August 20, 2025 • 32 mins
Na parte 5 da série sobre como montar um programa de AppSec, discutimos dois pontos críticos para transformar a estratégia em realidade: orçamento e execução. Exploramos como estruturar a alocação de recursos, justificar investimentos em segurança de aplicações e, principalmente, como aplicar um plano de 100 dias para dar os primeiros passos sólidos rumo a um programa efetivo e sustentável.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:26):
Fala pessoal, tudo bem com vocês?
Sejam muito bem-vindos a mais episódio de F-SecOps Podcast.
Eu sou Cassio Pereira.
Estamos no evento...
No evento, estou viajando já, né?
Estamos no episódio Carrera Solo hoje.
Estamos no episódio hoje onde eu estou aqui, alôni, sozinho, na solidão, na darkness,porque é muito difícil arrumar agenda com esses caras.
(00:50):
Sabem que tanto o Marcos quanto o Benyur quanto eu...
trabalhamos bastante, então nem sempre é muito possível a gente casar as agendas.
Então, estou procurando minha cola aqui para poder fazer as minhas anúncias.
Enfim, você sabe que é muito difícil sempre achar agenda, consolidar a agenda com todomundo.
(01:11):
Eu e o Marcos aqui na Europa, o Benyur lá no Brasil.
Enfim, é muito complicado a gente sempre conseguir consolidar a agenda.
Então, para evitar...
que a gente fique muito tempo sem episódios, a gente vai gravar como dá.
Na verdade esse sempre foi o plano, na verdade aqui nem pra mim estava dando de fato.
Então hoje eu consegui arrumar tempo aqui pra parar minuto e conseguir fazer essagravação.
(01:34):
Pessoal, a gente vai falar no episódio de hoje sobre como montar programa de Epsec, mas éa parte 5, a gente já tem 4 episódios sobre isso, agora é a quinta parte que a gente vai
falar exatamente sobre como montar programa de Epsec.
E eu queria...
já começar o programa de hoje, lembrando como foram, ou pelo menos qual foi a última parteque gente falou sobre isso.
(01:58):
Na última parte, a gente falou sobre treinamento, como capacitar...
Olha legal, essa câmera é muito legal.
Você faz o L, mas o L serve para alguma coisa que preste.
Enfim, você faz...
A gente falou sobre capacitação de times de segurança com relação a applicant security etudo mais.
(02:18):
E é legal entender isso porque...
A gente entende que quando gente chega determinado momento do nosso programa de AppSec,normalmente no começo, gente vai começar programa, já starta com isso, mas é importante
que isso seja trabalho contínuo.
Não é faz dia e acabou, faz no começo uma fase e acabou.
Não, pelo menos na minha imaginação, na minha ideia, minha experiência, é um trabalhorecorrente.
(02:42):
Você vai treinar ali as pessoas devidas.
A gente falou sobre isso, eu, Ben Hur,
conversamos bastante sobre isso lá no episódio passado, no episódio passado não, né?
No episódio atrás, que é a parte 4 desse como montar o programa de AppSec, que é uma sérieque a está fazendo aqui, bem interessante para você literalmente sair do zero ao avançado
e aplicar um programa na prática da sua empresa, beleza?
(03:03):
Mas hoje a gente vai falar sobre algo que eu queria fazer uma pausa na verdade, Talvezantes de avançar no programa de AppSec de fato...
Eu acho que é legal a gente parar nesse momento aqui, a gente já definiu lá atrásbaseline, gente já definiu o plano de comunicação, como que gente vai fazer um assessment
de hospição, capacitação de treinamento, enfim.
(03:24):
Nesse momento aqui, eu queria fazer uma pausa, quase que um 4.1, mas vamos colocar parte5, mas é quase que fosse uma 4.1.
Eu queria fazer uma pausa aqui na parte 5 e pedir para vocês fazerem o seguinte.
Vou até...
Vou relaxar aqui, peraí, dá para vocês me ouvirem assim.
Relaxar aqui ó, agora eu tenho a cadeira nova, tá vendo?
(03:47):
Olha que legal, dá pra esticar as pernas, dá pra deitar aqui, olha que beleza, tá vendo?
Sucesso, gravar podcast assim agora.
Mas quem falou que não?
Gravar podcast assim, bota o microfone pra cá, espero que vocês estejam me ouvindo.
ó, pronto.
Então, a gente vai, peraí, agora sim.
(04:12):
Então nesse episódio 5 aqui, o eu queria que vocês entendessem?
Pra gente poder fazer uma pausa, quase que uma...
Como eu falei, né?
4.1, literalmente ali, uma pausa.
Pra gente fazer o seguinte, que tal, se nesse momento do nosso programa de AppSec, a gentepuder avaliar o quanto a gente tem de budget, vamos fazer uma pausa.
(04:38):
para avaliar o quanto a gente tem de bunch dedicado a isso.
Talvez essa discussão já tenha sido feita anteriormente no teu programa de Heapsack, senãovamos usar esse momento para isso.
Então a gente fez o que a gente já explicou nos passos anteriores, nos episódiosanteriores, mas agora a gente vai fazer o seguinte, vamos pausar, a gente vai falar com a
diretoria, sea level, board level e tudo mais.
(05:00):
Olha, meu short está arrasdeado aqui, não reparem.
Board level, sea level, sea level, enfim.
E a gente vai fazer o seguinte,
é quanto temos de budget?
Eu tenho R 500 mil, R 1 milhão, R 1 real, R 10 milhão.
Quanto a tem de budget pra investir em APSEC?
Talvez entendam isso pouco mais claro, mais a fundo.
(05:24):
Talvez você possa se perguntar até o seguinte, mas Kass, não deveria ser o contrário agente fazer levantamento e a gente falar o que a gente precisa, quanto a gente precisa?
Sim, esse seria o movimento natural.
Mas...
Partindo do princípio que você está numa área nova, que não tem nada, está criandoprograma de upsec, vai criar uma área de upsec, é importante saber quanta empresa está
(05:46):
disposta a investir nisso.
Talvez você possa fazer levantamento, gastar tempo, gastar tempo que você nem tem parafalar, olha, eu preciso de 10 milhões de reais.
Ah, não tem, tem 1 milhão de reais.
Tá, essa resposta bate prontamente, não tem ideia do você quer, tem 1, talvez a consigaessa resposta já de cara.
Então perguntar, gente, ó...
(06:06):
Quanto que gente está pensando investir aqui AppSec?
É milhão, é dez milhão?
É nada, a não vai investir nada, a gente vai fazer o que dá com o que tem, mas seminvestir uma grana extra.
Pode ser um cenário também.
Então a gente vai fazer esse levantamento, a gente vai entender quanto que a gente tem degrana.
Primeira etapa.
Segunda etapa, a gente vai entender o que que a gente quer trazer de soluções.
(06:29):
A gente vai comprar um SaaS, a gente vai comprar uma solução de treinamento, como gentefalou.
na etapa anterior, no episódio anterior.
A gente vai comprar ESPM, gente vai comprar SCA, a gente vai introduzir programa de BugBounty, a gente vai contratar pessoas, pentesters, appsec, enfim.
A vai contratar alguma solução.
(06:50):
É legal fazer levantamento até do que a gente quer.
Obviamente, ao longo das etapas aqui que a gente vai descrever ainda, eu falei que era umasérie bem comprida, a gente está fazendo a parte cinco agora, uns cinco episódios, cinco
horas.
É muito provável que tenha mais 5 episódios aí, fácil.
Então nesse momento é legal saber quanto tem e o que você já tem mente de que você vaiprecisar.
(07:13):
Cara, a gente é zero, não temos nada.
Então eu vou precisar pelo menos de um SAC e de SCA.
Beleza.
Dá uma cheirada no mercado, quanto custa, para você ter uma ideia.
Depois você vai fazer POK e tal.
A vai fazer episódio só disso.
Como fazer esse processo de compra, na verdade.
as pessoas de compra, avaliação de ferramentas, enfim, vai ter episódio sobre isso.
(07:35):
Mas é legal que você tem esses cheiros agora, ainda que não seja processo formal, mas éinteressante que você tenha os cheiros.
Por quê?
Porque uma vez sabendo que você tem um milhão para gastar e que você já tem uma ideia quenão tem nada, então você quer pôr um SAC, SCA, não sei o você já faz um eliminatório
(07:56):
automático.
Peraí, eu só tenho milhão?
Então eu vou ter que fazer encaixar a sachet C, A, I, A, C, DASTE.
Putz, eu tenho 10 milhões?
Pô, legal, dá pra brincar com o threat modeling, dá pra brincar com monitoramento deaplicações, dá pra brincar com treinamentos, dá pra brincar com outras coisas.
Putz, eu tenho 2 milhões, tá?
