November 6, 2025 • 49 mins
O lançamento do Aardvark marcou mais um passo na integração entre Application Security e Inteligência Artificial. Mas o que isso realmente significa para o futuro da segurança de software? Neste episódio, exploramos como soluções baseadas em IA estão transformando a forma como detectamos, priorizamos e corrigimos vulnerabilidades — e o que muda no papel do profissional de AppSec diante dessa automação crescente. Conversamos sobre riscos, oportunidades e limites éticos dessa evolução: da triagem automatizada à geração de código seguro, passando por frameworks que prometem “segurança autônoma”. No fim, a pergunta permanece: estamos prontos para confiar à IA a defesa das nossas aplicações?
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:14):
e
e
Olá, olá, olá, pessoal!
Tudo bem com vocês?
(00:39):
Eu sou o Bem-Ou.
E eu sou Marcos Santos.
Bom, time completo.
Marcos, você conhece essa camisa aí, viu?
Conhece essa camisa aí, cara.
Muito boa essa camisa.
na b-sides Krakow agora 2025 teria uma também.
Boa!
E não é só essas como outras, né?
Bem melhores.
(01:01):
Boa!
Você que está curioso aí que camisa o Marcos está usando, vai lá no OnlyFans barraMarcos...
Quer dizer, manda um...
Manda uma mensagem pra ele que ele te manda as fotos, as camisas que ele conseguiu nonosso evento.
Beyrus, está bem também, cara?
Faz tempo que gente não se vê, não senta aqui, né?
Isso é verdade, verdade.
Estou ótimo, momentos muito movimentados no mundo de Epsec e de gente aí, mas...
(01:28):
Boa, boa.
Aliás, tão movimentado quanto, eu diria que é o seguinte, esse episódio aqui é a estreiada nossa nova temporada, que praticamente a gente pausou tempo ali e gente não conseguiu
voltar.
Enfim, então eu decidi cortar as temporadas, a gente encerrou a sexta.
Esse episódio aqui é a estreia da nossa sétima temporada, gente já praticamente vai pro...
A gente está no sexto ano, indo pro sétimo ano, deve ser o Copos Podcast.
(01:52):
mais 180 episódios para vocês.
dito isso, temos alguns recados aqui.
O primeiro recado é, lembre-se que o DevCop podcast tem todo o apoio suporte da Nova8, queé a distribuidora da SNIC e outras soluções também no Brasil.
A Purple Bird Security que vai cuidar de você durante e depois de incidente de segurança.
(02:13):
Acredite, você precisa da Purple Bird Security.
Gold Security com serviços especializados segurança de aplicações.
Se tiver algum...
demanda aí do teu lado fala comigo digital woke que tem um portfólio completo de soluçõesde epsec para você e o nosso novo parceiro para estrear essa temporada que eu diria
dourada né essa cor inclusive não é por acaso breve vocês verão mais porque temos aconviso que protege a organização contra fraudes e ataques cibernéticos com os tori
(02:43):
plataforma especializada em epsec
para instituições financeiras e empresas que lidam com dados sensíveis.
Ou seja, mundo.
Ou você é financeiro ou você está lidando com o dado sensível de alguém.
Para fortalecer a gestão de segurança de aplicações.
Então, bate papo com a galera da Convívio que também vão te ajudar.
Além da plataforma da Convívio também, que é uma plataforma sensacional.
Bom, pessoal, estamos aqui.
(03:04):
Vamos falar de quê?
Vamos falar da vida, vamos só ver uma cara do outro, vamos trazer conteúdo.
Qual é tema de hoje?
Vamos trazer conteúdo aí, Benyur falou bem sobre esse tópico aí, é tópico relevante, novoaí no mercado também, saiu aí recentemente.
Então vou deixar o Benyur apresentar o tema de hoje aí que acho que vai ser bem importantepara todos os ouvintes.
(03:31):
Pessoas, surgiu essa semana um lançamento aí na indústria, esse lançamento sacudiu pouco ofoi o ar do VARC da OpenAI, né?
E acho que é interessante, todo mundo que é de APSEC está cuidando disso, não por causa doproduto si, mas a estratégia si, Porque a estratégia pensada é uma estratégia
(03:58):
interessante, mas...
Tudo tem pontos positivos, pontos negativos, Questões importantes que realmente ajudam,mas tem outras que talvez tragam um custo elevado ou mudem o modelo de operação, não
expõem pouco mais ao risco ou nos reduz algum tipo de risco.
(04:19):
E eu acho que é interessante a gente comentar pouquinho sobre a estratégia, né?
E o que que é a estratégia?
O uso de agentes de IA
de fato trabalhando na segurança do código da gente.
Ah, puto, cara.
Acabou o nosso emprego.
Acabou o emprego.
A IA tomou o nosso emprego, tomou o nosso trabalho, acabou.
(04:40):
que ia demorar mais 15 anos pra isso, pelo menos.
Já perdi o emprego agora, Tristeza.
É, assim, se você tem profissional que trabalho dele é fazer code review e encontrarvulnerabilidades, esse cara tem que Eu não vou dizer, acabar, todo mundo adora falar isso,
né cara?
Vai acabar, vai acabar, vai acabar, né?
(05:03):
Mas vai ter que se transformar pouco, né?
Ele vai ter que...
Ele vai ter que se expandir pouco a sua visão, né?
Então acho que isso que é importante, porque essa estratégia não é nova.
a sócia está começando a ser materializada de forma nova, o que a ainda não conseguiu, eaí eu vou deixar para futuras partes do podcast, é conseguir isso de forma escalável no
(05:29):
tempo correto e nos custos adequados para dentro da operação.
Então isso ainda é certo desafio.
Então esse é o jogo.
Agentes de A como Security Researchers.
Boa, cara, inclusive eu não sabia dessa iniciativa, Tanta coisa que a tem que ficarantenado.
(05:49):
Eu agora tô antenado aprender a tocar violão.
Tô tentando ficar pouco fora de...
Fora de EFSEC.
uma musiquinha legal pra você tocar agora, cara, depois desse aqui que é o...
Boa, boa, verdade, verdade.
Morreu mais emprego, né?
(06:10):
Boa.
Cara, mas pegando esse gancho aí, então vamos falar sobre esse tema, falar em AI em geral,mas não só especificamente do AdWark, que é uma solução para essa interessante da OpenAI.
E eu vou até puxar pouco de contexto.
Eu trabalhei recentemente com algumas soluções, por exemplo, a MobAI, inclusive MobAIesteve aqui conosco no Deve Ser Cosplay de Cache, algumas temporadas atrás.
(06:34):
Apiros, iCode, soluções de ISPM.
E por exemplo, a MobAI, a solução deles é você basicamente pega o seu resultado do seuSAST, o seu SNIC, seu Veracode, o seu Checkmarks, enfim, e XML, JSON da vida lá, arquivo
de...
Agora eles conectam com API, mas basicamente você pega o resultado do SAST, importa dentrodo MobAI e ele vai te dar um wizard de como resolver aquelas vulnerabilidades.
(06:58):
É literalmente wizard, SQL Injection aqui, aí você faz review...
manual barra automático porque ele já vai propor a solução a sua revisão é ver se asolução está correta.
Olha tem uma variável aqui que ela está como string quer trocar para inteiro parece ser IDaí você dá só next vai só aceitando ou não pode trocando a solução é basicamente
wizardzinho ou seja ele já apresentou já a correção da vulnerabilidade e você vai fazendoreview ali se aquela solução está correta e detalhe obviamente no final ele já faz o pull
(07:28):
request para você no seu repositório aquela coisa toda é obviamente isso
utilizando o modelo de AI por trás.
Então ele sabe como é a vulnerabilidade, sabe como deveria ser corrigido, basicamente elete dá essa solução.
Fala aí, Marcos.
Pode comentar aí.
só só complementando está falando do mobile aí ele não executa varredura no código vailembrar que ele depende ele se não me engano funciona com o snake checkmarks vera code e
(07:53):
esqueci qual é o outro mas são quatro ferramentas de segurança sonar isso e sonar com issoali você importa os resultados do scan e gera ali a a correção das vulnerabilidades por iá
mas você depende
de scanner externo ali pra isso.
E quem tiver curioso foi no ar aí na quinta temporada, 13, Foi julho aí do ano passado.
(08:19):
essa produção vai ter aumento na sétima temporada.
Aumento pra produção, cara.
Não tem como.
Vou começar com o meu advogado diabo aqui das coisas, Hoje o meu trabalho é ser o chatão,né?
Tem um lado importante quando gente fala de correção de vulnerabilidades com inteligênciaartificial, tá?
(08:42):
Não tô falando especificamente do mob ou até mesmo ali, que nem gente tá falando dohardware, mas vamos pegar...
Eu não quero me centralizar em ferramenta...
Uhum.
eu acho que a estratégia é uma coisa extra...
E essas estratégias, eu acho que elas vão estar por todo lugar, tá?
O mundo tá ficando pouco mais chato que tá todo mundo fazendo a mesma coisa, né?
Então, tá ficando pouco mais chato isso.
(09:05):
Então...
É...
Então, mas assim, correção de vulnerabilidade com IA.
Existe uma porcentagem interessante de novas vulnerabilidades sendo introduzido com ocódigo gerado pela IA.
Então...
Sempre que a gente tá...
pegando código e gerando correção, nós também temos que ser capazes de validar se acorreção não introduz uma nova vulnerabilidade ou se ela corrige de fato a vulnerabilidade
(09:36):
que foi encontrada no início.
Vou dar exemplo mais padrão, se com injection, concatenação de string.
Eu já vi muitas vezes a IA só criar uma variável externa
com os parâmetros e concatenar a variável externa.
Não de fato fazer usar um SQL Parameter e tal.
(10:05):
esse ciclo acaba sendo completo se tu tiver o antes e o depois com a análise estática.
Você fez a análise estática, encontrou a vulnerabilidade, usei a fase A recomendação evocê...
de novo passa a mesma validação da sua engine para ver se ela não existe mais.
E claro, gente tem aquela questão do breakability, o quanto que a recomendação da IAquebra o código atual.
(10:31):
E até adicionar negócio aí, o Bayer, até passo atrás, não só usar EA para corrigirvulnerabilidades, mas o próprio uso da EA para gerar já é questionável.
Eu acho que tem uma questão de agilidade, velocidade muito importante que se ganha com EA.
Mas a qualidade desse código em si está funcionando.
(10:53):
lá, quero falar para o chat APT, gera aí API para mim.
Está aqui, está API, dois minutos, está funcionando, perfeito.
Essa PI está performática para o que você precisa, você vai ter 10 milhões de requests.
Tem endpoint funcionário, mas vai aguentar?
É isso mesmo que você precisa?
Obviamente, tem umas questões de infraestrutura, mas o ponto aqui é, a geração por si sódo código por IA, seja para corrigir uma vulnerabilidade, seja para criar uma nova
(11:15):
feature, propósito que for, ela tem ainda um nível de maturidade, eu diria, baixo, talvezisso vai escalar muito rápido, porque é isso você está falando.
Você precisa de alguém que vai validar isso.
Até como tu falou.
Beleza, corrigiu a vulnerabilidade, mas trouxe outra.
Ou corrigiu a vulnerabilidade, mas quebrou a funcionalidade.
(11:36):
Ou corrigiu a vulnerabilidade, não quebrou a funcionalidade, tá perfeito.
Tá, como é que você dá o sinal verde pra isso?
Você ainda tem, por mais...
A IA vai ganhar na escala nisso, mas você ainda tem alguém que bate o martelo e fala,beleza, agora tá certo.
Agora é isso mesmo, corrigiu ou não corrigiu.
Eu trouxe esse exemplo da Mob por isso, porque ele te dá a solução, mas você precisarevisar a solução si.
(11:56):
Você pode ter auto update, soluções de ESPM hoje, exemplo, tem umas bases de engine, porexemplo, eu mencionei o Cycode o apiro, porque eles fazem isso, tem toda a sua base de
código, eles estão olhando todas as normalidades que acontecem lá, o JIT também faz isso,e eles vão te falar, ó cara, tem aqui várias soluções.
Talvez isso para SCA, eu te cortei, estou falando monte já, mas talvez, só para voltar notema do SAST, acho que para SCA isso seja mais fácil do que para SAST, e aí a pode talvez
(12:23):
entrar nesse próximo toque, mas só para não quebrar o teu raciocínio.
Só falando, o Benyur falou uma coisa importante, são essas novas vulnerabilidades que asiageram quando elas vão fazer uma correção ali, mas tem outro ponto também a gente faz
muito code review e tem muito atacante que acaba fazendo data poisoning então o cara aliacaba inserindo padrão de código que confunde a IA e às vezes nem consegue identificar
(12:55):
passa como falso positivo pra ela
que também é problema quando a fala de solução automatizada para isso, utilizando IA.
