What if our champions are foolish? Season 4 - The Burden: Get the Money and Run “Trying to murder my father, this was the thing that put me on the path.” That’s Joe Loya and that path was bank robbery. Bank, bank, bank, bank, bank. In season 4 of The Burden: Get the Money and Run, we hear from Joe who was once the most prolific bank robber in Southern California, and beyond. He used disguises, body doubles, proxies. He leaped over counters, grabbed the money and ran. Even as the FBI was closing in. It was a showdown between a daring bank robber, and a patient FBI agent. Joe was no ordinary bank robber. He was bright, articulate, charismatic, and driven by a dark rage that he summoned up at will. In seven episodes, Joe tells all: the what, the how… and the why. Including why he tried to murder his father. Season 3 - The Burden: Avenger Miriam Lewin is one of Argentina’s leading journalists today. At 19 years old, she was kidnapped off the streets of Buenos Aires for her political activism and thrown into a concentration camp. Thousands of her fellow inmates were executed, tossed alive from a cargo plane into the ocean. Miriam, along with a handful of others, will survive the camp. Then as a journalist, she will wage a decades long campaign to bring her tormentors to justice. Avenger is about one woman’s triumphant battle against unbelievable odds to survive torture, claim justice for the crimes done against her and others like her, and change the future of her country. Season 2 - The Burden: Empire on Blood Empire on Blood is set in the Bronx, NY, in the early 90s, when two young drug dealers ruled an intersection known as “The Corner on Blood.” The boss, Calvin Buari, lived large. He and a protege swore they would build an empire on blood. Then the relationship frayed and the protege accused Calvin of a double homicide which he claimed he didn’t do. But did he? Award-winning journalist Steve Fishman spent seven years to answer that question. This is the story of one man’s last chance to overturn his life sentence. He may prevail, but someone’s gotta pay. The Burden: Empire on Blood is the director’s cut of the true crime classic which reached #1 on the charts when it was first released half a dozen years ago. Season 1 - The Burden In the 1990s, Detective Louis N. Scarcella was legendary. In a city overrun by violent crime, he cracked the toughest cases and put away the worst criminals. “The Hulk” was his nickname. Then the story changed. Scarcella ran into a group of convicted murderers who all say they are innocent. They turned themselves into jailhouse-lawyers and in prison founded a lway firm. When they realized Scarcella helped put many of them away, they set their sights on taking him down. And with the help of a NY Times reporter they have a chance. For years, Scarcella insisted he did nothing wrong. But that’s all he’d say. Until we tracked Scarcella to a sauna in a Russian bathhouse, where he started to talk..and talk and talk. “The guilty have gone free,” he whispered. And then agreed to take us into the belly of the beast. Welcome to The Burden.