Então dá pra eu introduzir aqui, de repente investir mais desses 2 milhões num momentoaqui de modelagem de ameaças, investir pouco prevenção, depois proteção e teste.
(08:22):
Então é legal fazer esse exercício de quanto você tem disponível.
ou pelo menos não necessariamente disponível, mas quanto a empresa quer gastar com você,não com você necessariamente, mas ali na área de APSEC, para te nortear pouco.
Isso vai te ajudar ao longo das etapas, de uma maneira geral, a definir o que deve serfeito.
(08:47):
Então se você sabe que você não tem dinheiro nenhum, você não vai ficar olhando já parapensar ferramentas mirabolantes que você precisa usar lá na frente.
Você já sabe que você vai ter que usar o pensers ou não usar nada.
Se você sabe que você tem uma verba absurda, pô, legal, você consegue já maturar um modeloonde você sabe que você vai conseguir contar com soluções de ponta, por exemplo.
(09:09):
Vai uns cuidados aqui, você sabe que você tem verba e vai sair gastando?
Tem que ter cuidado, não vou comprar melhor ferramenta, implementar tudo, porque como vocênão tem maturidade no processo como um todo, vezes se gastar uma bala numa solução foda,
você vai ser só tiro no pé, porque você não vai conseguir implementar.
Então, a maturidade baixa ainda, né?
Então, tem que ir aos poucos.
(09:29):
Talvez uma dica que seria olhar para ESPM que tem custo relativamente baixo, relativamentebaixo, comparado a outras soluções, você consegue ESPM aí por 30 dólares por deve, por
exemplo, por mês.
Então, 30 dólares por mês por cabeça, faz as contas aí por ano, vai dar 320...
(09:52):
Não.
360, é isso?
É necessitadoras por ano, por desenvolvedor.
Então, e você já tem dentro do SPM, SASH, DASH, não, mas SASH, SAC, IAC, Secret, API, temuma série de coisas ali que já vai te dar uma boa maturidade para o teu programa, para
você começar.
(10:12):
Então, assim, é só uma ideia, só uma ideia de que fazer essa pausa agora, entender poucode verba, quanto que você tem, vai te dar esse norte, deixa eu voltar aqui.
te dar esse norte, vai te dar esse norte para você conseguir elaborar o programa de umamaneira melhor, Não necessariamente é uma etapa obrigatória, eu diria, eu acho que é uma
(10:43):
etapa prudente, visto que a gente já desenhou o baseline, fizemos outras coisasanteriormente, talvez nesse momento, como eu falei, parar, entender o quanto a empresa
está disponível a investir ou disposta a investir.
e casar já com algumas ideias de coisas que você quer fazer.
Então é importante fazer esse exercício nesse momento para te dar pouco de norteamentomesmo até onde você vai nas próximas etapas.
(11:11):
Obviamente cada etapa necessariamente vai envolver uma parte de budget, quanto é você vaigastar, por que você precisa gastar, se é que vai ter que gastar alguma coisa e talvez
soluções.
Talvez até aqui a gente falou mais de processos, cultura, baseline, coisas que você nãodepende muito, né?
Mas daqui pra frente a vai começar a falar de testes, vai começar a falar de scan decódigo e tal, então vai envolver mais ferramental, não só processos.
(11:34):
Então naturalmente você vai precisar de uma ferramenta.
Você não faz SAST manual, você precisa de uma ferramenta.
Seja o OpenSource ou o Enterprise, enfim.
Então eu queria fazer essa pausa nesse episódio de hoje, justamente pra gente falarpouquinho sobre isso.
Vou dar minha vinheta bonitinha aqui.
(11:57):
Pessoal, continuando ainda nesse tema de hoje...
respira tem um catarro, O que que é legal também?
entender com outras etapas, outros departamentos da empresa se talvez não já tenha algoque possa ser aproveitado.
(12:24):
Eu estou fazendo consultoria hoje numa empresa no Brasil, obviamente não dá pra abrirdados, enfim, falar nome, mas está tendo um conflito do tipo assim, ó, o time de segurança
precisa implementar algumas questões de segurança e o time de DevOps implementar coisas deDevOps.
Só que o time de DevOps ficou responsável
porque a diretoria definiu de selecionar uma ferramenta de qualidade de código.
(12:48):
Então, querendo lá comprar ferramenta X ou Y, que não atende necessariamente as demandasde segurança, que precisa da mesma ferramenta.
Só que isso não está no escopo de segurança.
Então, vão gastar uma grana para comprar uma solução para qualidade de código semconsultar o time de segurança.
Isso estava com o time de segurança no começo...
caiu, foi pro time de DevOps, o time de DevOps vai comprar, lá, vamos supor que vãocomprar o Sonar.
(13:12):
Não é isso, tá?
Mas vamos supor que vão comprar o Sonar.
Poxa, não é a melhor escolha pra segurança.
Ainda que vão gastar uma bala.
Então, esse conflito é interessante que você que tá implementando o programa de AppSec,mapear na empresa, poxa, será que não tem uma ferramenta de qualidade de código algum
lugar?
Será que não tem outro time com uma iniciativa X que possa me beneficiar ou pior, quepossa trazer uma desvantagem?
(13:38):
todo, de repente alguém está procurando uma ferramenta de, sei lá, de cloud security, porexemplo, ou seja, qualidade de código.
Então, peraí, pessoal, olha, segurança também tem uma demanda.
A gente unir forças, Eu tenho uma verba aqui, você tem uma verba aí, vamos unir forças eunir o útil ao agradável.
Então, a gente compra uma solução que vai servir para os dois, por exemplo.
Então, nesse momento dessa pausa que eu estou fazendo aqui na Sumontar, o nosso programade AppSec,
(14:04):
não é bem uma pausa de fato, mas é um momento de a gente refletir, entender se outrasdemandas, outros times, etc.
Volta a minha posição normal.
Não possam estar de fato conflitando ali, não necessariamente conflitando interesses, nãoprecisa ser um conflito de interesses, mas coisas que possam ser comuns para os dois
(14:31):
times, literalmente.
Uma ferramenta de solução de código, disca de código e assim por diante.
Ou ainda, o contrário, que você como AppSec ou como segurança possa estar impactando emoutras fases.
Às vezes você vai pensar uma solução só olhando para a segurança, sem considerar outrosaspectos que possam estar acontecendo outras equipes.
(14:59):
E vale sempre lembrar...
esse tipo de solução e essas soluções geral, vão impactar diretamente o desenvolvimentoDevOps barra CSG barra pipelines ali e desenvolvimento, assim, vai impactar diretamente o
desenvolvimento, é exatamente para escanear código, enfim.
Então é muito importante que tenha uma troca, entender ali com o tipo de desenvolvimento,necessidade deles, o que eles estão precisando, como é o dia a dia deles.
(15:27):
Se você tem experiência com o desenvolvimento, isso facilita muito para você, se você nãotem...
Você tem que fazer isso.
E aí eu vou abrir um espaço aqui para falar pouquinho de como eu tenho feito na empresaque eu estou atuando hoje e que ajudou muito numa decisão que gente teve que tomar muito
importante recentemente.
(15:51):
Eu entrei na empresa recentemente, entrei novembro do ano passado, estamos gravando esseepisódio aqui em agosto, então tem quase ano, E eu tive um plano de os 100 primeiros dias,
um plano ali dos 100 primeiros dias, na verdade 90 primeiros dias, com 10 ali de folgapara arredondar os 100 primeiros dias, os 100 primeiros dias.
(16:12):
Nesses 100 primeiros dias, eu como aplicado Secret Evangelist, ou como evangelista desegurança de aplicações, qual foi o meu plano nesses 100 dias?
Eu tinha que...
entrevistar todos ou boa parte dos times de desenvolvimento, entender dores que elessentiam com relação à implementação de applications.
(16:32):
It's scan, IDE, ferramenta, plugin, pipeline, não interessa.
Então, o que eu fiz?
Eu criei PowerPoint com quatro slides, uma capa, segundo slide, cinco slides, primeiro erauma capa, bonitinho, introdução,
O segundo slide era uma apresentação do meu cargo, o que eu estou fazendo aqui com oaplicativo Securitiv Angelic, qual que é a minha missão, blá blá blá blá blá.
(16:58):
slide com texto ali super simples explicando isso para os times.
E outros três slides, ou seja, cinco outros três slides, cada com uma pergunta.
Então, o primeiro slide, uma pergunta, segundo slide, segunda pergunta, terceira slide,terceira pergunta.
Primeira pergunta do tipo, quais são as principais dores hoje no seu dia a dia comodesenvolvedor?
(17:18):
com relação à implementação de seguranças de aplicações.
A segunda pergunta, quais ferramentas você acha mais fácil, mais difícil, quais você temproblema?
E a terceira, como você lidar com os requisitos de segurança?
Basicamente, era nessa ideia as perguntas.