Acho que é ponto também importante para mencionar aqui.
Tá mudo, tá mudo o Biu.
Ola, é 20 horas de casa e você continua.
(13:16):
Bom ponto, Marques, porque vamos dar panorama então para as pessoas que estão escutandoaqui o podcast.
Cara, o que é agente de ar?
O que é a proposta do Aduarque?
provavelmente eles não vão ser o primeiro.
Talvez eles...
Talvez eles são...
Não digo o primeiro, né?
Porque tem várias variações sobre isso, né?
Mas é o que mexeu pouco na indústria, né?
(13:37):
A ideia é...
Cara, eu tenho um agente...
Pessoas, o que é um agente, tá?
Pelo amor de Deus, parem de achar que isso aqui é uma magia.
Agente é uma aplicação que tem um cérebro plugado de A.
É uma SDK com IA lá dentro, os caras usam, tá?
Beleza?
Ok.
Um agente faz milhão de coisas, mas ele é uma aplicação que usa IA como parte dos seuspoderes para resolver as coisas, tá?
(14:02):
Enquanto a gente fazia e fiel, não sei o quê, pode usar IA como negócio, tá?
Beleza?
Eu resumi de forma bem porca, mas é assim mesmo.
Hum hum.
lá.
Porque o pessoal acha que negócio é uma mágica absurda, é uma caixa preta que tu larga láe sai.
Tá, beleza, vamos lá.
Então eu tenho agente, que uma aplicação que vai se conectar no nosso ECM, GitHub, GitLab,whatever, tá?
Ela vai pegar o código, tá?
(14:25):
E aí vai pegar esse código, vai rodar primeiro uma modelagem de ameaça nele.
O que é uma modelagem de ameaça?
Ela vai ler o código, vai entender o contexto e vai identificar qual é tipo de ameaça queexiste naquilo ali.
Por exemplo, é uma aplicação que transferência bancárias, XX ameaça.
É uma aplicação que lida com arquivos, computador ou acessa informações dentro dosservidores.
(14:48):
É o tipo de ameaça.
É uma aplicação que interage com serviços de nuvem.
o tipo de ameaça.
Vai fazer a moda de ameaça.
Em seguida, baseado nisso, ela vai rodar a análise do código busca de vulnerabilidades.
Perceba que eu não falei de engine, não falei o como que ela está fazendo cada uma dessascoisas.
Falei do quê?
Feito isso, ela vai ter as vulnerabilidades que ela vai encontrar.
(15:11):
Com isso, ela vai rodar outro passo que é propor a correção dessas vulnerabilidades.
Com isso, ela vai deixar isso tudo num balde para o humano revisar.
O humano revisou, abre pull request lá.
Essa é ideia principal.
ou não vai lá sexo, sexo.
(15:33):
Pelo que eu li ali, parte de SA não está incluído.
a única e ex-COS...
Ali fala de Open Source, só que que fala de Open Source?
Que eles rodaram esse agente dentro de projetos Open Source e identificaram o CVS.
(15:53):
Ninguém falou da qualidade dessa CVS, entendeu?
Porque assim, vamos lá né...
Aqui tem o missing header aqui, sei o que, seu CVE, entendeu?
Então, tipo, ninguém falou do nível dessa CVS, né?
A precisa adentrar pouquinho melhor quais foram as CVS ali para adentrar.
(16:15):
Talvez no site tem uma descrição melhor, mas não vi nada sobre o estudo qualitativo sobreisso.
Outra questão que acho super importante é...
nesse agente ali, nessa estratégia, está unicamente e exclusivamente a revisão devulnerabilities de código.
Então aqui a gente começa agora, porque gente entendeu esse fluxo, vamos começar aentender os pontos positivos e os pontos negativos.
(16:42):
Primeiro, ponto positivo, se você já tem código existente, ele já existe hoje, para aparte de remediação, reduzir backlog,
pode ser uma ajuda interessante.
Pensa, você já tem repositório, já tem as coisas cometadas, já tá lá, você pluga lá,negócio vai te cuspir monte, encontre x vulnerabilidades, porque ele também faz uma outra
(17:05):
coisa ali que eu também não entendi bem bem a ia chegar lá, que é a análise dinâmica, né?
Ele faz a validação num sandbox, tá?
Pelo que eu entendi, essa parte do sandbox, literalmente executar aquele código.
O problema aqui é...
(17:29):
tem quatro microcells rodando repositório, só os outros três ali que compõem a aplicação.
problema aqui é tão complexo porque o sandbox em si, por exemplo, o antivírus hoje fazsandbox, mas ele faz sandbox de algo que já é executável, é jar, exe, ele vai pegar aquele
e dá dois cliques, tá ligado?
Neste caso, ele tá olhando pra código puro, que pode ser C Sharp, Java, TypeScript, R, ocaralho que for, então ele precisa compilar tudo isso, enfim.
(17:56):
importante que você falou.
Atualmente ele só está disponível para Python, Java, C++, Rust e JavaScript.
Não tem uma cobertura tão grande linguagem não.
Teve na documentação dele.
Isso facilita pouco nessa questão do sandbox, mas eu vejo nesse contexto de falar, deixaeu rodar esse código aqui.
(18:17):
Sei lá, BenRoo, pegando seu exemplo, BenRoo, mas que ela injeção.
Tá, então deixa eu rodar esse código aqui, jogar lá injeção, ver o comportamento dele defato e trazer ali o resultado.
É tipo validar se é falso, positivo ou não com exploit.
Eu vejo dessa forma, e seria fantástico porque esse sandbox, você fala, cara, é truepositivo.
E ele elimina...
Faos positivo pra caramba, deve ter umas dificuldades ali, resolve grande problema quegente tem hoje, mas segue aí.
(18:43):
Porque assim, vamos quebrar por partes.
A primeira parte é o que eu escaneio ou não escaneio.
Segunda parte, o que é essa modelagem de ameaças.
Terceira parte, o que é o scan de código.
O que é o sandbox, a validação e o DAST.
E depois o que é a recomendação da remediação.
(19:08):
Se a pegar por fases, acho que vai ser pouco melhor para entender.
Então vamos lá, primeira coisa, Cara, é só escanear código comitado.
A gente já tem 20 anos de indústria que a gente procura eliminar a vulnerabilidadeenquanto o código está sendo criado.
(19:29):
na máquina do peão.
enquanto o dev está desenvolvendo ou agora né vamos lá né porque agora virou 100 % suplaitin nosso mundo né porque ou eu vou instalar biblioteca externa ou eu vou pegar código
gerado por IA eu não faço mais porra nenhuma nessa merda dessa vida entendeu então
uma treta treta treta treta treta treta treta treta treta treta treta treta treta tretatreta treta treta treta treta treta treta treta treta treta treta treta treta treta treta
(19:58):
pior de tudo é que só vai sobrar os caras que fazem o reboco e olha lá, entendeu?
Porque...
É, entende?
assim, nisso a gente já começa a ver uma parte, né?
Então a gente volta pro fluxo de...
O dev cria todo o código ou gera todo o código, né?
E depois eu vou submeter esse código e depois eu vou ter uma validação, passa por exemploque foi o que a gente falou...
(20:26):
para depois eu ver automaticamente ali as correções de vulnerabilidade.
Aí para mim você vai ficar com dilema, Se eu tenho uma geração de código que pode serinseguro, eu mesmo vou prover a engine que vê segurança no código.
inseguro que eu gerei.
Eu fiquei meio assim, Eu não tô querendo botar defeito nas coisas, Só que é umquestionamento, tá?
(20:52):
lá, dando uma pincelada nisso aí, guardo o raciocínio.
A ideia que eu tenho trazendo nas empresas quando eu implemento a PSEC, exemplo, éjustamente isso.
Cara, qual é a sua maturidade hoje?
Em geral, a maturidade é baixa, média, a ponto de criamos código, fazemos scan,corrigimos.
Mas qual é o mundo ideal?
(21:13):
Não criamos vulnerabilidades, fazemos o scan para garantir, segue a vida.
Então a ideia é a gente pare de criar vulnerabilidade, a vai treinar o desenvolvedor,tanto corrigir problemas quanto não criá-los no primeiro momento.
Então eu vejo soluções como essa, exemplo, cara, pera, estou te gerando o código, que vocêvai ter que passar esse código depois no scan para verificar problemas, mas aí a vai
(21:34):
aprender.
Então de tanto corrigir esses problemas, ela tende a parar de criá-los também.
E aí na minha visão, escala muito maior, mais rápida do que o ser humano.
Então eu tende a chegar dia...
você falou, putz, é a empresa que está querendo reduzir o backlog, minha estratégiainteressante?
Pô, beleza, vai encaixar bonitinho.
Agora a empresa VibeCode total só pega código gerado?
(21:56):
Tende, bem entre aspas, muitas aspas, a esse código ser gerado, porque ele está aprendendocom o tempo, a ser gerado sem vulnerabilidades.
De novo, sei que eu estou dizendo aqui, quase tiro no pé, Mas esse é o ideal, é o que agente imagina que vai chegar lá, saca?
Eu acho que no momento que quantum chegar, aí esquece.
(22:22):
Cabou tudo.
Porque hoje a gente ainda tem o problema do tempo e quantidade de processamento.
A gente tem problema de dados ainda e o treinamento dos modelos ainda depende de dados nãosanitizados do mundo como todo.
Então quando chegar quantum, eu com certeza vou pensar...
(22:45):
o quanto vender pastel pode substituir muita coisa aí porque vai ser complicado.
Peraí que essa mereceu aqui.
Só abri ponto aí, bem vô, até pra...
pra gente continuar raciocinando também.
(23:05):
Você falou de tempo, isso me deu gatilho que você falou pouquinho desde o começo doepisódio.
Uma das preocupações que o pessoal tem quando implanta segurança é o tempo do scan.
Quantas vezes o cara falar, pô, vai segurar o meu pipeline mais dois minutos e o meudevorador vai ficar parado, blá, blá, blá.
Se quando você pede pra gerar app na IA, igual gente tava conversando, já demora cinco,dez minutos às vezes...
(23:28):
Imagine scan do rap inteiro.
E se for mono rap?
Cara, esquece.
Esquece, né?
E aí é diferente ponto, porque assim, ó...
Primeiro, né?
Vamos lá, a já sabe que vai escanear o repositório todo, né?
Aí sempre tem esperto que vai falar assim, ó...
Não, mas só vai escanear os commits novos.
Beleza, mas qualquer regra nova de segurança precisa fazer full scan.
(23:51):
A questão é qual que vai ser o teu apetite de risco para definir que só vai fazer fullscan todo domingo de noite.
Ou todo dia de noite.
E qual é o custo que isso vai ser?
Por que?
Lembrando, ia cobra por Tolkien.
E sabe o que tem também, Veiúr, nesse ponto aí?
A galera confunde muito isso também.
(24:13):
Você faz scan só do commit.
A tendência a você não pegar vulnerabilidades porque você não tem contexto inteiro dofluxo de código, o método que chama outro, que está outro arquivo, que chama outro, que
chama outro até chegar no banco, uma aplicação três camada básica que seja, você tem umfront, um MVC da vida ali e joga no banco, cara, você está scanando, você fez commit só na
(24:33):
camada de banco.
Acabou.
Não tem nada ali, mas lá no front, na camada intermediária, tem lá um...
passando parâmetro, enfim, coisa toda, tem vulnerabilidade ali no meio, mas como não teveanálise do código completo, aquele fluxo completo, até esse sandbox, por exemplo, vai ter
que ser executado, como é que você vai validar isso?
É sandbox com base no repo inteiro, é sandbox só no commit.
(24:54):
form sem validar pô, e você não tá pegando
Então esse é o ponto.
A gente trabalhou com checkmarks há anos.
E tinha esse problema.
Você tinha o scan incremental, que gente falava, e o scan full.
O scan incremental a tendência de deixar vulnerável era menor, a menos que era negóciomuito esdrúxulo.
Aí quando você rodava o scan full, tinha monte de coisa perdida lá.
Porque tinha pedaço do código.
(25:15):
Cara, esse trecho aqui não tem problema.
Espera, mas esse trecho, depois que foi chamado por outro, que tinha lá problema, ouchegou aqui assim assado...
isso torna muito mais visível.
até para análise, falando de SAST geral, você é IA, você não é tanto faz.
A análise em si, ela depende desse contexto.
Então até você trouxe muito bem a decisão de como esse scan acontece.
(25:37):
Isso impacta muito grande no próprio resultado final.
É igual falar, ó doutor, eu tô aqui com a dor no pé, então vamos fazer raio X na suacabeça.
