December 4, 2025 • 58 mins
Neste episódio, recebemos um desenvolvedor. Sim, um dev de verdade, código na veia . Para encarar a conversa que muita empresa ignora e muita carreira demora para descobrir: dominar AppSec não é “um plus”, é o diferencial competitivo. Falamos sobre o impacto real de segurança no dia a dia do desenvolvimento, como pensar como atacante muda a forma de construir software, e por que devs que entendem AppSec aceleram times, evitam retrabalho e se tornam profissionais praticamente à prova de recessão. Uma conversa franca, prática e sem romantização: o futuro do desenvolvimento pertence a quem escreve código que não vira manchete. Comportamentos, mindset e skills que transformam um dev comum em um profissional completo. Ao final, fica claro: aprender AppSec não é sobre a empresa, é sobre você apostar na própria carreira.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.
Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.
Mark as Played
Transcript
Episode Transcript
Available transcripts are automatically generated. Complete accuracy is not guaranteed.
(00:21):
Olá, jovens pessoal, tudo bem com vocês?
Sejam muito bem-vindos a mais um episódio do Devisec Ops Podcast.
Eu sou Cassio Pereira.
Muito bem.
O nosso jovem Marcos não está conosco hoje.
É bom ter uma folguinha do Marcos de vez quando, né, Bêbara?
Fala a verdade.
É, não, de vez quando sim, Acho que 15 dias, duas vezes por mês é suficiente.
(00:43):
Tá bom, também acho.
E com férias, E com férias.
Boa, boa, boa.
Pessoal, estamos com convidado bacana aqui hoje.
Olha, eu estou pra dizer, a produção não está aqui hoje pra puxar os episódios passados,Vale lembrar que já são sete temporadas, mais de 180 episódios, ser Copse Podcast.
A produção não está aqui hoje, mas eu ouso dizer que é o primeiro desenvolvedor...
(01:09):
fora o elenco, porque já teve o Rodrigo, que era deve, eu fui deve, o Marcos foi deve, nãosomos, ouso dizer que é o primeiro deve que vem bater papo aqui com a gente, ouso dizer,
ouso dizer.
Próximo episódio a produção busca pra gente se teve algum outro deve que passou por aqui,teve arquiteto, teve inf, teve psicólogo, cara, mas deve mesmo não tem.
(01:31):
Até que, enfim, chegou um.
Então, já, já a ia falar com ele, nosso convidado, antes de falar com o nosso convidado...
Vamos lembrar que o DevSecOps Podcast tem o apoio da Nova 8, que é atribuidora da SneakCheckmarks no Brasil.
Então, se você quer conversar com a Nova 8 sobre as melhores soluções do planeta, conversecom pessoal da Nova 8.
A Purple Bird Security, vai cuidar de você durante e depois de incidente, especialmentedepois de incidente, quando você caiu a casa e não sabe o fazer, liga para a Purple Bird.
(02:00):
a Gold Security, tem serviços especializados em segurança de aplicações, DigitalWalk, quetem portfólio completo de soluções para você, e a Conviso, é especializada em segurança de
aplicações.
Ela ajuda empresas que lidam com dados sensíveis, como FinTechs, bancos, HealthTechs eplataformas digitais a fortalecer toda a gestão de segurança de software, desde o
desenvolvimento até a produção, meus jovens.
(02:22):
Então vamos lá, o negócio é o seguinte, o nosso convidado de ataque hoje, gente vai falarsobre tema...
que eu particularmente acho fantástico.
Aliás, foi a minha história de carreira.
Eu saí de desenvolvimento para entrar cybersegurança e AppSec.
E o Matheus Silvério, que está aqui com a gente hoje, é uma dessas boas coisas que oTwitter nos traz, que lá só tem bosta, mas de vez quando aparece uma coisa boa.
(02:45):
Então, eu acho que o Matheus Silvério é uma dessas.
Então, Matheus, obrigado pelo teu tempo, obrigado pela disponibilidade.
Foi caos para achar agenda, achar horário, mas estamos aqui.
Se apresenta para a galera, fala pouco de você, a gente já começa com até papo.
Ah, prazer estar com vocês galera.
Bom, começando né, é realmente a gente se interagiu lá pelo Twitter e nem sou tão focadocomo o pessoal da Bolha Dev nem sou tanto assim.
(03:14):
É, e até bom ser dos primeiros desenvolvedores, então trazer justamente essa visão aí de oque você, alguém que engajar.
na área de saúde e segurança, principalmente sendo desenvolvedor, é como a maioria daspessoas tridem o seu caminho dentro da tecnologia.
Mas passando justamente essa visão, primeiramente, hoje eu trabalho numa empresa que faztestes de ciência da vida, ela é muito forte na Europa, tanto na Índia, aqui no Brasil ela
(03:45):
tem diversas operações, caso alguém tenha interesse depois procurar, se chama Eurofinx.