Uma para entender como era o processo do dia a dia, outra a interação com soluções eferramentas e outra demanda de requisitos.
(17:39):
Dito isso, criei mapa, um mapa de calor ali, quase que mapa de...
mapa de calor, literalmente, seria a melhor definição.
com os top 3, top 5 problemas, top 3, top 5 coisas boas.
Criei esse mapa, o nome dos times, o nome das pessoas que eu entrevistei, os times commais reclamações, os times com menos reclamações, times mais satisfeitos ou menos
(18:04):
satisfeitos, uma visão do time de Epsec geral, então o time tinha uma visão mais neutra,não negativa ou não positiva, mas uma visão mais neutra.
Algumas reclamações pouco mais no detalhe, tipo, a gente não sabe o que tem que fazer, agente não sabe onde fica o portal de documentação, a gente não sabe quais são os
requisitos de segurança que a vai fazendo, algumas dores, a gente, o tempo sempre édesafio, a ferramenta X não integra legal no meu processo, a ferramenta Y não é muito boa,
(18:29):
enfim.
100 dias fazendo isso.
Com isso, qual foi a minha lição de casa?
Como agente duplo, né?
Era do time de dev, agora sou do time de appsec.
Ó, time de appsec.
Top 3 problemas esse, esse e esse.
Obviamente eu com a minha experiência, você chega e já vê algumas questões.
Então além dessas entrevistas e desses resultados, olha time de EPSEC, temos esses top 3problemas.
(18:56):
Além disso eu senti que nossa reputação é muito baixa.
Qualquer coisa que a fala do time de EPSEC, é uma demanda de EPSEC, não sei o de EPSEC,pessoal já torce o nariz.
A gente precisa melhorar pouco a nossa reputação, vamos dizer assim.
confiabilidade etc etc talvez por conta de erros do passado enfim né então aqui pra julgara gente está aqui pra resolver é um plano tão perfeito temos esses problemas aqui é
(19:23):
algumas ideias que a gente tem que fazer então precisamos melhorar tal ferramenta precisamelhorar tal processo tal processo precisa ser assim precisa ser assado tal coisa já fiz
porque por exemplo reclamava que tinha muito muita mensagem no tins só tive ela integraçãonão precisa mais de mensagem
E outro time eu agrupei.
Vejo uma mensagem a cada scan, uma mensagem no fim da semana, por exemplo.
(19:44):
Enfim.
Então, coisas mais rápidas de fazer, mais simples de fazer, que vai reduzir o dia dia daspessoas, dos desenvolvedores.
Então, esses primeiros 100 dias, no meu contexto, ajudou pra entender como era avisibilidade do time de desenvolvimento com relação às reabilitações gente do APSEC, o que
eles tinham que fazer e quais eram os principais problemas.
(20:05):
Dito isso, foi criado um plano para ser executado.
Esse plano é muito fiel a como vai ser a percepção do time de desenvolvimento daqui prafrente.
Porque eu não estou tirando da cabeça, da cartola, da bunda coisas que eu quero fazer queeu acho legal.
Que possam, pode até fazer sentido.
Mas nesse contexto específico eu tirei do próprio feedback dos times.
(20:30):
Então, o scan tá ruim, é muito falso positivo.
Vamos lá arrumar o scan.
não consegue fazer integração da pipeline?
Por quê?
O plugin está ruim, então vamos arrumar o plugin.
Então assim, direto ao ponto, num programa de AppSec já funcionando.
Qual que a minha sugestão aqui?
Crie um plano similar.
(20:51):
Obviamente, isso é 100 dias, isso é mês, vai depender do tamanho da tua organização.
Para criar o teu programa de AppSec, nesse momento que a está fazendo essa pausa aqui, fazuma entrevista com os teams.
No meu caso aqui eu tenho mil desenvolvedores.
Eu consegui conversar, não com os mil, num 100 dias, mas vai 80 % dos times.
(21:14):
Obviamente não com as pessoas, mas 80 % dos times.
Então já é uma boa amostragem.
Conversar com todos, eu ficaria seis meses, mas não fazia sentido.
Então foi fundamental isso.
Então faça esse plano.
conversa com os times, cita com o time de deve, cita com o time de deve e fala, mano, falaisso, como é que o seu dia dia?
(21:35):
Me mostra aí.
Ah, você faz pull request aqui, aí tem duas pessoas que precisam aprovar, ah, que legal.
Aí você vai conversar com outro time.
Bom, você faz pull request e as pessoas precisam aprovar?
Não, não, não, a faz direto, com mitra direto na master.
Ah, entendi.
Aí você faz no outro time, então a gente tem pull request, mas uma pessoa só aprova.
Você vê que já tem três cenários diferentes.
E foi o nosso contexto aqui.
(21:56):
Cada time faz de jeito, não tem padronização, tem uma série de coisas que gente vai terque melhorar e por isso que gente está criando esse plano, enfim, está trabalhando.
Mas a minha sugestão é, faça esse plano de para, você não vai fazer nada, você vaiconversar, você vai pegar a informação.
Cria aí um questionário, questionário de 20 perguntas também não, como eu falei, eu fiztrês perguntas numa empresa corporativa que está na Forbes, é Fortune 500, uma das maiores
(22:23):
financeiras do mundo.
do ramo financeiro do mundo, com mais de mil desenvolvedores, escritório no mundo inteiro.
Eu fiz plano de 100 dias, conversei com 80 % dos times, não 80 % dos desenvolvedores.
Então, eu falei 800 desenvolvedores, eu não falei com 800 desenvolvedores, falei com bemmenos.
Mas eu consegui conversar com boa parte dos times, especialmente, eu tenho mapamento, eutinha 60, aí sim, eu tinha 63, times.
(22:50):
Eu consegui conversar com 80 % deles.
E dentro desses eu tinha mapeamento, olha, o que é meu time de payment, o que é meu timede projeto crítico, o que é meu time de projeto não necessariamente tão crítico.
Então eu selecionei alguns times para tentar falar com todos, tá?
E aí os mais críticos, Então crie esse plano para que você consiga extrair dos times,entender como é o dia a dia deles, para que o teu programa de AppSec faça esse fit no
(23:17):
processo deles.
E não que você venha com processo diferente que agora eles têm que mudar.
Querendo ou não, se a está falando de uma empresa que tem desenvolvimento de software, obusiness vai depender desse desenvolvimento de Então, quanto menos impacto a gente tiver
lá, melhor.
A gente tem que habilitar esse processo de desenvolvimento para que continue sendo omesmo, agora introduzindo processos segurança que sejam transparentes.
(23:41):
E não que agora a gente introduza o processo de segurança que tem pedaço dedesenvolvimento lá dentro, é o contrário.
A história do arroz e feijão, feijão com arroz.
Todo mundo sabe que o feijão vai por cima do arroz.
Todo mundo sabe, especialmente quem é de São Paulo, só pra não saber que pôr o arrozembaixo, feijão por cima e menor quantidade.
Simples assim.
(24:03):
Ou seja, o arroz é que o desenvolvimento vem aqui o time de segurança e se mistura aoarroz, porque ele tem líquido.
Ele vai por cima e espalhar por dentro do arroz.
O contrário não funciona.
Só pra você entender, se tem alguém aqui que bota arroz por cima...
Eu sugiro que desligue esse podcast nesse exato momento.
(24:25):
Nunca mais volte aqui.
Brincadeiras à parte, pessoal.
Então faça esse plano desses 100 dias, 30 dias, 60 dias, enfim, vai depender do tamanho daorganização, do tempo disponível que você tem também.
Enfim, o meu cargo é exatamente para fazer isso.
Evangelizar sobre desenvolvimento seguro tanto no sistema de desenvolvimento quanto nosistema de AppSec.
(24:46):
No time de desenvolvimento, porque pessoal, olha, precisamos fazer assim, assim e assim,como é que a gente vai fazer, como é seu dia dia?
No time de EPSEC, pessoal, precisamos trabalhar assim, precisamos trabalhar assim.
Por exemplo, aí do lado de segurança, quais eram os grandes pontos?
A gente não tinha muita visibilidade com relação às aplicações.
Então, se eu tenho milhão de aplicações, eu tinha visibilidade de 800.
Porque são os times que implementaram, os outros não implementaram.
(25:08):
Então, eu precisava ficar correndo atrás do rabo, Ou perseguindo os times, que é saco.
A gente não tinha lugar centralizado de risco.
Então se eu precisar saber qual é risco da aplicação X, eu precisava ir no scanner A, noscanner B, no scanner C.
Então parte desse plano, por exemplo, foi comprar SPM, que a gente acabou de comprar,comprar SPM que vai consolidar os meus scanners, eu vou usar alguns de eles também.
(25:30):
Ou seja, eu vou ter informação toda num lugar só.