Pera, tá ligado?
o raio de dia tem que ser no pé, beleza?
Agora, estou com uma dor na barriga, pode ser várias coisas, então vai ter uma análise,vários exames para chegar naquele caso.
Então tem um gap aí, eu vejo gap nesse miolo.
(26:01):
É um bom ponto, o primeiro passo dele é o Threat Modeling.
O que o Threat Modeling é, na verdade?
Ele precisa de input.
O é o input?
O código fonte, que o que eu tenho.
E aí, falando desse input, acho que tem desafio ali, eu preciso entender melhor, porqueagora está beta fechado, que é como é é a precificação.
(26:26):
Porque normalmente quando IA cobra por consumo...
Uhum.
aqui, vocês já passaram pela época quando o Sasha era cobrado por linhas de código?
Aô!
Oh meu Deus, linha de código e usuário, Miquinho.
Cara, era impossível ninguém conseguir imitrificar esse valor, cara.
Hoje ninguém consegue imitrificar esse valor, entendeu?
(26:47):
E pior é assim, Você consegue rodar lá uma contagem de linhas de código no seu códigointeiro usando várias ferramentas, tá?
Só que qual que o detalhe?
Você não consegue prever o quanto de linhas de código você vai ter amanhã.
E sabe o que é o detalhe?
Agora você cobra por linhas de código...
Na verdade, se você cobra por linhas de código...
(27:08):
e você usa IA, você não sabe quantas linhas de código a IA vai gerar.
contar que ela gera muito mais que o necessário.
muito absurdamente mais.
Falando com o chat EPT ele já fala demais do que necessário.
Falando, não tô falando de código.
bom que você quer saber a receita de banana picada você pega uma banana e uma faca carafoda-se cara entendeu então assim agora o outro detalhe é se a cobrança é por token e eu
(27:38):
também ingero as coisas baseadas token como que fica então esse modelo de cobrança pra mimele fica pouquinho estranho ainda não tenho visibilidade tá então acho que o primeiro
grande desafio é ok
e você vai pegar todo o meu código, vai mandar pra lugar e ele vai me cuspir quais são asvunes e as correções direto.
Mágico!
Acho lindo!
Mas a questão é agora, como que cobra isso e como que torna isso de forma escalável?
(28:06):
Beleza, Vem aí, usando isso internamente, então pra eles tem funcionado, tem sido ótimo,né?
Agora a indústria tem muito mais coisas do que isso, né?
E dos pontos da indústria é...
Porque esse cara é meio reativo, né?
Não me parece ser algo do tipo, cara, eu vou prevenir vulnerabilidades alcancem X níveldentro do meu git flow ali, vou dar exemplo, tá?
(28:31):
Não me parece mais depois, né?
Quanto tempo isso leva pra chegar tudo, né?
Então, a ideia é boa.
Agora, o que está sendo usado por baixo pra fazer de fato a análise da vulnerabilidade,tudo isso, isso é uma incógnita, né?
Isso é segredo do produto.
É então?
Mas vamos lá, tem um...
(28:53):
traga.
ponto que preocupa bastante, principalmente aqui na Europa, que a legislação é pouco maisrígida, né?
Que é questão de compliance, cara.
mente e pegou minha pergunta.
é questão de compliance, como os caras vão treinar isso sem utilizar os dados do clientesem trade para poder validar aquilo porque você imagina gente, tem uma desação rígida aqui
(29:19):
eles tem a promessa de não treinar usando os dados só que ele tem que enviar o código alipara poder ser escaneado como que vai regular isso né?
nosso amigo Benyur, que está aqui à esquerda no meu vídeo, há alguns episódios aí, eulembro que ele falou exatamente isso.
Você já leu as...
Essa foi a frase dele.
Você já leu as letrinhas miúdas do GitHub Copilot?
(29:42):
Ele tem acesso ao teu código.
Não lembro se era o Copilot, se pesquisava alguma coisa assim.
Ou seja, se você está usando...
tu tem que desabilitar.
Você está usando o bagulho nativo em aplicação...
Cara, está lá o bagulho.
Como é que vai aprender?
Vai ler o teu código.
A gente ia ter problema com a Nova 8, com o Checkmarks, com o Sneak, enfim.
(30:05):
O cliente quer comprar, perfeito, natural, lindo, maravilhoso.
Aí ele está, mas a análise é feita na cloud?
É.
Para onde vai o meu código?
Para onde vai o meu código?
Não, o teu código vai num tenant privado, é só teu.
Ah, beleza.
Está isso contrato, eu assino, lindo, maravilhoso.
Não, não, não, você está usando um Tenant compartilhado.
Opa, pera.
(30:25):
Então vou ter que pagar mais para ter Tenant.
Exato.
Porque assim, é um...
Praticamente o código fonte hoje é o segredo de todo mundo, toda empresa hoje.
Então você trouxe ponto importantíssimo, Marco, que é como é que as empresas garantem queisso é feito?
Porque falar e pôr no contrato, eu ponho e eu faço.
Agora, garantir que isso está sendo feito, que o dia que der merda...
(30:46):
Imagina, vazou que nem...
Vazou não sei o quê, não sei da onde.
Mas a senha estava texto aberto.
Ninguém esperava que era para estar texto aberto.
Não era para estar criptografada a senha.
Então isso é uma questão muito grande, com relação a...
Você falou de compliance no ponto de, por exemplo, ter empresa que não pode trafegar odado fora do próprio país.
(31:09):
No caso da Europa, União Europeia.
Enfim, então isso...
Cara, isso outro mundo, isso aí.
É outro mundo de discussão.
preocupa, né?
Porque vou mandar meus dados pro servidor da OpenAI pra eles processarem ali meu códigofonte, me devolverem ali o resultado das vulnerabilidades, quem me garante que eles não
estão usando meu código ali pra treinar, e esse código potencialmente vai ser usado quandoalguém pedir pra gerar código ali, uma ferramenta qualquer, similar a que eu tenho aqui.
(31:38):
olha só, concorrente vai lá e fala e como é que ele segrega isso?
Não, não, você vai gerar aplicativo.
Eu quero que gere WhatsApp aí pra mim.
Tá igual assim.
Até aí não tem, como é que fala?
Patente pra isso, É, o logro...
comentário, né?
O desenvolvedor fez comentário dia lá e eu tá aqui, o comentário do mesmo código.
Então isso, isso, cara, isso aí é crítico pra canalha.
o que mais me preocupa hoje, Porque vamos lá, eu acho que a OpenAI apareceu primeiro, mascara, todo mundo vai fazer isso.
(32:09):
Todo mundo vai utilizar a IA pra...
Porque vamos lá, o maior problema de AppSec hoje é remediação.
Porque a gente tem backlog...
É, isso aí, porque por exemplo, a gente tem backlog gigante de coisas pra resolver.
Esse backlog gigante, primeiro a gente tem que separar o que é falso positivo e que é findreal.
(32:31):
E feito isso, caso você esteja testando a câmera dele, o que é falso positivo que é findreal, feito isso a gente tem que chegar lá no código e, cara, corrige isso aqui pra mim.
E aí a gente tem ali um threshold, né?
gente tem do tempo que eu encontro a vulnerabilidade até ela ser corrigida da formaadequada.
(32:51):
Aí vamos lá, olhando pro futuro.
Quando a empresa é muito pequena, ela corrige o padrão.
Cara, só corrige aí.
Quando a empresa é grande, ela tem security defaults e tal.
O lado bom da IA na remediação é que você pode definir muitas security defaults textoplano.
Sempre que você for recomendar uma correção de SSRF, você recomenda assim.
(33:14):
Entendeu?
Isso, o system lá e joga o bar, tá?
Então, muito bom na parte de remediação.
E toda empresa vai ter isso, tá?
Toda empresa de remediação de vulnerabilidade vai ter isso, sabe?
Só que a questão é a inteligência pra tu saber o que você tem que remediar.
Porque se ferramentas que são tunadas pra eles já têm falsos positivos, nada impede dessemecanismo também ter.
(33:38):
E ele vai sair gerando código, né?
Então, nada impede dele não estar corrigindo uma vulnerabilidade só adicionando maiscódigo.
Mas hoje o que me preocupa é o pipeline, é o workflow, né?
Porque a ideia é, o dev desenvolve, a gente já quer mitigar a vulnerabilidade ali pra queela já nasce sem a vulnerabilidade, né?
Depois a gente quer validar, porque o CISG lá, o pipeline, é guardrail, né?
(34:01):
Cara, não vai passar daqui se tiver, caso fale alguma coisa antes, né?
E depois você só vai olhar aquilo que tá produção.
E o que é o ideal que a gente espera de produção?
Que a gente veja apenas novas vulnerabilidades ou quando pacote de terceiros tornarvulnerável ou...
Enfim, beleza?
e a gente tem vulnerabilidades são muito difíceis de encontrar com análise estática,Vuguidor por exemplo, E a gente espera utilizar IA, juntamente com DASTE ou com análise
(34:29):
estática, encontrar vulnerabilidades são muito difíceis de uma análise estática.
Padrão, né?
Default trabalhar, tá?
Então assim, se eu...
Se esse meu tempo entre eu terminar um código, comitá-lo e ter o feedback dasvulnerabilidades que eu tenho...
para uma aplicação grande, cara, levar duas, três horas, quatro horas, esse é o impactoque eu vou ter no desenvolvimento.
(34:57):
Se eu tenho mil desenvolvedores, gente sabe que tem quatro horas de impacto pordesenvolvedor por pull request, por exemplo.
Entendeu?
E a gente volta na estatística do tempo consumido na correção do deve.
por estar encontrando tardiamente a vulnerabilidade.
(35:19):
Qual que esse modelo resolve?
A ideia é que já venha com a proposta de correção.
É ideia que o código gerado, não tenha esse problema e até esse possível explicado.
está aqui a funcionalidade que pediu.
Não tem SQL Injection, não tem ASTOP10, não tem isso, não tem aquilo.
Exato, porque daí uma das preocupações que a tem remediação é, nós encontramos tardiamentea vulnerabilidade, então ali eu tenho impacto de no mínimo 4 horas por deve.
(35:48):
Só que depois que gente tem a vulnerabilidade encontrada, o deve tem todo o workflow delede ver o que foi a vulnerabilidade, entender, ver como corrigir, corrigir e testar de
novo.
Que essa parte...
Pra deve ser menos, pra outro deve ser mais rápido.
E depende da vulnerabilidade.
Exatamente.
Então aqui onde está o trade-off é justamente assim, talvez eu aceite ficar 4, 5 ou 8horas do pipeline travado, só que troca já vem tudo corrigido.
(36:23):
Essa é a promessa.
É.
Não é a entrega.
gente precisava ainda ver a entrega.
fechado, mas o que o Benur traz é bem importante.
E também voltando aquele ponto inicial que o Benur trouxe, qual a chance do código quebrarcom essa correção que a IA tá apresentando?
(36:44):
Exatamente isso que ia falar agora.
Você perde pra criar qualquer coisa, você tem que ficar corrigindo ali ó, CSS tá sendoaplicado.
Pluguei no tatal.
Mas vamos lá, eu trazer outro ponto pra gente caminhar pro final, que é o seguinte...
A gente está falando, pegou o exemplo do Artvart e outras, mas quando gente olha para a AIgeral, gente vê tanto potencial para o ciclo de AppSec como todo, desde modelagem de
(37:15):
ameaças, até onde eu tenho requisito funcional simples, que é a matéria-prima do software,até essa aplicação em produção, funcionando onde eu tenho que monitorar ela real-time.
Então você tem os dois extremos.
Entre modelar ameaça...
ou pensar impossíveis ameaças de requisito funcional, que nem tenho software ainda.
E olhar essa aplicação depois produção tempo real, eu tenho um abismo aqui no meio.
(37:38):
E nesse meio, eu tenho todas as fases de desenvolvimento de software, acontece monte decoisa, eu tenho tempo X, tudo com relação à segurança neste miolo, vou dizer assim, a IA
pode ajudar.
Porque, por exemplo,
Uma coisa que o Ben Hur falou, você fez uma modelagem de ameaça, entendi o contexto daminha aplicação, aplicação financeira exposta para internet, tem dados sensíveis, blá,
(38:02):
blá, blá, beleza.
Esse é o contexto.
Agora eu tenho linhas de código associadas a esse contexto que podem me trazer problemas.
Perfeito.
Não só isso, eu posso ter um ambiente, a gente está falando de DAS, TIA, STP, Pentest, terum ambiente que pode levar a uma exploração de uma falha que não está especificamente na
(38:22):
linha de código.
mas que pode me levar a ferir dos pilares de segurança dessa aplicação nesse contextodado.