Eu abro painel, eu sei que a minha aplicação X tem risco Y.
Ponto.
A informação já tá toda ali, já tá toda consolidada.
Eu não preciso mais ir na ferramenta A, B ou C.
Então veja.
Partindo desse plano, partindo dessas entrevistas, dessa coleta de feedback, ajudou adefinir esse plano e a trilhar esse plano.
(25:51):
Obviamente quando eu cheguei na empresa eu já falei, bom, precisamos do SPM, usa talferramenta, já sei que é uma bosta, precisamos trocar, porque são experiências, gente.
Se a gente está fazendo programa do zero aqui, é muito mais fácil, mas fácil não se diz,não precisa trocar nada e tal.
Mas veja o que eu falei, você precisa entender budget, você precisa entender quantaempresa vai investir, se ela quer investir ou não.
Porque esse plano, muitas coisas, você está falando só de processo e pessoas, perfeito.
(26:14):
Mas se gente vai ter ferramenta, vai ter coisa nova, é programa de AppSec do zero que agente está fazendo.
Então vai ter o scanner, ter...
E aí eu não quero que você já crie um programa com dor de cabeça.
Crie ele já resolvendo problemas que vão aparecer.
Como eu acabei de falar, vai criar programa de AppSec com SAS, CSI e DASH.
Já são três scanners.
(26:35):
Você vai ter problema de visibilidade.
De visibilidade não, desculpa.
Centralização de risco, gestão de vulnerabilidade.
Então se você começa com ESPM, isso já é eliminado.
de cara, porque vai estar tudo centralizado num lugar só.
Se você depende que os times implementem os scanners, você já vai ter problema devisibilidade, porque não sabe quem está implementando e quem não está.
Talvez na sua ferramenta tenha visibilidade.
(26:57):
tem oito implementados, mas você sabe que tem mil repositórios.
Aí você fica perseguindo.
Você vê, você está criando problemas.
Não é SPM não, você pluga no GitHub, no Bitbucket, o que quer que seja, vai estar tudosendo escaneado automaticamente.
veja que são...
pequenos ajustes, pequenas features que a escolha de uma solução vai te ajudar muito noprograma como todo.
(27:22):
No programa como todo.
Eu trabalhei numa empresa que tinha 13 soluções de AppSec.
13.
Era scan aqui, scan ali, scan ocular, nada consolidado, nada centralizado.
Ou seja, gestão de vulnerabilidade disso era caos.
Nem era, não tinha.
Praticamente tinha 2, 3 scanners, jogava no giro, o resto não tinha.
Então perceba.
(27:42):
criar este plano agora vai te eliminar, não vai eliminar problema porque você vai deixarde...
o problema nem nasce, né?
Então vai te eliminar dor de cabeça.
Cria esse planozinho que eu garanto que vai te ajudar bastante, beleza?
Meia hora já de episódio, episódio solo é sempre mais difícil porque o debate fica muitomonótono, fica chato, eu não quero que gente fique chato.
(28:07):
Acho que essa meia hora foi suficiente para gente entender o que eu quero que vocês façam.
Então, até a partir 1, 2, 3 e 4 entendemos o que precisamos fazer.
4.1 agora, vai 5, faz essa pausa, entende quanto a empresa quer investir, se é que querinvestir.
Se você vai ter que ter uma estratégia mais open source, uma estratégia de enterprise,considere ESPM, dica de coração.
(28:30):
Eu sei que está num hype absurdo falar de ESPM, tem muita startup por aí, mas ESPMdecente, ESPM que vai te dar visibilidade, ESPM que vai te dar qualidade para o teu
programa de AppSec.
Sem ESPM você vai ter dor de cabeça.
Dor de cabeça boa.
Ah, eu tenho 10 scanner, eu tenho 3 scanner.
Pô, eu preciso jogar todos no Gira.
(28:51):
Beleza.
Natural isso.
Poxa, eu tenho tudo num lugar só, com visibilidade de risco, eu atualizo políticas numlugar só.
Não tô fazendo propaganda de ESPM nenhum aqui.
Eu tô falando que isso vai te ajudar.
Assim como você tem que ter Sacha, assim como você tem que ter S.C.A.
Assim como você tem que Gira da vida.
Gira on board, o que quer que seja.
Azure boards, o que quer que seja, é que você gosta.
Beleza, pessoal?
Então era isso que eu queria trazer para o episódio de hoje.
(29:13):
Episódio mais relaxado aqui, cadeirinha nova, essa cadeira aqui é sensacional, deu pradeitar, deu pra relaxar bastante enquanto gravava aqui pelo menos o começo do episódio.
E é isso, a gente vai se ver no próximo episódio, com certeza aí com a volta dos jovens,que são vagabundos, brincadeira, que a agenda é difícil da gente consolidar, mas com
certeza a gente vai estar de volta aí, beleza?
(29:34):
Eu não poderia deixar de esquecer...
Dev may cry, os devs devem chorar, é dev, eu não esqueci de você não, Sabe o que eu voutrazer pra vocês hoje?
(29:54):
O dev may cry de hoje é o seguinte, tá uma onda, tá uma onda absurda de usar o co-pilot,de usar o co-pilot, usar IA e tal, pra programar, pra criar aplicação e tudo mais.
Pois é, o meu...
O meu dev make right hoje é o seguinte.
(30:15):
Você só pode programar no notepad++.
Sua linguagem favorita, seu...
O que você quiser.
Mas a sua ideia, de agora diante, é o notepad++.
Ponto, só isso.
É isso.
Você não tem inteligência, autocomplete, nada disso.
Janelinha que pula, que apita, nada disso.
(30:36):
Você vai programar no notepad++.
Eu programava Java no notepad.
Eu fiz curso técnico, tinha professor que se nojava pra gente no notepad.
Abre o notepad, public, static, void, main, string, yards.
Abre e fecha, fecha fecha coxete.
Abre chave e fecha chave.
Não coxete, não.
Abre chave fecha chave.
Private, void, blá, blá, blá.
(30:58):
E fazer a gente desenhar na tela, desenhar estrelinha, triângulo, com for dentro do for,tal, tal.
Aprendemos.
Autocomplete, decorar o que são os comandos e tal, palavras-chave.
Enfim, se DevMakerad hoje é isso, sua ideia favorita por ano vai ser o Notepad++, não temoutra opção.
E olha que eu tô sendo bonzinho, Notepad++, onde você tem uns plug-ins, consegue jávisualizar ali código diferente, Olha só, podia ser o Notepad puro, né?
(31:27):
O grande ultra visual MasterPad Studio da Microsoft, mas não, vou deixar você com oNotepad++, beleza?
Bom, pessoal, é isso, esse foi o DevMakerad de hoje, mais DevSecalls Podcast pra vocês.
Como montar o seu programa de EPSEC parte 5 ao 4.1.
E gente se vê no próximo episódio, com certeza.
Eu sou Caso Pereira.
Até a próxima.
Fala pessoal, tudo bem com vocês?
Sejam muito bem-vindos a mais episódio de F-SecOps Podcast.
Eu sou Cassio Pereira.
Estamos no evento...
No evento, estou viajando já, né?
Estamos no episódio Carrera Solo hoje.
Estamos no episódio hoje onde eu estou aqui, alôni, sozinho, na solidão, na darkness,porque é muito difícil arrumar agenda com esses caras.
(00:50):
Sabem que tanto o Marcos quanto o Benyur quanto eu...
trabalhamos bastante, então nem sempre é muito possível a gente casar as agendas.
Então, estou procurando minha cola aqui para poder fazer as minhas anúncias.
Enfim, você sabe que é muito difícil sempre achar agenda, consolidar a agenda com todomundo.
(01:11):
Eu e o Marcos aqui na Europa, o Benyur lá no Brasil.
Enfim, é muito complicado a gente sempre conseguir consolidar a agenda.
Então, para evitar...
que a gente fique muito tempo sem episódios, a gente vai gravar como dá.
Na verdade esse sempre foi o plano, na verdade aqui nem pra mim estava dando de fato.
Então hoje eu consegui arrumar tempo aqui pra parar minuto e conseguir fazer essagravação.
(01:34):
Pessoal, a gente vai falar no episódio de hoje sobre como montar programa de Epsec, mas éa parte 5, a gente já tem 4 episódios sobre isso, agora é a quinta parte que a gente vai
falar exatamente sobre como montar programa de Epsec.
E eu queria...
já começar o programa de hoje, lembrando como foram, ou pelo menos qual foi a última parteque gente falou sobre isso.
(01:58):
Na última parte, a gente falou sobre treinamento, como capacitar...
Olha legal, essa câmera é muito legal.
Você faz o L, mas o L serve para alguma coisa que preste.
Enfim, você faz...
A gente falou sobre capacitação de times de segurança com relação a applicant security etudo mais.
(02:18):
E é legal entender isso porque...
A gente entende que quando gente chega determinado momento do nosso programa de AppSec,normalmente no começo, gente vai começar programa, já starta com isso, mas é importante
que isso seja trabalho contínuo.
Não é faz dia e acabou, faz no começo uma fase e acabou.
Não, pelo menos na minha imaginação, na minha ideia, minha experiência, é um trabalhorecorrente.
(02:42):
Você vai treinar ali as pessoas devidas.
A gente falou sobre isso, eu, Ben Hur,
conversamos bastante sobre isso lá no episódio passado, no episódio passado não, né?
No episódio atrás, que é a parte 4 desse como montar o programa de AppSec, que é uma sérieque a está fazendo aqui, bem interessante para você literalmente sair do zero ao avançado
e aplicar um programa na prática da sua empresa, beleza?
(03:03):
Mas hoje a gente vai falar sobre algo que eu queria fazer uma pausa na verdade, Talvezantes de avançar no programa de AppSec de fato...
Eu acho que é legal a gente parar nesse momento aqui, a gente já definiu lá atrásbaseline, gente já definiu o plano de comunicação, como que gente vai fazer um assessment
de hospição, capacitação de treinamento, enfim.
(03:24):
Nesse momento aqui, eu queria fazer uma pausa, quase que um 4.1, mas vamos colocar parte5, mas é quase que fosse uma 4.1.
Eu queria fazer uma pausa aqui na parte 5 e pedir para vocês fazerem o seguinte.
Vou até...
Vou relaxar aqui, peraí, dá para vocês me ouvirem assim.
Relaxar aqui ó, agora eu tenho a cadeira nova, tá vendo?
(03:47):
Olha que legal, dá pra esticar as pernas, dá pra deitar aqui, olha que beleza, tá vendo?
Sucesso, gravar podcast assim agora.
Mas quem falou que não?
Gravar podcast assim, bota o microfone pra cá, espero que vocês estejam me ouvindo.
ó, pronto.
Então, a gente vai, peraí, agora sim.
(04:12):
Então nesse episódio 5 aqui, o eu queria que vocês entendessem?
Pra gente poder fazer uma pausa, quase que uma...
Como eu falei, né?
4.1, literalmente ali, uma pausa.
Pra gente fazer o seguinte, que tal, se nesse momento do nosso programa de AppSec, a gentepuder avaliar o quanto a gente tem de budget, vamos fazer uma pausa.
(04:38):
para avaliar o quanto a gente tem de bunch dedicado a isso.
Talvez essa discussão já tenha sido feita anteriormente no teu programa de Heapsack, senãovamos usar esse momento para isso.
Então a gente fez o que a gente já explicou nos passos anteriores, nos episódiosanteriores, mas agora a gente vai fazer o seguinte, vamos pausar, a gente vai falar com a
diretoria, sea level, board level e tudo mais.
(05:00):
Olha, meu short está arrasdeado aqui, não reparem.
Board level, sea level, sea level, enfim.
E a gente vai fazer o seguinte,
é quanto temos de budget?
Eu tenho R 500 mil, R 1 milhão, R 1 real, R 10 milhão.
Quanto a tem de budget pra investir em APSEC?
Talvez entendam isso pouco mais claro, mais a fundo.
(05:24):
Talvez você possa se perguntar até o seguinte, mas Kass, não deveria ser o contrário agente fazer levantamento e a gente falar o que a gente precisa, quanto a gente precisa?
Sim, esse seria o movimento natural.
Mas...
Partindo do princípio que você está numa área nova, que não tem nada, está criandoprograma de upsec, vai criar uma área de upsec, é importante saber quanta empresa está
(05:46):
disposta a investir nisso.
Talvez você possa fazer levantamento, gastar tempo, gastar tempo que você nem tem parafalar, olha, eu preciso de 10 milhões de reais.
Ah, não tem, tem 1 milhão de reais.
Tá, essa resposta bate prontamente, não tem ideia do você quer, tem 1, talvez a consigaessa resposta já de cara.
Então perguntar, gente, ó...
(06:06):
Quanto que gente está pensando investir aqui AppSec?
É milhão, é dez milhão?
É nada, a não vai investir nada, a gente vai fazer o que dá com o que tem, mas seminvestir uma grana extra.
Pode ser um cenário também.
Então a gente vai fazer esse levantamento, a gente vai entender quanto que a gente tem degrana.
Primeira etapa.
Segunda etapa, a gente vai entender o que que a gente quer trazer de soluções.
(06:29):
A gente vai comprar um SaaS, a gente vai comprar uma solução de treinamento, como gentefalou.
na etapa anterior, no episódio anterior.
A gente vai comprar ESPM, gente vai comprar SCA, a gente vai introduzir programa de BugBounty, a gente vai contratar pessoas, pentesters, appsec, enfim.
A vai contratar alguma solução.
(06:50):
É legal fazer levantamento até do que a gente quer.
Obviamente, ao longo das etapas aqui que a gente vai descrever ainda, eu falei que era umasérie bem comprida, a gente está fazendo a parte cinco agora, uns cinco episódios, cinco
horas.
É muito provável que tenha mais 5 episódios aí, fácil.
Então nesse momento é legal saber quanto tem e o que você já tem mente de que você vaiprecisar.
(07:13):
Cara, a gente é zero, não temos nada.
Então eu vou precisar pelo menos de um SAC e de SCA.
Beleza.
Dá uma cheirada no mercado, quanto custa, para você ter uma ideia.
Depois você vai fazer POK e tal.
A vai fazer episódio só disso.
Como fazer esse processo de compra, na verdade.
as pessoas de compra, avaliação de ferramentas, enfim, vai ter episódio sobre isso.
(07:35):
Mas é legal que você tem esses cheiros agora, ainda que não seja processo formal, mas éinteressante que você tenha os cheiros.
Por quê?
Porque uma vez sabendo que você tem um milhão para gastar e que você já tem uma ideia quenão tem nada, então você quer pôr um SAC, SCA, não sei o você já faz um eliminatório
(07:56):
automático.
Peraí, eu só tenho milhão?
Então eu vou ter que fazer encaixar a sachet C, A, I, A, C, DASTE.
Putz, eu tenho 10 milhões?
Pô, legal, dá pra brincar com o threat modeling, dá pra brincar com monitoramento deaplicações, dá pra brincar com treinamentos, dá pra brincar com outras coisas.
Putz, eu tenho 2 milhões, tá?
Então dá pra eu introduzir aqui, de repente investir mais desses 2 milhões num momentoaqui de modelagem de ameaças, investir pouco prevenção, depois proteção e teste.
(08:22):
Então é legal fazer esse exercício de quanto você tem disponível.
ou pelo menos não necessariamente disponível, mas quanto a empresa quer gastar com você,não com você necessariamente, mas ali na área de APSEC, para te nortear pouco.
Isso vai te ajudar ao longo das etapas, de uma maneira geral, a definir o que deve serfeito.
(08:47):
Então se você sabe que você não tem dinheiro nenhum, você não vai ficar olhando já parapensar ferramentas mirabolantes que você precisa usar lá na frente.
Você já sabe que você vai ter que usar o pensers ou não usar nada.
Se você sabe que você tem uma verba absurda, pô, legal, você consegue já maturar um modeloonde você sabe que você vai conseguir contar com soluções de ponta, por exemplo.
(09:09):
Vai uns cuidados aqui, você sabe que você tem verba e vai sair gastando?
Tem que ter cuidado, não vou comprar melhor ferramenta, implementar tudo, porque como vocênão tem maturidade no processo como um todo, vezes se gastar uma bala numa solução foda,
você vai ser só tiro no pé, porque você não vai conseguir implementar.
Então, a maturidade baixa ainda, né?
Então, tem que ir aos poucos.
(09:29):
Talvez uma dica que seria olhar para ESPM que tem custo relativamente baixo, relativamentebaixo, comparado a outras soluções, você consegue ESPM aí por 30 dólares por deve, por
exemplo, por mês.
Então, 30 dólares por mês por cabeça, faz as contas aí por ano, vai dar 320...
(09:52):
Não.
360, é isso?
É necessitadoras por ano, por desenvolvedor.
Então, e você já tem dentro do SPM, SASH, DASH, não, mas SASH, SAC, IAC, Secret, API, temuma série de coisas ali que já vai te dar uma boa maturidade para o teu programa, para
você começar.
(10:12):
Então, assim, é só uma ideia, só uma ideia de que fazer essa pausa agora, entender poucode verba, quanto que você tem, vai te dar esse norte, deixa eu voltar aqui.
te dar esse norte, vai te dar esse norte para você conseguir elaborar o programa de umamaneira melhor, Não necessariamente é uma etapa obrigatória, eu diria, eu acho que é uma
(10:43):
etapa prudente, visto que a gente já desenhou o baseline, fizemos outras coisasanteriormente, talvez nesse momento, como eu falei, parar, entender o quanto a empresa
está disponível a investir ou disposta a investir.
e casar já com algumas ideias de coisas que você quer fazer.