Eu posso ter ainda falhas no meu ambiente, no meu sistema operacional, que vão levarfalhas a executar exploit, há um problema de vulnerabilidade na aplicação.
Então percebe que são vários pontos em que eu posso não ter uma vulnerabilidade no código,mas a hora que eu rodo essa aplicação num servidor específico, naquela versão
(38:49):
específica...
vai acontecer tal coisa.
Por isso que entra o DASH, isso que entra pen test, eu posso ter falhas de lógica.
Então quando eu estava falando no começo lá, soluções como ESPMs, exemplo, que usam asbases de AI que eles têm, porque ele pluga no teu ambiente, ele pluga no teu repositório
de código, ele pluga lá na tua API Gater, na tua cloud, ele pluga no teu servidor, no teucluster Kubernetes e tal.
(39:14):
Então ele está olhando para tudo isso.
Quando ele acha um problema, ele consoli...
Por exemplo,
Tem uma secret exposta aqui no código, mas esse código não está exposto para internet.
Bom, beleza, tem um problema, mas tem problema mínimo.
Mas olha, essa secret, além de não estar exposta para internet, está exposta no código,mas é uma secret que a testou aqui, é uma chave do Google.
(39:37):
Testou, não está mais válida, o request falhou, a chave está inspirada.
Logo, precisava nem reportar.
Você pode reportar isso, mas não é nem alarde.
é diferente de, olha, você tem uma secret num código exposto num arquivo de configuração,numa aplicação exposta para internet, a secret está válida, tem permissão de leitura na
tua AWS, ou permissão de escrita na tua AWS, etc.
(40:00):
Então você vê que o contexto como todo ajuda e para eu chegar nessa resposta eu preciseiintegrar três, quatro, cinco lugares diferentes.
Aí sim é onde eu vejo o AppSec como uma área se beneficiando...
absurdamente de reais de uma maneira geral.
Já, como a gente falou, já tem soluções para a Saastia, tem soluções...
O SAA, acho que não é problema tão grande hoje, é muito mais caracrachá, ele mais fácil,entre aspas, mais fácil do que um Saastia.
(40:26):
Mas você vê que todo este contexto te dá uma assertividade maior.
O Benyur falou muito bem, o grande problema hoje de AppSec é a remediação.
Então se eu tenho soluções que me ajudam a consolidar tudo isso e me falar o que de fatoeu preciso olhar para remediar...
vez de olhar para backlog de mil problemas, olha para backlog de 100 problemas.
(40:47):
De 50 problemas, de 10 problemas, entende?
Essa redução, ou essa contextualização eu diria que é ideia reduzir esse grande backlogolhando para cenário mais legado.
Aí sim está o ganho.
Aí não importa, vai demorar 8 horas, mas você vai sair de backlog de 10 milvulnerabilidades para reporte de compliance para 50.
(41:07):
50, você vai lá e resolve, tá ligado?
Um backlog...
grande e garoto nem quer olhar, backlog irrasuável e as pessoas vão dedicar tempo nisso.
Então tem todo um, na minha visão AI, tem todo um, uma switch de ferramentas ou uma switchde capabilities que vai de fato ajudar a gente em app sector de uma maneira geral.
(41:30):
Só que eu ainda estou de acordo com o Ben Hur ali, com o que ele falou.
Boa parte dos problemas hoje é o Supply Chain.
Então código fonte pode ter problema?
Pode, vai sempre ter problema, isso é fato.
Só que hoje dia tá tudo Docker ali, tá tudo dockerizado.
Quem tá olhando essa imagem Docker ali?
A IA vai olhar isso?
(41:52):
Vai reportar?
Fala qual imagem vai estar menos vulnerável ou não?
Aí são higienes né, por exemplo, se a for pegar o modo agêntico de resolver as coisas, Oque que tu faz?
Vamos lá, a gente tem a nossa aplicação, a nossa aplicação recebe um request com uma sériede dados, o input tá?
(42:14):
Esse input é um gigapropt, beleza?
Vamos pensar assim.
Depois eu vou mandar isso para um cérebro, lá STK por exemplo, lá da OpenAI, GMA, o LLMque eu estou usando ali, beleza?
Esse cara eu posso plugar duas coisas nele, tool calling, que é ele poder chamar, eu deixoele livre para ele chamar um método dentro da minha aplicação ou eu posso plugar mcp, que
(42:39):
daí eu vou fazer isso de forma externa.
Aí eu vou depender de engine, Marcos, bom ponto.
Cara, vou pegar, tem docker, manda para esse engine aqui, olha, voltamos ao modotradicional de ter uma engine disk, entendeu?
Voltamos ao modo tradicional.
Depende de uma base externa de conhecimento, quê?
Porque tem duas coisas que gente não falou aqui.
(43:02):
Primeiro ponto...
Não, eu vou deixar a bomba agora.
deixo a bomba lá.
data de corte de treinamento.
O que?
Então, assim, a maioria do data de corte é três a seis meses.
Pode achar estranho, né?
Mas a gente não descobre vulnerabilidade a cada seis meses.
(43:23):
Poidze!
E a outra questão é a alucinação, que é problema global e quando você usa a engine paradetectar e você usa a engine para responder, a alucinação é uma ameaça dentro da solução.
porque você vai ter também problemas de AI, de segurança, porque agora você está confiandoalguém que vai corrigir seu código que também possa ter problemas.
(43:50):
Exatamente, então assim, quando a gente fala de, mas a NGINE executou isso aqui, isso aquié falso positivo, a tem que corrigir a NGINE.
Não é com E.A.
que você vai resolver isso do dia pra noite.
A E.A.
também tem o problema da alucinação, Ela também tem problema de treinamento, né?
Ela também tem uma série de outros desafios, né?
(44:11):
Resumindo isso, ela também é software,
Mas até o meu...
IA é generativa por objetivo.
Ela serve para pegar coisas e girar coisas.
IA não é assertiva.
Então assim, ó, mas eu vou confiar.
(44:32):
Mas é só configurar a temperatura.
Pelo amor de Deus, quando você configura a temperatura, você diz qual vai ser a variância.
da resposta dela, né?
Se ela vai realmente, de fato, pegar o primeiro token que ela encontrar ou não.
Lembrando que se ela...
Ela é que nem, cara...
Cara, ela é que...
Desculpa a analogia, mas ela é que nem uma pessoa cega que não tem...
Que ela tem que decidir o caminho dela.
(44:52):
Se ela errar o primeiro passo, ela vai se basear no primeiro para dar o segundo, o segundopara dar o terceiro, o terceiro para dar o quarto.
Se ela está na direção errada, ela vai continuar errada, tá?
Então, a temperatura é o quanto ela é capaz de olhar assim.
Tá, eu vou usar primeiro esse token ou depois esse token ou depois esse aqui.
E ela vai ter essa variância.
assim, resumo, acho que esse modelo de tuto tem um agente para resolver os problemas desegurança e te entregar.
(45:19):
acho que ele...
Eu não vou dizer que ele é disruptivo, eu acho que ele é óbvio.
Eu acho que tem muitas empresas, muitas empresas já estão trabalhando nisso.
A diferença é...
Tem empresas que vão estar na frente porque elas já têm boas engines.
elas precisam integrar a inteligência artificial dentro das suas engines de formaassertiva, porque daí elas têm o custo operacional dela que já é controlado e ela pode
(45:51):
utilizar IA para fazer para ganhar o poder de potencializar suas próprias engines.
Lembrando que hoje o problema é remediação.
e
do parafrasear Capitão Nascimento quando ele falava o sistema trabalha para resolver osproblemas do sistema.
(46:14):
É isso cara então boa eu acho que esse topo foi fantástico tem muita coisa para falarnesse tema inclusive com exemplos como soluções como a falou de soluções de mercado já
ajudando muito nisso a OpenAI agora lançando isso tem um peso obviamente muito grande.
Mas ela não é a primeira, já tem outros fazendo.
Talvez o peso que eles tenham gera uma expectativa grande.
(46:39):
Mas eu vejo muita gente ainda depositando todas as fichas na AI.
Porque vai gerar código mais rápido, porque eu posso mandar embora metade dosdesenvolvedores, porque o meu custo vai ser mais baixo, não sei o Cara, mas não é simples
assim.
Então, é importantíssimo que a gente tome cuidado com isso.
Bom...
E aí
(47:00):
Jovens, muito bom tê-los aqui.
Dá pra falar de volta, gente fica uns espaços sem se ver, mas enfim.
De volta pra sétima temporada, na verdade.
Vida longa ao DevCop Podcast.
Com novos parceiros, lembrar da Nova 8, Purple Bird Security, Gold Security, Digital Oak ecom o Viso.
Não se esqueça que os novos parceiros estão aqui não só pra nos apoiar, mas também pra...
(47:26):
apoiá-los.
Então caso precisem, caso necessitem de algum desses serviços especializados, não existeem contactá-los.
Pessoal!
Então isso podemos finalizar por hoje, que tem uma topíssima que o Benyur lembrou e trouxepra gente.
Então, agradecer ao Benyur aí por trazer o tópico, foi muito bom, gostei bastante.
(47:51):
Fale.
Acho a ideia boa, mas eu acho que como os escala enterprise ali me preocupa.
Me preocupa muito.
Eu acho que as promessas estão muito altas.
Pegar uma problema que a gente comentou.
Ah cara, faz análise dinâmica.
Cara, todo mundo sabe hoje pra se fazer uma análise dinâmica numa aplicação, tem quecolocar ela pra rodar e ela depende de outras 20 aplicações.
(48:15):
Como é que tu...
Cara, imagina que coisa linda, tu entrega set de repositórios e aprende a subir tudo doambiente.
Nunca vai precisar de meio de alongação, ela sempre vai subir tudo zero.
Cara, sei lá, a promessa me preocupa demais, assim, sabe?
É a treta do teste unitário, galera, faz teste unitário, tá tudo verdinho e passou.
Você integra no ambiente, quebra tudo.
Pois é, ok, acho a ideia linda, mas eu tenho que entender o que é promessa, o que é jogode palavras.
(48:48):
Fizemos análise dinâmica!
O que é análise dinâmica?
É só você perguntar para a Yalck para analisar o workflow de código?
Entendeu?
Sabe?
Acho que tem que entender o que está escrito por debaixo das palavras para entender bem oque está acontecendo.
Se não virou papo de venda.
Boa.
Não queremos papo de venda, queremos entrega.
(49:12):
Já estamos cheios de problemas, não queremos mais problema, queremos de fato solução.
Muito bem colocado.
Pessoal, acho foi isso no episódio de hoje.
Episódio 1 da sétima temporada, mas é o 180 e alguma coisa, da história deve ser qualpodcast.
Nos vemos na próxima semana, com certeza.
Eu sou o Caso Pereira.
(49:32):
Eu sou Benhor.
E eu sou Marte Santos.
Boa gangue reunida.
É isso aí galera, valeu, beijos.
beijo de luz, falou
e
e
Olá, olá, olá, pessoal!
Tudo bem com vocês?
(00:39):
Eu sou o Bem-Ou.
E eu sou Marcos Santos.
Bom, time completo.
Marcos, você conhece essa camisa aí, viu?
Conhece essa camisa aí, cara.
Muito boa essa camisa.
na b-sides Krakow agora 2025 teria uma também.
Boa!
E não é só essas como outras, né?
Bem melhores.
(01:01):
Boa!
Você que está curioso aí que camisa o Marcos está usando, vai lá no OnlyFans barraMarcos...
Quer dizer, manda um...
Manda uma mensagem pra ele que ele te manda as fotos, as camisas que ele conseguiu nonosso evento.
Beyrus, está bem também, cara?
Faz tempo que gente não se vê, não senta aqui, né?
Isso é verdade, verdade.
Estou ótimo, momentos muito movimentados no mundo de Epsec e de gente aí, mas...
(01:28):
Boa, boa.
Aliás, tão movimentado quanto, eu diria que é o seguinte, esse episódio aqui é a estreiada nossa nova temporada, que praticamente a gente pausou tempo ali e gente não conseguiu
voltar.
Enfim, então eu decidi cortar as temporadas, a gente encerrou a sexta.
Esse episódio aqui é a estreia da nossa sétima temporada, gente já praticamente vai pro...
A gente está no sexto ano, indo pro sétimo ano, deve ser o Copos Podcast.
(01:52):
mais 180 episódios para vocês.
dito isso, temos alguns recados aqui.
O primeiro recado é, lembre-se que o DevCop podcast tem todo o apoio suporte da Nova8, queé a distribuidora da SNIC e outras soluções também no Brasil.
A Purple Bird Security que vai cuidar de você durante e depois de incidente de segurança.
(02:13):
Acredite, você precisa da Purple Bird Security.
Gold Security com serviços especializados segurança de aplicações.
Se tiver algum...
demanda aí do teu lado fala comigo digital woke que tem um portfólio completo de soluçõesde epsec para você e o nosso novo parceiro para estrear essa temporada que eu diria
dourada né essa cor inclusive não é por acaso breve vocês verão mais porque temos aconviso que protege a organização contra fraudes e ataques cibernéticos com os tori
(02:43):
plataforma especializada em epsec
para instituições financeiras e empresas que lidam com dados sensíveis.
Ou seja, mundo.
Ou você é financeiro ou você está lidando com o dado sensível de alguém.
Para fortalecer a gestão de segurança de aplicações.
Então, bate papo com a galera da Convívio que também vão te ajudar.
Além da plataforma da Convívio também, que é uma plataforma sensacional.
Bom, pessoal, estamos aqui.
(03:04):
Vamos falar de quê?
Vamos falar da vida, vamos só ver uma cara do outro, vamos trazer conteúdo.
Qual é tema de hoje?
Vamos trazer conteúdo aí, Benyur falou bem sobre esse tópico aí, é tópico relevante, novoaí no mercado também, saiu aí recentemente.
Então vou deixar o Benyur apresentar o tema de hoje aí que acho que vai ser bem importantepara todos os ouvintes.
(03:31):
Pessoas, surgiu essa semana um lançamento aí na indústria, esse lançamento sacudiu pouco ofoi o ar do VARC da OpenAI, né?
E acho que é interessante, todo mundo que é de APSEC está cuidando disso, não por causa doproduto si, mas a estratégia si, Porque a estratégia pensada é uma estratégia
(03:58):
interessante, mas...
Tudo tem pontos positivos, pontos negativos, Questões importantes que realmente ajudam,mas tem outras que talvez tragam um custo elevado ou mudem o modelo de operação, não
expõem pouco mais ao risco ou nos reduz algum tipo de risco.
(04:19):
E eu acho que é interessante a gente comentar pouquinho sobre a estratégia, né?
E o que que é a estratégia?
O uso de agentes de IA
de fato trabalhando na segurança do código da gente.
Ah, puto, cara.
Acabou o nosso emprego.
Acabou o emprego.
A IA tomou o nosso emprego, tomou o nosso trabalho, acabou.
(04:40):
que ia demorar mais 15 anos pra isso, pelo menos.
Já perdi o emprego agora, Tristeza.
É, assim, se você tem profissional que trabalho dele é fazer code review e encontrarvulnerabilidades, esse cara tem que Eu não vou dizer, acabar, todo mundo adora falar isso,
né cara?
Vai acabar, vai acabar, vai acabar, né?
(05:03):
Mas vai ter que se transformar pouco, né?
Ele vai ter que...
Ele vai ter que se expandir pouco a sua visão, né?
Então acho que isso que é importante, porque essa estratégia não é nova.
a sócia está começando a ser materializada de forma nova, o que a ainda não conseguiu, eaí eu vou deixar para futuras partes do podcast, é conseguir isso de forma escalável no
(05:29):
tempo correto e nos custos adequados para dentro da operação.
Então isso ainda é certo desafio.
Então esse é o jogo.
Agentes de A como Security Researchers.
Boa, cara, inclusive eu não sabia dessa iniciativa, Tanta coisa que a tem que ficarantenado.
(05:49):
Eu agora tô antenado aprender a tocar violão.
Tô tentando ficar pouco fora de...
Fora de EFSEC.
uma musiquinha legal pra você tocar agora, cara, depois desse aqui que é o...
Boa, boa, verdade, verdade.
Morreu mais emprego, né?
(06:10):
Boa.
Cara, mas pegando esse gancho aí, então vamos falar sobre esse tema, falar em AI em geral,mas não só especificamente do AdWark, que é uma solução para essa interessante da OpenAI.
E eu vou até puxar pouco de contexto.
Eu trabalhei recentemente com algumas soluções, por exemplo, a MobAI, inclusive MobAIesteve aqui conosco no Deve Ser Cosplay de Cache, algumas temporadas atrás.
(06:34):
Apiros, iCode, soluções de ISPM.
E por exemplo, a MobAI, a solução deles é você basicamente pega o seu resultado do seuSAST, o seu SNIC, seu Veracode, o seu Checkmarks, enfim, e XML, JSON da vida lá, arquivo
de...
Agora eles conectam com API, mas basicamente você pega o resultado do SAST, importa dentrodo MobAI e ele vai te dar um wizard de como resolver aquelas vulnerabilidades.
(06:58):
É literalmente wizard, SQL Injection aqui, aí você faz review...
manual barra automático porque ele já vai propor a solução a sua revisão é ver se asolução está correta.
Olha tem uma variável aqui que ela está como string quer trocar para inteiro parece ser IDaí você dá só next vai só aceitando ou não pode trocando a solução é basicamente
wizardzinho ou seja ele já apresentou já a correção da vulnerabilidade e você vai fazendoreview ali se aquela solução está correta e detalhe obviamente no final ele já faz o pull
(07:28):
request para você no seu repositório aquela coisa toda é obviamente isso
utilizando o modelo de AI por trás.
Então ele sabe como é a vulnerabilidade, sabe como deveria ser corrigido, basicamente elete dá essa solução.
Fala aí, Marcos.
Pode comentar aí.
só só complementando está falando do mobile aí ele não executa varredura no código vailembrar que ele depende ele se não me engano funciona com o snake checkmarks vera code e
(07:53):
esqueci qual é o outro mas são quatro ferramentas de segurança sonar isso e sonar com issoali você importa os resultados do scan e gera ali a a correção das vulnerabilidades por iá
mas você depende
de scanner externo ali pra isso.
E quem tiver curioso foi no ar aí na quinta temporada, 13, Foi julho aí do ano passado.
(08:19):
essa produção vai ter aumento na sétima temporada.
Aumento pra produção, cara.
Não tem como.
Vou começar com o meu advogado diabo aqui das coisas, Hoje o meu trabalho é ser o chatão,né?
Tem um lado importante quando gente fala de correção de vulnerabilidades com inteligênciaartificial, tá?
(08:42):
Não tô falando especificamente do mob ou até mesmo ali, que nem gente tá falando dohardware, mas vamos pegar...
Eu não quero me centralizar em ferramenta...
Uhum.
eu acho que a estratégia é uma coisa extra...
E essas estratégias, eu acho que elas vão estar por todo lugar, tá?
O mundo tá ficando pouco mais chato que tá todo mundo fazendo a mesma coisa, né?
Então, tá ficando pouco mais chato isso.
(09:05):
Então...
É...
Então, mas assim, correção de vulnerabilidade com IA.
Existe uma porcentagem interessante de novas vulnerabilidades sendo introduzido com ocódigo gerado pela IA.
Então...
Sempre que a gente tá...
pegando código e gerando correção, nós também temos que ser capazes de validar se acorreção não introduz uma nova vulnerabilidade ou se ela corrige de fato a vulnerabilidade
(09:36):
que foi encontrada no início.
Vou dar exemplo mais padrão, se com injection, concatenação de string.
Eu já vi muitas vezes a IA só criar uma variável externa
com os parâmetros e concatenar a variável externa.
Não de fato fazer usar um SQL Parameter e tal.
(10:05):
esse ciclo acaba sendo completo se tu tiver o antes e o depois com a análise estática.
Você fez a análise estática, encontrou a vulnerabilidade, usei a fase A recomendação evocê...
de novo passa a mesma validação da sua engine para ver se ela não existe mais.
E claro, gente tem aquela questão do breakability, o quanto que a recomendação da IAquebra o código atual.
(10:31):
E até adicionar negócio aí, o Bayer, até passo atrás, não só usar EA para corrigirvulnerabilidades, mas o próprio uso da EA para gerar já é questionável.
Eu acho que tem uma questão de agilidade, velocidade muito importante que se ganha com EA.
Mas a qualidade desse código em si está funcionando.
(10:53):
lá, quero falar para o chat APT, gera aí API para mim.
Está aqui, está API, dois minutos, está funcionando, perfeito.
Essa PI está performática para o que você precisa, você vai ter 10 milhões de requests.
Tem endpoint funcionário, mas vai aguentar?
É isso mesmo que você precisa?
Obviamente, tem umas questões de infraestrutura, mas o ponto aqui é, a geração por si sódo código por IA, seja para corrigir uma vulnerabilidade, seja para criar uma nova
(11:15):
feature, propósito que for, ela tem ainda um nível de maturidade, eu diria, baixo, talvezisso vai escalar muito rápido, porque é isso você está falando.
Você precisa de alguém que vai validar isso.
Até como tu falou.
Beleza, corrigiu a vulnerabilidade, mas trouxe outra.
Ou corrigiu a vulnerabilidade, mas quebrou a funcionalidade.
(11:36):
Ou corrigiu a vulnerabilidade, não quebrou a funcionalidade, tá perfeito.
Tá, como é que você dá o sinal verde pra isso?
Você ainda tem, por mais...
A IA vai ganhar na escala nisso, mas você ainda tem alguém que bate o martelo e fala,beleza, agora tá certo.
Agora é isso mesmo, corrigiu ou não corrigiu.
Eu trouxe esse exemplo da Mob por isso, porque ele te dá a solução, mas você precisarevisar a solução si.
(11:56):
Você pode ter auto update, soluções de ESPM hoje, exemplo, tem umas bases de engine, porexemplo, eu mencionei o Cycode o apiro, porque eles fazem isso, tem toda a sua base de
código, eles estão olhando todas as normalidades que acontecem lá, o JIT também faz isso,e eles vão te falar, ó cara, tem aqui várias soluções.
Talvez isso para SCA, eu te cortei, estou falando monte já, mas talvez, só para voltar notema do SAST, acho que para SCA isso seja mais fácil do que para SAST, e aí a pode talvez
(12:23):
entrar nesse próximo toque, mas só para não quebrar o teu raciocínio.
Só falando, o Benyur falou uma coisa importante, são essas novas vulnerabilidades que asiageram quando elas vão fazer uma correção ali, mas tem outro ponto também a gente faz
muito code review e tem muito atacante que acaba fazendo data poisoning então o cara aliacaba inserindo padrão de código que confunde a IA e às vezes nem consegue identificar
(12:55):
passa como falso positivo pra ela
que também é problema quando a fala de solução automatizada para isso, utilizando IA.
Acho que é ponto também importante para mencionar aqui.
Tá mudo, tá mudo o Biu.
Ola, é 20 horas de casa e você continua.
(13:16):
Bom ponto, Marques, porque vamos dar panorama então para as pessoas que estão escutandoaqui o podcast.
Cara, o que é agente de ar?
O que é a proposta do Aduarque?
provavelmente eles não vão ser o primeiro.
Talvez eles...
Talvez eles são...
Não digo o primeiro, né?
Porque tem várias variações sobre isso, né?
Mas é o que mexeu pouco na indústria, né?
(13:37):
A ideia é...
Cara, eu tenho um agente...
Pessoas, o que é um agente, tá?
Pelo amor de Deus, parem de achar que isso aqui é uma magia.
Agente é uma aplicação que tem um cérebro plugado de A.
É uma SDK com IA lá dentro, os caras usam, tá?
Beleza?
Ok.
Um agente faz milhão de coisas, mas ele é uma aplicação que usa IA como parte dos seuspoderes para resolver as coisas, tá?
(14:02):
Enquanto a gente fazia e fiel, não sei o quê, pode usar IA como negócio, tá?
Beleza?
Eu resumi de forma bem porca, mas é assim mesmo.
Hum hum.
lá.
Porque o pessoal acha que negócio é uma mágica absurda, é uma caixa preta que tu larga láe sai.
Tá, beleza, vamos lá.
Então eu tenho agente, que uma aplicação que vai se conectar no nosso ECM, GitHub, GitLab,whatever, tá?
Ela vai pegar o código, tá?
(14:25):
E aí vai pegar esse código, vai rodar primeiro uma modelagem de ameaça nele.
O que é uma modelagem de ameaça?
Ela vai ler o código, vai entender o contexto e vai identificar qual é tipo de ameaça queexiste naquilo ali.
Por exemplo, é uma aplicação que transferência bancárias, XX ameaça.
É uma aplicação que lida com arquivos, computador ou acessa informações dentro dosservidores.
(14:48):
É o tipo de ameaça.
É uma aplicação que interage com serviços de nuvem.
o tipo de ameaça.
Vai fazer a moda de ameaça.
Em seguida, baseado nisso, ela vai rodar a análise do código busca de vulnerabilidades.
Perceba que eu não falei de engine, não falei o como que ela está fazendo cada uma dessascoisas.