Então é importante fazer esse exercício nesse momento para te dar pouco de norteamentomesmo até onde você vai nas próximas etapas.
(11:11):
Obviamente cada etapa necessariamente vai envolver uma parte de budget, quanto é você vaigastar, por que você precisa gastar, se é que vai ter que gastar alguma coisa e talvez
soluções.
Talvez até aqui a gente falou mais de processos, cultura, baseline, coisas que você nãodepende muito, né?
Mas daqui pra frente a vai começar a falar de testes, vai começar a falar de scan decódigo e tal, então vai envolver mais ferramental, não só processos.
(11:34):
Então naturalmente você vai precisar de uma ferramenta.
Você não faz SAST manual, você precisa de uma ferramenta.
Seja o OpenSource ou o Enterprise, enfim.
Então eu queria fazer essa pausa nesse episódio de hoje, justamente pra gente falarpouquinho sobre isso.
Vou dar minha vinheta bonitinha aqui.
(11:57):
Pessoal, continuando ainda nesse tema de hoje...
respira tem um catarro, O que que é legal também?
entender com outras etapas, outros departamentos da empresa se talvez não já tenha algoque possa ser aproveitado.
(12:24):
Eu estou fazendo consultoria hoje numa empresa no Brasil, obviamente não dá pra abrirdados, enfim, falar nome, mas está tendo um conflito do tipo assim, ó, o time de segurança
precisa implementar algumas questões de segurança e o time de DevOps implementar coisas deDevOps.
Só que o time de DevOps ficou responsável
porque a diretoria definiu de selecionar uma ferramenta de qualidade de código.
(12:48):
Então, querendo lá comprar ferramenta X ou Y, que não atende necessariamente as demandasde segurança, que precisa da mesma ferramenta.
Só que isso não está no escopo de segurança.
Então, vão gastar uma grana para comprar uma solução para qualidade de código semconsultar o time de segurança.
Isso estava com o time de segurança no começo...
caiu, foi pro time de DevOps, o time de DevOps vai comprar, lá, vamos supor que vãocomprar o Sonar.
(13:12):
Não é isso, tá?
Mas vamos supor que vão comprar o Sonar.
Poxa, não é a melhor escolha pra segurança.
Ainda que vão gastar uma bala.
Então, esse conflito é interessante que você que tá implementando o programa de AppSec,mapear na empresa, poxa, será que não tem uma ferramenta de qualidade de código algum
lugar?
Será que não tem outro time com uma iniciativa X que possa me beneficiar ou pior, quepossa trazer uma desvantagem?
(13:38):
todo, de repente alguém está procurando uma ferramenta de, sei lá, de cloud security, porexemplo, ou seja, qualidade de código.
Então, peraí, pessoal, olha, segurança também tem uma demanda.
A gente unir forças, Eu tenho uma verba aqui, você tem uma verba aí, vamos unir forças eunir o útil ao agradável.
Então, a gente compra uma solução que vai servir para os dois, por exemplo.
Então, nesse momento dessa pausa que eu estou fazendo aqui na Sumontar, o nosso programade AppSec,
(14:04):
não é bem uma pausa de fato, mas é um momento de a gente refletir, entender se outrasdemandas, outros times, etc.
Volta a minha posição normal.
Não possam estar de fato conflitando ali, não necessariamente conflitando interesses, nãoprecisa ser um conflito de interesses, mas coisas que possam ser comuns para os dois
(14:31):
times, literalmente.
Uma ferramenta de solução de código, disca de código e assim por diante.
Ou ainda, o contrário, que você como AppSec ou como segurança possa estar impactando emoutras fases.
Às vezes você vai pensar uma solução só olhando para a segurança, sem considerar outrosaspectos que possam estar acontecendo outras equipes.
(14:59):
E vale sempre lembrar...
esse tipo de solução e essas soluções geral, vão impactar diretamente o desenvolvimentoDevOps barra CSG barra pipelines ali e desenvolvimento, assim, vai impactar diretamente o
desenvolvimento, é exatamente para escanear código, enfim.
Então é muito importante que tenha uma troca, entender ali com o tipo de desenvolvimento,necessidade deles, o que eles estão precisando, como é o dia a dia deles.
(15:27):
Se você tem experiência com o desenvolvimento, isso facilita muito para você, se você nãotem...
Você tem que fazer isso.
E aí eu vou abrir um espaço aqui para falar pouquinho de como eu tenho feito na empresaque eu estou atuando hoje e que ajudou muito numa decisão que gente teve que tomar muito
importante recentemente.
(15:51):
Eu entrei na empresa recentemente, entrei novembro do ano passado, estamos gravando esseepisódio aqui em agosto, então tem quase ano, E eu tive um plano de os 100 primeiros dias,
um plano ali dos 100 primeiros dias, na verdade 90 primeiros dias, com 10 ali de folgapara arredondar os 100 primeiros dias, os 100 primeiros dias.
(16:12):
Nesses 100 primeiros dias, eu como aplicado Secret Evangelist, ou como evangelista desegurança de aplicações, qual foi o meu plano nesses 100 dias?
Eu tinha que...
entrevistar todos ou boa parte dos times de desenvolvimento, entender dores que elessentiam com relação à implementação de applications.
(16:32):
It's scan, IDE, ferramenta, plugin, pipeline, não interessa.
Então, o que eu fiz?
Eu criei PowerPoint com quatro slides, uma capa, segundo slide, cinco slides, primeiro erauma capa, bonitinho, introdução,
O segundo slide era uma apresentação do meu cargo, o que eu estou fazendo aqui com oaplicativo Securitiv Angelic, qual que é a minha missão, blá blá blá blá blá.
(16:58):
slide com texto ali super simples explicando isso para os times.
E outros três slides, ou seja, cinco outros três slides, cada com uma pergunta.
Então, o primeiro slide, uma pergunta, segundo slide, segunda pergunta, terceira slide,terceira pergunta.
Primeira pergunta do tipo, quais são as principais dores hoje no seu dia a dia comodesenvolvedor?
(17:18):
com relação à implementação de seguranças de aplicações.
A segunda pergunta, quais ferramentas você acha mais fácil, mais difícil, quais você temproblema?
E a terceira, como você lidar com os requisitos de segurança?
Basicamente, era nessa ideia as perguntas.
Uma para entender como era o processo do dia a dia, outra a interação com soluções eferramentas e outra demanda de requisitos.
(17:39):
Dito isso, criei mapa, um mapa de calor ali, quase que mapa de...
mapa de calor, literalmente, seria a melhor definição.
com os top 3, top 5 problemas, top 3, top 5 coisas boas.
Criei esse mapa, o nome dos times, o nome das pessoas que eu entrevistei, os times commais reclamações, os times com menos reclamações, times mais satisfeitos ou menos
(18:04):
satisfeitos, uma visão do time de Epsec geral, então o time tinha uma visão mais neutra,não negativa ou não positiva, mas uma visão mais neutra.
Algumas reclamações pouco mais no detalhe, tipo, a gente não sabe o que tem que fazer, agente não sabe onde fica o portal de documentação, a gente não sabe quais são os
requisitos de segurança que a vai fazendo, algumas dores, a gente, o tempo sempre édesafio, a ferramenta X não integra legal no meu processo, a ferramenta Y não é muito boa,
(18:29):
enfim.
100 dias fazendo isso.
Com isso, qual foi a minha lição de casa?
Como agente duplo, né?
Era do time de dev, agora sou do time de appsec.
Ó, time de appsec.
Top 3 problemas esse, esse e esse.
Obviamente eu com a minha experiência, você chega e já vê algumas questões.
Então além dessas entrevistas e desses resultados, olha time de EPSEC, temos esses top 3problemas.
(18:56):
Além disso eu senti que nossa reputação é muito baixa.
Qualquer coisa que a fala do time de EPSEC, é uma demanda de EPSEC, não sei o de EPSEC,pessoal já torce o nariz.
A gente precisa melhorar pouco a nossa reputação, vamos dizer assim.
confiabilidade etc etc talvez por conta de erros do passado enfim né então aqui pra julgara gente está aqui pra resolver é um plano tão perfeito temos esses problemas aqui é
(19:23):
algumas ideias que a gente tem que fazer então precisamos melhorar tal ferramenta precisamelhorar tal processo tal processo precisa ser assim precisa ser assado tal coisa já fiz
porque por exemplo reclamava que tinha muito muita mensagem no tins só tive ela integraçãonão precisa mais de mensagem
E outro time eu agrupei.
Vejo uma mensagem a cada scan, uma mensagem no fim da semana, por exemplo.