Falei do quê?
Feito isso, ela vai ter as vulnerabilidades que ela vai encontrar.
(15:11):
Com isso, ela vai rodar outro passo que é propor a correção dessas vulnerabilidades.
Com isso, ela vai deixar isso tudo num balde para o humano revisar.
O humano revisou, abre pull request lá.
Essa é ideia principal.
ou não vai lá sexo, sexo.
(15:33):
Pelo que eu li ali, parte de SA não está incluído.
a única e ex-COS...
Ali fala de Open Source, só que que fala de Open Source?
Que eles rodaram esse agente dentro de projetos Open Source e identificaram o CVS.
(15:53):
Ninguém falou da qualidade dessa CVS, entendeu?
Porque assim, vamos lá né...
Aqui tem o missing header aqui, sei o que, seu CVE, entendeu?
Então, tipo, ninguém falou do nível dessa CVS, né?
A precisa adentrar pouquinho melhor quais foram as CVS ali para adentrar.
(16:15):
Talvez no site tem uma descrição melhor, mas não vi nada sobre o estudo qualitativo sobreisso.
Outra questão que acho super importante é...
nesse agente ali, nessa estratégia, está unicamente e exclusivamente a revisão devulnerabilities de código.
Então aqui a gente começa agora, porque gente entendeu esse fluxo, vamos começar aentender os pontos positivos e os pontos negativos.
(16:42):
Primeiro, ponto positivo, se você já tem código existente, ele já existe hoje, para aparte de remediação, reduzir backlog,
pode ser uma ajuda interessante.
Pensa, você já tem repositório, já tem as coisas cometadas, já tá lá, você pluga lá,negócio vai te cuspir monte, encontre x vulnerabilidades, porque ele também faz uma outra
(17:05):
coisa ali que eu também não entendi bem bem a ia chegar lá, que é a análise dinâmica, né?
Ele faz a validação num sandbox, tá?
Pelo que eu entendi, essa parte do sandbox, literalmente executar aquele código.
O problema aqui é...
(17:29):
tem quatro microcells rodando repositório, só os outros três ali que compõem a aplicação.
problema aqui é tão complexo porque o sandbox em si, por exemplo, o antivírus hoje fazsandbox, mas ele faz sandbox de algo que já é executável, é jar, exe, ele vai pegar aquele
e dá dois cliques, tá ligado?
Neste caso, ele tá olhando pra código puro, que pode ser C Sharp, Java, TypeScript, R, ocaralho que for, então ele precisa compilar tudo isso, enfim.
(17:56):
importante que você falou.
Atualmente ele só está disponível para Python, Java, C++, Rust e JavaScript.
Não tem uma cobertura tão grande linguagem não.
Teve na documentação dele.
Isso facilita pouco nessa questão do sandbox, mas eu vejo nesse contexto de falar, deixaeu rodar esse código aqui.
(18:17):
Sei lá, BenRoo, pegando seu exemplo, BenRoo, mas que ela injeção.
Tá, então deixa eu rodar esse código aqui, jogar lá injeção, ver o comportamento dele defato e trazer ali o resultado.
É tipo validar se é falso, positivo ou não com exploit.
Eu vejo dessa forma, e seria fantástico porque esse sandbox, você fala, cara, é truepositivo.
E ele elimina...
Faos positivo pra caramba, deve ter umas dificuldades ali, resolve grande problema quegente tem hoje, mas segue aí.
(18:43):
Porque assim, vamos quebrar por partes.
A primeira parte é o que eu escaneio ou não escaneio.
Segunda parte, o que é essa modelagem de ameaças.
Terceira parte, o que é o scan de código.
O que é o sandbox, a validação e o DAST.
E depois o que é a recomendação da remediação.
(19:08):
Se a pegar por fases, acho que vai ser pouco melhor para entender.
Então vamos lá, primeira coisa, Cara, é só escanear código comitado.
A gente já tem 20 anos de indústria que a gente procura eliminar a vulnerabilidadeenquanto o código está sendo criado.
(19:29):
na máquina do peão.
enquanto o dev está desenvolvendo ou agora né vamos lá né porque agora virou 100 % suplaitin nosso mundo né porque ou eu vou instalar biblioteca externa ou eu vou pegar código
gerado por IA eu não faço mais porra nenhuma nessa merda dessa vida entendeu então
uma treta treta treta treta treta treta treta treta treta treta treta treta treta tretatreta treta treta treta treta treta treta treta treta treta treta treta treta treta treta
(19:58):
pior de tudo é que só vai sobrar os caras que fazem o reboco e olha lá, entendeu?
Porque...
É, entende?
assim, nisso a gente já começa a ver uma parte, né?
Então a gente volta pro fluxo de...
O dev cria todo o código ou gera todo o código, né?
E depois eu vou submeter esse código e depois eu vou ter uma validação, passa por exemploque foi o que a gente falou...
(20:26):
para depois eu ver automaticamente ali as correções de vulnerabilidade.
Aí para mim você vai ficar com dilema, Se eu tenho uma geração de código que pode serinseguro, eu mesmo vou prover a engine que vê segurança no código.
inseguro que eu gerei.
Eu fiquei meio assim, Eu não tô querendo botar defeito nas coisas, Só que é umquestionamento, tá?
(20:52):
lá, dando uma pincelada nisso aí, guardo o raciocínio.
A ideia que eu tenho trazendo nas empresas quando eu implemento a PSEC, exemplo, éjustamente isso.
Cara, qual é a sua maturidade hoje?
Em geral, a maturidade é baixa, média, a ponto de criamos código, fazemos scan,corrigimos.
Mas qual é o mundo ideal?
(21:13):
Não criamos vulnerabilidades, fazemos o scan para garantir, segue a vida.
Então a ideia é a gente pare de criar vulnerabilidade, a vai treinar o desenvolvedor,tanto corrigir problemas quanto não criá-los no primeiro momento.
Então eu vejo soluções como essa, exemplo, cara, pera, estou te gerando o código, que vocêvai ter que passar esse código depois no scan para verificar problemas, mas aí a vai
(21:34):
aprender.
Então de tanto corrigir esses problemas, ela tende a parar de criá-los também.
E aí na minha visão, escala muito maior, mais rápida do que o ser humano.
Então eu tende a chegar dia...
você falou, putz, é a empresa que está querendo reduzir o backlog, minha estratégiainteressante?
Pô, beleza, vai encaixar bonitinho.
Agora a empresa VibeCode total só pega código gerado?
(21:56):
Tende, bem entre aspas, muitas aspas, a esse código ser gerado, porque ele está aprendendocom o tempo, a ser gerado sem vulnerabilidades.
De novo, sei que eu estou dizendo aqui, quase tiro no pé, Mas esse é o ideal, é o que agente imagina que vai chegar lá, saca?
Eu acho que no momento que quantum chegar, aí esquece.
(22:22):
Cabou tudo.
Porque hoje a gente ainda tem o problema do tempo e quantidade de processamento.
A gente tem problema de dados ainda e o treinamento dos modelos ainda depende de dados nãosanitizados do mundo como todo.
Então quando chegar quantum, eu com certeza vou pensar...
(22:45):
o quanto vender pastel pode substituir muita coisa aí porque vai ser complicado.
Peraí que essa mereceu aqui.
Só abri ponto aí, bem vô, até pra...
pra gente continuar raciocinando também.
(23:05):
Você falou de tempo, isso me deu gatilho que você falou pouquinho desde o começo doepisódio.
Uma das preocupações que o pessoal tem quando implanta segurança é o tempo do scan.
Quantas vezes o cara falar, pô, vai segurar o meu pipeline mais dois minutos e o meudevorador vai ficar parado, blá, blá, blá.
Se quando você pede pra gerar app na IA, igual gente tava conversando, já demora cinco,dez minutos às vezes...
(23:28):
Imagine scan do rap inteiro.
E se for mono rap?
Cara, esquece.
Esquece, né?
E aí é diferente ponto, porque assim, ó...
Primeiro, né?
Vamos lá, a já sabe que vai escanear o repositório todo, né?
Aí sempre tem esperto que vai falar assim, ó...
Não, mas só vai escanear os commits novos.
Beleza, mas qualquer regra nova de segurança precisa fazer full scan.
(23:51):
A questão é qual que vai ser o teu apetite de risco para definir que só vai fazer fullscan todo domingo de noite.
Ou todo dia de noite.
E qual é o custo que isso vai ser?
Por que?
Lembrando, ia cobra por Tolkien.
E sabe o que tem também, Veiúr, nesse ponto aí?
A galera confunde muito isso também.
(24:13):
Você faz scan só do commit.
A tendência a você não pegar vulnerabilidades porque você não tem contexto inteiro dofluxo de código, o método que chama outro, que está outro arquivo, que chama outro, que
chama outro até chegar no banco, uma aplicação três camada básica que seja, você tem umfront, um MVC da vida ali e joga no banco, cara, você está scanando, você fez commit só na
(24:33):
camada de banco.
Acabou.
Não tem nada ali, mas lá no front, na camada intermediária, tem lá um...
passando parâmetro, enfim, coisa toda, tem vulnerabilidade ali no meio, mas como não teveanálise do código completo, aquele fluxo completo, até esse sandbox, por exemplo, vai ter
que ser executado, como é que você vai validar isso?
É sandbox com base no repo inteiro, é sandbox só no commit.
(24:54):
form sem validar pô, e você não tá pegando
Então esse é o ponto.
A gente trabalhou com checkmarks há anos.
E tinha esse problema.
Você tinha o scan incremental, que gente falava, e o scan full.
O scan incremental a tendência de deixar vulnerável era menor, a menos que era negóciomuito esdrúxulo.
Aí quando você rodava o scan full, tinha monte de coisa perdida lá.
Porque tinha pedaço do código.
(25:15):
Cara, esse trecho aqui não tem problema.
Espera, mas esse trecho, depois que foi chamado por outro, que tinha lá problema, ouchegou aqui assim assado...
isso torna muito mais visível.
até para análise, falando de SAST geral, você é IA, você não é tanto faz.
A análise em si, ela depende desse contexto.
Então até você trouxe muito bem a decisão de como esse scan acontece.
(25:37):
Isso impacta muito grande no próprio resultado final.
É igual falar, ó doutor, eu tô aqui com a dor no pé, então vamos fazer raio X na suacabeça.
Pera, tá ligado?
o raio de dia tem que ser no pé, beleza?
Agora, estou com uma dor na barriga, pode ser várias coisas, então vai ter uma análise,vários exames para chegar naquele caso.
Então tem um gap aí, eu vejo gap nesse miolo.
(26:01):
É um bom ponto, o primeiro passo dele é o Threat Modeling.
O que o Threat Modeling é, na verdade?
Ele precisa de input.
O é o input?
O código fonte, que o que eu tenho.
E aí, falando desse input, acho que tem desafio ali, eu preciso entender melhor, porqueagora está beta fechado, que é como é é a precificação.
(26:26):
Porque normalmente quando IA cobra por consumo...
Uhum.
aqui, vocês já passaram pela época quando o Sasha era cobrado por linhas de código?
Aô!
Oh meu Deus, linha de código e usuário, Miquinho.
Cara, era impossível ninguém conseguir imitrificar esse valor, cara.
Hoje ninguém consegue imitrificar esse valor, entendeu?
(26:47):
E pior é assim, Você consegue rodar lá uma contagem de linhas de código no seu códigointeiro usando várias ferramentas, tá?
Só que qual que o detalhe?
Você não consegue prever o quanto de linhas de código você vai ter amanhã.
E sabe o que é o detalhe?
Agora você cobra por linhas de código...
Na verdade, se você cobra por linhas de código...
(27:08):
e você usa IA, você não sabe quantas linhas de código a IA vai gerar.
contar que ela gera muito mais que o necessário.
muito absurdamente mais.
Falando com o chat EPT ele já fala demais do que necessário.
Falando, não tô falando de código.
bom que você quer saber a receita de banana picada você pega uma banana e uma faca carafoda-se cara entendeu então assim agora o outro detalhe é se a cobrança é por token e eu
(27:38):
também ingero as coisas baseadas token como que fica então esse modelo de cobrança pra mimele fica pouquinho estranho ainda não tenho visibilidade tá então acho que o primeiro
grande desafio é ok
e você vai pegar todo o meu código, vai mandar pra lugar e ele vai me cuspir quais são asvunes e as correções direto.
Mágico!
Acho lindo!
Mas a questão é agora, como que cobra isso e como que torna isso de forma escalável?
(28:06):
Beleza, Vem aí, usando isso internamente, então pra eles tem funcionado, tem sido ótimo,né?
Agora a indústria tem muito mais coisas do que isso, né?
E dos pontos da indústria é...
Porque esse cara é meio reativo, né?
Não me parece ser algo do tipo, cara, eu vou prevenir vulnerabilidades alcancem X níveldentro do meu git flow ali, vou dar exemplo, tá?
(28:31):
Não me parece mais depois, né?
Quanto tempo isso leva pra chegar tudo, né?
Então, a ideia é boa.
Agora, o que está sendo usado por baixo pra fazer de fato a análise da vulnerabilidade,tudo isso, isso é uma incógnita, né?
Isso é segredo do produto.
É então?
Mas vamos lá, tem um...
(28:53):
traga.
ponto que preocupa bastante, principalmente aqui na Europa, que a legislação é pouco maisrígida, né?
Que é questão de compliance, cara.
mente e pegou minha pergunta.
é questão de compliance, como os caras vão treinar isso sem utilizar os dados do clientesem trade para poder validar aquilo porque você imagina gente, tem uma desação rígida aqui
(29:19):
eles tem a promessa de não treinar usando os dados só que ele tem que enviar o código alipara poder ser escaneado como que vai regular isso né?
nosso amigo Benyur, que está aqui à esquerda no meu vídeo, há alguns episódios aí, eulembro que ele falou exatamente isso.
Você já leu as...
Essa foi a frase dele.
Você já leu as letrinhas miúdas do GitHub Copilot?
(29:42):
Ele tem acesso ao teu código.
Não lembro se era o Copilot, se pesquisava alguma coisa assim.
Ou seja, se você está usando...
tu tem que desabilitar.
Você está usando o bagulho nativo em aplicação...
Cara, está lá o bagulho.
Como é que vai aprender?
Vai ler o teu código.
A gente ia ter problema com a Nova 8, com o Checkmarks, com o Sneak, enfim.
(30:05):
O cliente quer comprar, perfeito, natural, lindo, maravilhoso.
Aí ele está, mas a análise é feita na cloud?
É.
Para onde vai o meu código?
Para onde vai o meu código?
Não, o teu código vai num tenant privado, é só teu.
Ah, beleza.
Está isso contrato, eu assino, lindo, maravilhoso.
Não, não, não, você está usando um Tenant compartilhado.
Opa, pera.
(30:25):
Então vou ter que pagar mais para ter Tenant.
Exato.
Porque assim, é um...
Praticamente o código fonte hoje é o segredo de todo mundo, toda empresa hoje.
Então você trouxe ponto importantíssimo, Marco, que é como é que as empresas garantem queisso é feito?
Porque falar e pôr no contrato, eu ponho e eu faço.
Agora, garantir que isso está sendo feito, que o dia que der merda...
(30:46):
Imagina, vazou que nem...
Vazou não sei o quê, não sei da onde.
Mas a senha estava texto aberto.
Ninguém esperava que era para estar texto aberto.
Não era para estar criptografada a senha.
Então isso é uma questão muito grande, com relação a...
Você falou de compliance no ponto de, por exemplo, ter empresa que não pode trafegar odado fora do próprio país.
(31:09):
No caso da Europa, União Europeia.
Enfim, então isso...
Cara, isso outro mundo, isso aí.
É outro mundo de discussão.
preocupa, né?
Porque vou mandar meus dados pro servidor da OpenAI pra eles processarem ali meu códigofonte, me devolverem ali o resultado das vulnerabilidades, quem me garante que eles não
estão usando meu código ali pra treinar, e esse código potencialmente vai ser usado quandoalguém pedir pra gerar código ali, uma ferramenta qualquer, similar a que eu tenho aqui.
(31:38):
olha só, concorrente vai lá e fala e como é que ele segrega isso?
Não, não, você vai gerar aplicativo.
Eu quero que gere WhatsApp aí pra mim.
Tá igual assim.
Até aí não tem, como é que fala?
Patente pra isso, É, o logro...
comentário, né?
O desenvolvedor fez comentário dia lá e eu tá aqui, o comentário do mesmo código.
Então isso, isso, cara, isso aí é crítico pra canalha.
o que mais me preocupa hoje, Porque vamos lá, eu acho que a OpenAI apareceu primeiro, mascara, todo mundo vai fazer isso.
(32:09):
Todo mundo vai utilizar a IA pra...
Porque vamos lá, o maior problema de AppSec hoje é remediação.
Porque a gente tem backlog...
É, isso aí, porque por exemplo, a gente tem backlog gigante de coisas pra resolver.
Esse backlog gigante, primeiro a gente tem que separar o que é falso positivo e que é findreal.
(32:31):
E feito isso, caso você esteja testando a câmera dele, o que é falso positivo que é findreal, feito isso a gente tem que chegar lá no código e, cara, corrige isso aqui pra mim.
E aí a gente tem ali um threshold, né?
gente tem do tempo que eu encontro a vulnerabilidade até ela ser corrigida da formaadequada.
(32:51):
Aí vamos lá, olhando pro futuro.
Quando a empresa é muito pequena, ela corrige o padrão.
Cara, só corrige aí.
Quando a empresa é grande, ela tem security defaults e tal.
O lado bom da IA na remediação é que você pode definir muitas security defaults textoplano.
Sempre que você for recomendar uma correção de SSRF, você recomenda assim.
(33:14):
Entendeu?
Isso, o system lá e joga o bar, tá?
Então, muito bom na parte de remediação.
E toda empresa vai ter isso, tá?
Toda empresa de remediação de vulnerabilidade vai ter isso, sabe?
Só que a questão é a inteligência pra tu saber o que você tem que remediar.
Porque se ferramentas que são tunadas pra eles já têm falsos positivos, nada impede dessemecanismo também ter.
(33:38):
E ele vai sair gerando código, né?
Então, nada impede dele não estar corrigindo uma vulnerabilidade só adicionando maiscódigo.
Mas hoje o que me preocupa é o pipeline, é o workflow, né?
Porque a ideia é, o dev desenvolve, a gente já quer mitigar a vulnerabilidade ali pra queela já nasce sem a vulnerabilidade, né?
Depois a gente quer validar, porque o CISG lá, o pipeline, é guardrail, né?
(34:01):
Cara, não vai passar daqui se tiver, caso fale alguma coisa antes, né?
E depois você só vai olhar aquilo que tá produção.
E o que é o ideal que a gente espera de produção?
Que a gente veja apenas novas vulnerabilidades ou quando pacote de terceiros tornarvulnerável ou...
Enfim, beleza?
e a gente tem vulnerabilidades são muito difíceis de encontrar com análise estática,Vuguidor por exemplo, E a gente espera utilizar IA, juntamente com DASTE ou com análise
(34:29):
estática, encontrar vulnerabilidades são muito difíceis de uma análise estática.
Padrão, né?
Default trabalhar, tá?
Então assim, se eu...
Se esse meu tempo entre eu terminar um código, comitá-lo e ter o feedback dasvulnerabilidades que eu tenho...
para uma aplicação grande, cara, levar duas, três horas, quatro horas, esse é o impactoque eu vou ter no desenvolvimento.
(34:57):
Se eu tenho mil desenvolvedores, gente sabe que tem quatro horas de impacto pordesenvolvedor por pull request, por exemplo.
Entendeu?
E a gente volta na estatística do tempo consumido na correção do deve.
por estar encontrando tardiamente a vulnerabilidade.
(35:19):
Qual que esse modelo resolve?
A ideia é que já venha com a proposta de correção.
É ideia que o código gerado, não tenha esse problema e até esse possível explicado.
está aqui a funcionalidade que pediu.
Não tem SQL Injection, não tem ASTOP10, não tem isso, não tem aquilo.
Exato, porque daí uma das preocupações que a tem remediação é, nós encontramos tardiamentea vulnerabilidade, então ali eu tenho impacto de no mínimo 4 horas por deve.
(35:48):
Só que depois que gente tem a vulnerabilidade encontrada, o deve tem todo o workflow delede ver o que foi a vulnerabilidade, entender, ver como corrigir, corrigir e testar de
novo.
Que essa parte...
Pra deve ser menos, pra outro deve ser mais rápido.
E depende da vulnerabilidade.
Exatamente.
Então aqui onde está o trade-off é justamente assim, talvez eu aceite ficar 4, 5 ou 8horas do pipeline travado, só que troca já vem tudo corrigido.
(36:23):
Essa é a promessa.
É.
Não é a entrega.
gente precisava ainda ver a entrega.
fechado, mas o que o Benur traz é bem importante.
E também voltando aquele ponto inicial que o Benur trouxe, qual a chance do código quebrarcom essa correção que a IA tá apresentando?
(36:44):
Exatamente isso que ia falar agora.
Você perde pra criar qualquer coisa, você tem que ficar corrigindo ali ó, CSS tá sendoaplicado.
Pluguei no tatal.
Mas vamos lá, eu trazer outro ponto pra gente caminhar pro final, que é o seguinte...
A gente está falando, pegou o exemplo do Artvart e outras, mas quando gente olha para a AIgeral, gente vê tanto potencial para o ciclo de AppSec como todo, desde modelagem de
(37:15):
ameaças, até onde eu tenho requisito funcional simples, que é a matéria-prima do software,até essa aplicação em produção, funcionando onde eu tenho que monitorar ela real-time.
Então você tem os dois extremos.
Entre modelar ameaça...
ou pensar impossíveis ameaças de requisito funcional, que nem tenho software ainda.
E olhar essa aplicação depois produção tempo real, eu tenho um abismo aqui no meio.
(37:38):
E nesse meio, eu tenho todas as fases de desenvolvimento de software, acontece monte decoisa, eu tenho tempo X, tudo com relação à segurança neste miolo, vou dizer assim, a IA
pode ajudar.
Porque, por exemplo,
Uma coisa que o Ben Hur falou, você fez uma modelagem de ameaça, entendi o contexto daminha aplicação, aplicação financeira exposta para internet, tem dados sensíveis, blá,
(38:02):
blá, blá, beleza.
Esse é o contexto.
Agora eu tenho linhas de código associadas a esse contexto que podem me trazer problemas.
Perfeito.
Não só isso, eu posso ter um ambiente, a gente está falando de DAS, TIA, STP, Pentest, terum ambiente que pode levar a uma exploração de uma falha que não está especificamente na
(38:22):
linha de código.
mas que pode me levar a ferir dos pilares de segurança dessa aplicação nesse contextodado.
Eu posso ter ainda falhas no meu ambiente, no meu sistema operacional, que vão levarfalhas a executar exploit, há um problema de vulnerabilidade na aplicação.
Então percebe que são vários pontos em que eu posso não ter uma vulnerabilidade no código,mas a hora que eu rodo essa aplicação num servidor específico, naquela versão
(38:49):
específica...
vai acontecer tal coisa.
Por isso que entra o DASH, isso que entra pen test, eu posso ter falhas de lógica.
Então quando eu estava falando no começo lá, soluções como ESPMs, exemplo, que usam asbases de AI que eles têm, porque ele pluga no teu ambiente, ele pluga no teu repositório
de código, ele pluga lá na tua API Gater, na tua cloud, ele pluga no teu servidor, no teucluster Kubernetes e tal.
(39:14):
Então ele está olhando para tudo isso.
Quando ele acha um problema, ele consoli...
Por exemplo,
Tem uma secret exposta aqui no código, mas esse código não está exposto para internet.
Bom, beleza, tem um problema, mas tem problema mínimo.
Mas olha, essa secret, além de não estar exposta para internet, está exposta no código,mas é uma secret que a testou aqui, é uma chave do Google.
(39:37):
Testou, não está mais válida, o request falhou, a chave está inspirada.
Logo, precisava nem reportar.
Você pode reportar isso, mas não é nem alarde.
é diferente de, olha, você tem uma secret num código exposto num arquivo de configuração,numa aplicação exposta para internet, a secret está válida, tem permissão de leitura na
tua AWS, ou permissão de escrita na tua AWS, etc.
(40:00):
Então você vê que o contexto como todo ajuda e para eu chegar nessa resposta eu preciseiintegrar três, quatro, cinco lugares diferentes.
Aí sim é onde eu vejo o AppSec como uma área se beneficiando...
absurdamente de reais de uma maneira geral.
Já, como a gente falou, já tem soluções para a Saastia, tem soluções...
O SAA, acho que não é problema tão grande hoje, é muito mais caracrachá, ele mais fácil,entre aspas, mais fácil do que um Saastia.
(40:26):
Mas você vê que todo este contexto te dá uma assertividade maior.
O Benyur falou muito bem, o grande problema hoje de AppSec é a remediação.
Então se eu tenho soluções que me ajudam a consolidar tudo isso e me falar o que de fatoeu preciso olhar para remediar...
vez de olhar para backlog de mil problemas, olha para backlog de 100 problemas.