(19:44):
Enfim.
Então, coisas mais rápidas de fazer, mais simples de fazer, que vai reduzir o dia dia daspessoas, dos desenvolvedores.
Então, esses primeiros 100 dias, no meu contexto, ajudou pra entender como era avisibilidade do time de desenvolvimento com relação às reabilitações gente do APSEC, o que
eles tinham que fazer e quais eram os principais problemas.
(20:05):
Dito isso, foi criado um plano para ser executado.
Esse plano é muito fiel a como vai ser a percepção do time de desenvolvimento daqui prafrente.
Porque eu não estou tirando da cabeça, da cartola, da bunda coisas que eu quero fazer queeu acho legal.
Que possam, pode até fazer sentido.
Mas nesse contexto específico eu tirei do próprio feedback dos times.
(20:30):
Então, o scan tá ruim, é muito falso positivo.
Vamos lá arrumar o scan.
não consegue fazer integração da pipeline?
Por quê?
O plugin está ruim, então vamos arrumar o plugin.
Então assim, direto ao ponto, num programa de AppSec já funcionando.
Qual que a minha sugestão aqui?
Crie um plano similar.
(20:51):
Obviamente, isso é 100 dias, isso é mês, vai depender do tamanho da tua organização.
Para criar o teu programa de AppSec, nesse momento que a está fazendo essa pausa aqui, fazuma entrevista com os teams.
No meu caso aqui eu tenho mil desenvolvedores.
Eu consegui conversar, não com os mil, num 100 dias, mas vai 80 % dos times.
(21:14):
Obviamente não com as pessoas, mas 80 % dos times.
Então já é uma boa amostragem.
Conversar com todos, eu ficaria seis meses, mas não fazia sentido.
Então foi fundamental isso.
Então faça esse plano.
conversa com os times, cita com o time de deve, cita com o time de deve e fala, mano, falaisso, como é que o seu dia dia?
(21:35):
Me mostra aí.
Ah, você faz pull request aqui, aí tem duas pessoas que precisam aprovar, ah, que legal.
Aí você vai conversar com outro time.
Bom, você faz pull request e as pessoas precisam aprovar?
Não, não, não, a faz direto, com mitra direto na master.
Ah, entendi.
Aí você faz no outro time, então a gente tem pull request, mas uma pessoa só aprova.
Você vê que já tem três cenários diferentes.
E foi o nosso contexto aqui.
(21:56):
Cada time faz de jeito, não tem padronização, tem uma série de coisas que gente vai terque melhorar e por isso que gente está criando esse plano, enfim, está trabalhando.
Mas a minha sugestão é, faça esse plano de para, você não vai fazer nada, você vaiconversar, você vai pegar a informação.
Cria aí um questionário, questionário de 20 perguntas também não, como eu falei, eu fiztrês perguntas numa empresa corporativa que está na Forbes, é Fortune 500, uma das maiores
(22:23):
financeiras do mundo.
do ramo financeiro do mundo, com mais de mil desenvolvedores, escritório no mundo inteiro.
Eu fiz plano de 100 dias, conversei com 80 % dos times, não 80 % dos desenvolvedores.
Então, eu falei 800 desenvolvedores, eu não falei com 800 desenvolvedores, falei com bemmenos.
Mas eu consegui conversar com boa parte dos times, especialmente, eu tenho mapamento, eutinha 60, aí sim, eu tinha 63, times.
(22:50):
Eu consegui conversar com 80 % deles.
E dentro desses eu tinha mapeamento, olha, o que é meu time de payment, o que é meu timede projeto crítico, o que é meu time de projeto não necessariamente tão crítico.
Então eu selecionei alguns times para tentar falar com todos, tá?
E aí os mais críticos, Então crie esse plano para que você consiga extrair dos times,entender como é o dia a dia deles, para que o teu programa de AppSec faça esse fit no
(23:17):
processo deles.
E não que você venha com processo diferente que agora eles têm que mudar.
Querendo ou não, se a está falando de uma empresa que tem desenvolvimento de software, obusiness vai depender desse desenvolvimento de Então, quanto menos impacto a gente tiver
lá, melhor.
A gente tem que habilitar esse processo de desenvolvimento para que continue sendo omesmo, agora introduzindo processos segurança que sejam transparentes.
(23:41):
E não que agora a gente introduza o processo de segurança que tem pedaço dedesenvolvimento lá dentro, é o contrário.
A história do arroz e feijão, feijão com arroz.
Todo mundo sabe que o feijão vai por cima do arroz.
Todo mundo sabe, especialmente quem é de São Paulo, só pra não saber que pôr o arrozembaixo, feijão por cima e menor quantidade.
Simples assim.
(24:03):
Ou seja, o arroz é que o desenvolvimento vem aqui o time de segurança e se mistura aoarroz, porque ele tem líquido.
Ele vai por cima e espalhar por dentro do arroz.
O contrário não funciona.
Só pra você entender, se tem alguém aqui que bota arroz por cima...
Eu sugiro que desligue esse podcast nesse exato momento.
(24:25):
Nunca mais volte aqui.
Brincadeiras à parte, pessoal.
Então faça esse plano desses 100 dias, 30 dias, 60 dias, enfim, vai depender do tamanho daorganização, do tempo disponível que você tem também.
Enfim, o meu cargo é exatamente para fazer isso.
Evangelizar sobre desenvolvimento seguro tanto no sistema de desenvolvimento quanto nosistema de AppSec.
(24:46):
No time de desenvolvimento, porque pessoal, olha, precisamos fazer assim, assim e assim,como é que a gente vai fazer, como é seu dia dia?
No time de EPSEC, pessoal, precisamos trabalhar assim, precisamos trabalhar assim.
Por exemplo, aí do lado de segurança, quais eram os grandes pontos?
A gente não tinha muita visibilidade com relação às aplicações.
Então, se eu tenho milhão de aplicações, eu tinha visibilidade de 800.
Porque são os times que implementaram, os outros não implementaram.
(25:08):
Então, eu precisava ficar correndo atrás do rabo, Ou perseguindo os times, que é saco.
A gente não tinha lugar centralizado de risco.
Então se eu precisar saber qual é risco da aplicação X, eu precisava ir no scanner A, noscanner B, no scanner C.
Então parte desse plano, por exemplo, foi comprar SPM, que a gente acabou de comprar,comprar SPM que vai consolidar os meus scanners, eu vou usar alguns de eles também.
(25:30):
Ou seja, eu vou ter informação toda num lugar só.
Eu abro painel, eu sei que a minha aplicação X tem risco Y.
Ponto.
A informação já tá toda ali, já tá toda consolidada.
Eu não preciso mais ir na ferramenta A, B ou C.
Então veja.
Partindo desse plano, partindo dessas entrevistas, dessa coleta de feedback, ajudou adefinir esse plano e a trilhar esse plano.
(25:51):
Obviamente quando eu cheguei na empresa eu já falei, bom, precisamos do SPM, usa talferramenta, já sei que é uma bosta, precisamos trocar, porque são experiências, gente.
Se a gente está fazendo programa do zero aqui, é muito mais fácil, mas fácil não se diz,não precisa trocar nada e tal.
Mas veja o que eu falei, você precisa entender budget, você precisa entender quantaempresa vai investir, se ela quer investir ou não.
Porque esse plano, muitas coisas, você está falando só de processo e pessoas, perfeito.
(26:14):
Mas se gente vai ter ferramenta, vai ter coisa nova, é programa de AppSec do zero que agente está fazendo.
Então vai ter o scanner, ter...
E aí eu não quero que você já crie um programa com dor de cabeça.
Crie ele já resolvendo problemas que vão aparecer.
Como eu acabei de falar, vai criar programa de AppSec com SAS, CSI e DASH.
Já são três scanners.
(26:35):
Você vai ter problema de visibilidade.
De visibilidade não, desculpa.
Centralização de risco, gestão de vulnerabilidade.
Então se você começa com ESPM, isso já é eliminado.
de cara, porque vai estar tudo centralizado num lugar só.
Se você depende que os times implementem os scanners, você já vai ter problema devisibilidade, porque não sabe quem está implementando e quem não está.
Talvez na sua ferramenta tenha visibilidade.
(26:57):
tem oito implementados, mas você sabe que tem mil repositórios.
Aí você fica perseguindo.
Você vê, você está criando problemas.
Não é SPM não, você pluga no GitHub, no Bitbucket, o que quer que seja, vai estar tudosendo escaneado automaticamente.
veja que são...
pequenos ajustes, pequenas features que a escolha de uma solução vai te ajudar muito noprograma como todo.
(27:22):
No programa como todo.
Eu trabalhei numa empresa que tinha 13 soluções de AppSec.
13.
Era scan aqui, scan ali, scan ocular, nada consolidado, nada centralizado.