(40:47):
De 50 problemas, de 10 problemas, entende?
Essa redução, ou essa contextualização eu diria que é ideia reduzir esse grande backlogolhando para cenário mais legado.
Aí sim está o ganho.
Aí não importa, vai demorar 8 horas, mas você vai sair de backlog de 10 milvulnerabilidades para reporte de compliance para 50.
(41:07):
50, você vai lá e resolve, tá ligado?
Um backlog...
grande e garoto nem quer olhar, backlog irrasuável e as pessoas vão dedicar tempo nisso.
Então tem todo um, na minha visão AI, tem todo um, uma switch de ferramentas ou uma switchde capabilities que vai de fato ajudar a gente em app sector de uma maneira geral.
(41:30):
Só que eu ainda estou de acordo com o Ben Hur ali, com o que ele falou.
Boa parte dos problemas hoje é o Supply Chain.
Então código fonte pode ter problema?
Pode, vai sempre ter problema, isso é fato.
Só que hoje dia tá tudo Docker ali, tá tudo dockerizado.
Quem tá olhando essa imagem Docker ali?
A IA vai olhar isso?
(41:52):
Vai reportar?
Fala qual imagem vai estar menos vulnerável ou não?
Aí são higienes né, por exemplo, se a for pegar o modo agêntico de resolver as coisas, Oque que tu faz?
Vamos lá, a gente tem a nossa aplicação, a nossa aplicação recebe um request com uma sériede dados, o input tá?
(42:14):
Esse input é um gigapropt, beleza?
Vamos pensar assim.
Depois eu vou mandar isso para um cérebro, lá STK por exemplo, lá da OpenAI, GMA, o LLMque eu estou usando ali, beleza?
Esse cara eu posso plugar duas coisas nele, tool calling, que é ele poder chamar, eu deixoele livre para ele chamar um método dentro da minha aplicação ou eu posso plugar mcp, que
(42:39):
daí eu vou fazer isso de forma externa.
Aí eu vou depender de engine, Marcos, bom ponto.
Cara, vou pegar, tem docker, manda para esse engine aqui, olha, voltamos ao modotradicional de ter uma engine disk, entendeu?
Voltamos ao modo tradicional.
Depende de uma base externa de conhecimento, quê?
Porque tem duas coisas que gente não falou aqui.
(43:02):
Primeiro ponto...
Não, eu vou deixar a bomba agora.
deixo a bomba lá.
data de corte de treinamento.
O que?
Então, assim, a maioria do data de corte é três a seis meses.
Pode achar estranho, né?
Mas a gente não descobre vulnerabilidade a cada seis meses.
(43:23):
Poidze!
E a outra questão é a alucinação, que é problema global e quando você usa a engine paradetectar e você usa a engine para responder, a alucinação é uma ameaça dentro da solução.
porque você vai ter também problemas de AI, de segurança, porque agora você está confiandoalguém que vai corrigir seu código que também possa ter problemas.
(43:50):
Exatamente, então assim, quando a gente fala de, mas a NGINE executou isso aqui, isso aquié falso positivo, a tem que corrigir a NGINE.
Não é com E.A.
que você vai resolver isso do dia pra noite.
A E.A.
também tem o problema da alucinação, Ela também tem problema de treinamento, né?
Ela também tem uma série de outros desafios, né?
(44:11):
Resumindo isso, ela também é software,
Mas até o meu...
IA é generativa por objetivo.
Ela serve para pegar coisas e girar coisas.
IA não é assertiva.
Então assim, ó, mas eu vou confiar.
(44:32):
Mas é só configurar a temperatura.
Pelo amor de Deus, quando você configura a temperatura, você diz qual vai ser a variância.
da resposta dela, né?
Se ela vai realmente, de fato, pegar o primeiro token que ela encontrar ou não.
Lembrando que se ela...
Ela é que nem, cara...
Cara, ela é que...
Desculpa a analogia, mas ela é que nem uma pessoa cega que não tem...
Que ela tem que decidir o caminho dela.
(44:52):
Se ela errar o primeiro passo, ela vai se basear no primeiro para dar o segundo, o segundopara dar o terceiro, o terceiro para dar o quarto.
Se ela está na direção errada, ela vai continuar errada, tá?
Então, a temperatura é o quanto ela é capaz de olhar assim.
Tá, eu vou usar primeiro esse token ou depois esse token ou depois esse aqui.
E ela vai ter essa variância.
assim, resumo, acho que esse modelo de tuto tem um agente para resolver os problemas desegurança e te entregar.
(45:19):
acho que ele...
Eu não vou dizer que ele é disruptivo, eu acho que ele é óbvio.
Eu acho que tem muitas empresas, muitas empresas já estão trabalhando nisso.
A diferença é...
Tem empresas que vão estar na frente porque elas já têm boas engines.
elas precisam integrar a inteligência artificial dentro das suas engines de formaassertiva, porque daí elas têm o custo operacional dela que já é controlado e ela pode
(45:51):
utilizar IA para fazer para ganhar o poder de potencializar suas próprias engines.
Lembrando que hoje o problema é remediação.
e
do parafrasear Capitão Nascimento quando ele falava o sistema trabalha para resolver osproblemas do sistema.
(46:14):
É isso cara então boa eu acho que esse topo foi fantástico tem muita coisa para falarnesse tema inclusive com exemplos como soluções como a falou de soluções de mercado já
ajudando muito nisso a OpenAI agora lançando isso tem um peso obviamente muito grande.
Mas ela não é a primeira, já tem outros fazendo.
Talvez o peso que eles tenham gera uma expectativa grande.
(46:39):
Mas eu vejo muita gente ainda depositando todas as fichas na AI.
Porque vai gerar código mais rápido, porque eu posso mandar embora metade dosdesenvolvedores, porque o meu custo vai ser mais baixo, não sei o Cara, mas não é simples
assim.
Então, é importantíssimo que a gente tome cuidado com isso.
Bom...
E aí
(47:00):
Jovens, muito bom tê-los aqui.
Dá pra falar de volta, gente fica uns espaços sem se ver, mas enfim.
De volta pra sétima temporada, na verdade.
Vida longa ao DevCop Podcast.
Com novos parceiros, lembrar da Nova 8, Purple Bird Security, Gold Security, Digital Oak ecom o Viso.
Não se esqueça que os novos parceiros estão aqui não só pra nos apoiar, mas também pra...
(47:26):
apoiá-los.
Então caso precisem, caso necessitem de algum desses serviços especializados, não existeem contactá-los.
Pessoal!
Então isso podemos finalizar por hoje, que tem uma topíssima que o Benyur lembrou e trouxepra gente.
Então, agradecer ao Benyur aí por trazer o tópico, foi muito bom, gostei bastante.
(47:51):
Fale.
Acho a ideia boa, mas eu acho que como os escala enterprise ali me preocupa.
Me preocupa muito.
Eu acho que as promessas estão muito altas.
Pegar uma problema que a gente comentou.
Ah cara, faz análise dinâmica.
Cara, todo mundo sabe hoje pra se fazer uma análise dinâmica numa aplicação, tem quecolocar ela pra rodar e ela depende de outras 20 aplicações.
(48:15):
Como é que tu...
Cara, imagina que coisa linda, tu entrega set de repositórios e aprende a subir tudo doambiente.
Nunca vai precisar de meio de alongação, ela sempre vai subir tudo zero.
Cara, sei lá, a promessa me preocupa demais, assim, sabe?
É a treta do teste unitário, galera, faz teste unitário, tá tudo verdinho e passou.
Você integra no ambiente, quebra tudo.
Pois é, ok, acho a ideia linda, mas eu tenho que entender o que é promessa, o que é jogode palavras.
(48:48):
Fizemos análise dinâmica!
O que é análise dinâmica?
É só você perguntar para a Yalck para analisar o workflow de código?
Entendeu?
Sabe?
Acho que tem que entender o que está escrito por debaixo das palavras para entender bem oque está acontecendo.
Se não virou papo de venda.
Boa.
Não queremos papo de venda, queremos entrega.
(49:12):
Já estamos cheios de problemas, não queremos mais problema, queremos de fato solução.
Muito bem colocado.
Pessoal, acho foi isso no episódio de hoje.
Episódio 1 da sétima temporada, mas é o 180 e alguma coisa, da história deve ser qualpodcast.
Nos vemos na próxima semana, com certeza.
Eu sou o Caso Pereira.
(49:32):
Eu sou Benhor.
E eu sou Marte Santos.
Boa gangue reunida.
É isso aí galera, valeu, beijos.
beijo de luz, falou
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
Dateline NBC
Current and classic episodes, featuring compelling true-crime mysteries, powerful documentaries and in-depth investigations. Follow now to get the latest episodes of Dateline NBC completely free, or subscribe to Dateline Premium for ad-free listening and exclusive bonus content: DatelinePremium.com
The Burden
The Burden is a documentary series that takes listeners into the hidden places where justice is done (and undone). It dives deep into the lives of heroes and villains. And it focuses a spotlight on those who triumph even when the odds are against them. Season 5 - The Burden: Death & Deceit in Alliance On April Fools Day 1999, 26-year-old Yvonne Layne was found murdered in her Alliance, Ohio home. David Thorne, her ex-boyfriend and father of one of her children, was instantly a suspect. Another young man admitted to the murder, and David breathed a sigh of relief, until the confessed murderer fingered David; “He paid me to do it.” David was sentenced to life without parole. Two decades later, Pulitzer winner and podcast host, Maggie Freleng (Bone Valley Season 3: Graves County, Wrongful Conviction, Suave) launched a “live” investigation into David's conviction alongside Jason Baldwin (himself wrongfully convicted as a member of the West Memphis Three). Maggie had come to believe that the entire investigation of David was botched by the tiny local police department, or worse, covered up the real killer. Was Maggie correct? Was David’s claim of innocence credible? In Death and Deceit in Alliance, Maggie recounts the case that launched her career, and ultimately, “broke” her.” The results will shock the listener and reduce Maggie to tears and self-doubt. This is not your typical wrongful conviction story. In fact, it turns the genre on its head. It asks the question: What if our champions are foolish? Season 4 - The Burden: Get the Money and Run “Trying to murder my father, this was the thing that put me on the path.” That’s Joe Loya and that path was bank robbery. Bank, bank, bank, bank, bank. In season 4 of The Burden: Get the Money and Run, we hear from Joe who was once the most prolific bank robber in Southern California, and beyond. He used disguises, body doubles, proxies. He leaped over counters, grabbed the money and ran. Even as the FBI was closing in. It was a showdown between a daring bank robber, and a patient FBI agent. Joe was no ordinary bank robber. He was bright, articulate, charismatic, and driven by a dark rage that he summoned up at will. In seven episodes, Joe tells all: the what, the how… and the why. Including why he tried to murder his father. Season 3 - The Burden: Avenger Miriam Lewin is one of Argentina’s leading journalists today. At 19 years old, she was kidnapped off the streets of Buenos Aires for her political activism and thrown into a concentration camp. Thousands of her fellow inmates were executed, tossed alive from a cargo plane into the ocean. Miriam, along with a handful of others, will survive the camp. Then as a journalist, she will wage a decades long campaign to bring her tormentors to justice. Avenger is about one woman’s triumphant battle against unbelievable odds to survive torture, claim justice for the crimes done against her and others like her, and change the future of her country. Season 2 - The Burden: Empire on Blood Empire on Blood is set in the Bronx, NY, in the early 90s, when two young drug dealers ruled an intersection known as “The Corner on Blood.” The boss, Calvin Buari, lived large. He and a protege swore they would build an empire on blood. Then the relationship frayed and the protege accused Calvin of a double homicide which he claimed he didn’t do. But did he? Award-winning journalist Steve Fishman spent seven years to answer that question. This is the story of one man’s last chance to overturn his life sentence. He may prevail, but someone’s gotta pay. The Burden: Empire on Blood is the director’s cut of the true crime classic which reached #1 on the charts when it was first released half a dozen years ago. Season 1 - The Burden In the 1990s, Detective Louis N. Scarcella was legendary. In a city overrun by violent crime, he cracked the toughest cases and put away the worst criminals. “The Hulk” was his nickname. Then the story changed. Scarcella ran into a group of convicted murderers who all say they are innocent. They turned themselves into jailhouse-lawyers and in prison founded a lway firm. When they realized Scarcella helped put many of them away, they set their sights on taking him down. And with the help of a NY Times reporter they have a chance. For years, Scarcella insisted he did nothing wrong. But that’s all he’d say. Until we tracked Scarcella to a sauna in a Russian bathhouse, where he started to talk..and talk and talk. “The guilty have gone free,” he whispered. And then agreed to take us into the belly of the beast. Welcome to The Burden.