Ou seja, gestão de vulnerabilidade disso era caos.
Nem era, não tinha.
Praticamente tinha 2, 3 scanners, jogava no giro, o resto não tinha.
Então perceba.
(27:42):
criar este plano agora vai te eliminar, não vai eliminar problema porque você vai deixarde...
o problema nem nasce, né?
Então vai te eliminar dor de cabeça.
Cria esse planozinho que eu garanto que vai te ajudar bastante, beleza?
Meia hora já de episódio, episódio solo é sempre mais difícil porque o debate fica muitomonótono, fica chato, eu não quero que gente fique chato.
(28:07):
Acho que essa meia hora foi suficiente para gente entender o que eu quero que vocês façam.
Então, até a partir 1, 2, 3 e 4 entendemos o que precisamos fazer.
4.1 agora, vai 5, faz essa pausa, entende quanto a empresa quer investir, se é que querinvestir.
Se você vai ter que ter uma estratégia mais open source, uma estratégia de enterprise,considere ESPM, dica de coração.
(28:30):
Eu sei que está num hype absurdo falar de ESPM, tem muita startup por aí, mas ESPMdecente, ESPM que vai te dar visibilidade, ESPM que vai te dar qualidade para o teu
programa de AppSec.
Sem ESPM você vai ter dor de cabeça.
Dor de cabeça boa.
Ah, eu tenho 10 scanner, eu tenho 3 scanner.
Pô, eu preciso jogar todos no Gira.
(28:51):
Beleza.
Natural isso.
Poxa, eu tenho tudo num lugar só, com visibilidade de risco, eu atualizo políticas numlugar só.
Não tô fazendo propaganda de ESPM nenhum aqui.
Eu tô falando que isso vai te ajudar.
Assim como você tem que ter Sacha, assim como você tem que ter S.C.A.
Assim como você tem que Gira da vida.
Gira on board, o que quer que seja.
Azure boards, o que quer que seja, é que você gosta.
Beleza, pessoal?
Então era isso que eu queria trazer para o episódio de hoje.
(29:13):
Episódio mais relaxado aqui, cadeirinha nova, essa cadeira aqui é sensacional, deu pradeitar, deu pra relaxar bastante enquanto gravava aqui pelo menos o começo do episódio.
E é isso, a gente vai se ver no próximo episódio, com certeza aí com a volta dos jovens,que são vagabundos, brincadeira, que a agenda é difícil da gente consolidar, mas com
certeza a gente vai estar de volta aí, beleza?
(29:34):
Eu não poderia deixar de esquecer...
Dev may cry, os devs devem chorar, é dev, eu não esqueci de você não, Sabe o que eu voutrazer pra vocês hoje?
(29:54):
O dev may cry de hoje é o seguinte, tá uma onda, tá uma onda absurda de usar o co-pilot,de usar o co-pilot, usar IA e tal, pra programar, pra criar aplicação e tudo mais.
Pois é, o meu...
O meu dev make right hoje é o seguinte.
(30:15):
Você só pode programar no notepad++.
Sua linguagem favorita, seu...
O que você quiser.
Mas a sua ideia, de agora diante, é o notepad++.
Ponto, só isso.
É isso.
Você não tem inteligência, autocomplete, nada disso.
Janelinha que pula, que apita, nada disso.
(30:36):
Você vai programar no notepad++.
Eu programava Java no notepad.
Eu fiz curso técnico, tinha professor que se nojava pra gente no notepad.
Abre o notepad, public, static, void, main, string, yards.
Abre e fecha, fecha fecha coxete.
Abre chave e fecha chave.
Não coxete, não.
Abre chave fecha chave.
Private, void, blá, blá, blá.
(30:58):
E fazer a gente desenhar na tela, desenhar estrelinha, triângulo, com for dentro do for,tal, tal.
Aprendemos.
Autocomplete, decorar o que são os comandos e tal, palavras-chave.
Enfim, se DevMakerad hoje é isso, sua ideia favorita por ano vai ser o Notepad++, não temoutra opção.
E olha que eu tô sendo bonzinho, Notepad++, onde você tem uns plug-ins, consegue jávisualizar ali código diferente, Olha só, podia ser o Notepad puro, né?
(31:27):
O grande ultra visual MasterPad Studio da Microsoft, mas não, vou deixar você com oNotepad++, beleza?
Bom, pessoal, é isso, esse foi o DevMakerad de hoje, mais DevSecalls Podcast pra vocês.
Como montar o seu programa de EPSEC parte 5 ao 4.1.
E gente se vê no próximo episódio, com certeza.
Eu sou Caso Pereira.
Até a próxima.
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
Dateline NBC
Current and classic episodes, featuring compelling true-crime mysteries, powerful documentaries and in-depth investigations. Follow now to get the latest episodes of Dateline NBC completely free, or subscribe to Dateline Premium for ad-free listening and exclusive bonus content: DatelinePremium.com
The Burden
The Burden is a documentary series that takes listeners into the hidden places where justice is done (and undone). It dives deep into the lives of heroes and villains. And it focuses a spotlight on those who triumph even when the odds are against them. Season 5 - The Burden: Death & Deceit in Alliance On April Fools Day 1999, 26-year-old Yvonne Layne was found murdered in her Alliance, Ohio home. David Thorne, her ex-boyfriend and father of one of her children, was instantly a suspect. Another young man admitted to the murder, and David breathed a sigh of relief, until the confessed murderer fingered David; “He paid me to do it.” David was sentenced to life without parole. Two decades later, Pulitzer winner and podcast host, Maggie Freleng (Bone Valley Season 3: Graves County, Wrongful Conviction, Suave) launched a “live” investigation into David's conviction alongside Jason Baldwin (himself wrongfully convicted as a member of the West Memphis Three). Maggie had come to believe that the entire investigation of David was botched by the tiny local police department, or worse, covered up the real killer. Was Maggie correct? Was David’s claim of innocence credible? In Death and Deceit in Alliance, Maggie recounts the case that launched her career, and ultimately, “broke” her.” The results will shock the listener and reduce Maggie to tears and self-doubt. This is not your typical wrongful conviction story. In fact, it turns the genre on its head. It asks the question: What if our champions are foolish? Season 4 - The Burden: Get the Money and Run “Trying to murder my father, this was the thing that put me on the path.” That’s Joe Loya and that path was bank robbery. Bank, bank, bank, bank, bank. In season 4 of The Burden: Get the Money and Run, we hear from Joe who was once the most prolific bank robber in Southern California, and beyond. He used disguises, body doubles, proxies. He leaped over counters, grabbed the money and ran. Even as the FBI was closing in. It was a showdown between a daring bank robber, and a patient FBI agent. Joe was no ordinary bank robber. He was bright, articulate, charismatic, and driven by a dark rage that he summoned up at will. In seven episodes, Joe tells all: the what, the how… and the why. Including why he tried to murder his father. Season 3 - The Burden: Avenger Miriam Lewin is one of Argentina’s leading journalists today. At 19 years old, she was kidnapped off the streets of Buenos Aires for her political activism and thrown into a concentration camp. Thousands of her fellow inmates were executed, tossed alive from a cargo plane into the ocean. Miriam, along with a handful of others, will survive the camp. Then as a journalist, she will wage a decades long campaign to bring her tormentors to justice. Avenger is about one woman’s triumphant battle against unbelievable odds to survive torture, claim justice for the crimes done against her and others like her, and change the future of her country. Season 2 - The Burden: Empire on Blood Empire on Blood is set in the Bronx, NY, in the early 90s, when two young drug dealers ruled an intersection known as “The Corner on Blood.” The boss, Calvin Buari, lived large. He and a protege swore they would build an empire on blood. Then the relationship frayed and the protege accused Calvin of a double homicide which he claimed he didn’t do. But did he? Award-winning journalist Steve Fishman spent seven years to answer that question. This is the story of one man’s last chance to overturn his life sentence. He may prevail, but someone’s gotta pay. The Burden: Empire on Blood is the director’s cut of the true crime classic which reached #1 on the charts when it was first released half a dozen years ago. Season 1 - The Burden In the 1990s, Detective Louis N. Scarcella was legendary. In a city overrun by violent crime, he cracked the toughest cases and put away the worst criminals. “The Hulk” was his nickname. Then the story changed. Scarcella ran into a group of convicted murderers who all say they are innocent. They turned themselves into jailhouse-lawyers and in prison founded a lway firm. When they realized Scarcella helped put many of them away, they set their sights on taking him down. And with the help of a NY Times reporter they have a chance. For years, Scarcella insisted he did nothing wrong. But that’s all he’d say. Until we tracked Scarcella to a sauna in a Russian bathhouse, where he started to talk..and talk and talk. “The guilty have gone free,” he whispered. And then agreed to take us into the belly of the beast. Welcome to The Burden.