E lá dentro eu atuo justamente no time de IAM, mas a gente não usa soluções de empresas, agente constrói as próprias soluções em in-house mesmo.
Então, basicamente, tem que construir segurança desde o zero, porque a gente vai estar lágerenciando toda a parte de identidade e acesso para milhões, não, milhares de pessoas.
(04:17):
E com isso, tenho trabalhado bastante com as pipelines de segurança que a gente coloca ládentro, também política de autorização.
Então isso vai mexer tanto com o SAST, DAST, quem não conhece também, Regulo, tem o OPA,boas práticas para mexer com o Kubernetes e por aí vai.
(04:38):
Então minha carreira, passando justamente overview para vocês, eu comecei mesmo com odesenvolvimento.
Até hoje eu estou, ainda tive pulo para a cybersegurança no meu antigo trabalho.
Então desde cedo ali eu comecei a perceber que escrever código, Você pegar simplesmenteali o teu cartezinho da task, implementar lá o que foi dito e entregar não era só o
(05:05):
suficiente.
Gerava algumas gambiarras dentro das nossas aplicações.
Muitas vezes a gente conversa, nossa, a gente foi aqui para tentar uma rota, vocêconsegue...
por exemplo, gerar um token aqui, JWT para testar e tudo mais no fluxo de autenticação,então você tá ok.
Mas beleza, por acaso esse endpoint ele tá indo para a produção?
(05:33):
Ia, mas só que era escondido e tudo mais.
E como é que eu falava com esse pessoal?
Olha, isso não é ideal, a gente tem que proteger pelo menos esse cara, senão qualquer defora consegue pegar.
Então eu ia olhando essas nuances...
conforme ia crescendo da minha carreira.
Então a cada projeto ficava muito mais claro que a maior parte ali dos problemas desegurança, ela vai nascendo dentro das nossas próprias aplicações.
(06:01):
Então pode ser tanto na parte da lógica, ali de negócio, inclusive é o que bastante genteaí do do Buggy Pound, eles exploram bastante os negócios de file de lógica de negócios.
na parte de autenticação, a forma como a gente vai fazer o tratamento dos dados e tambémse a gente não tá como desenvolvedor jogando os erros, uma stack tracing direto ali para a
(06:29):
interface e também aqueles consoles logs indesejados lá dentro do próprio terminal.
Então foi aí que eu olhava justamente que a segurança deixava de ser somente um acessório,uma coisa que a gente pensava depois lá no final desse print.
no final do ano ou vamos contratar terceiro ali para realizar pen test a gente faz ascorreções e aí é justamente que começou a virar parte da minha identidade profissional
(06:55):
para onde eu passava e quando você começa a dominar justamente essa parte é ou seja olharpara as vulnerabilidades que você está deixando seu código e quer mitigar isso e fazer
entregas de um código que seja seguro tudo ao mesmo tempo
você se torna justamente alguém muito mais valioso dentro da empresa.
(07:18):
As pessoas até te olham com uma outra visão, porque você traz o tempero que a gente falapara a galera.
é como se, por onde eu tenho passado mesmo, eu vejo como se fosse uma outra linguagemfalando com diversos desenvolvedores.
(07:40):
E isso fica...
te deixando de ser bastante mais difícil de ser substituído dentro de uma equipe e tedeixa ainda muito mais preparado para atuar qualquer área da tecnologia si.
isso aí é mais ou menos o meu background.
Então, só para vocês terem ideia, eu comecei como dentro de tecnologia, dentro da Huawei,eu era...
(08:07):
estagiário de engenharia lá e eles faziam job rotation, Então passava por diversas áreas eaí eu me deparei com o pessoal lá que lidava com a estrutura tecnológica.
Então trabalhava lá com eles lá montando a rede interna, configurando nossa tinha diversascoisas.
Quem nunca crimpou um cabo?
(08:33):
Exatamente.
Ali foi justamente trabalho bastante de suporte na época, até que surgiu uma certa demandado pessoal do RH.
Eles queriam fazer uma automatização para fazer uma seletiva dos candidatos.
E aí falar, tem estagiário ali e tal, ele tá empolgado, chama ele para fazer.
(08:59):
E aí eu fiz essa automação.
lá eu lembro que era até uma era vagas.com.br alguma alguma plataforma assim não e aí eufiz automação dentro dela pessoal lá do RH então foi a partir desses projetos tacando que
eu comecei a programar mesmo o web né então foi mexendo com era era o Python mas oSelenium é me debruçar justamente com HTML entendeu que que era cada elemento que eu tava
(09:29):
mexendo como
e conseguia também terá fazer uma manipulação ali utilizando como JavaScript puro tambémtinha a API do Selenium que você era bem uma sintaxe bem semelhante com com a manipulação
do DOM e aí eu fui evoluindo de diversas passando em outras empresas mexendo mais ali com.NET, Node e aí os diversos frameworks que tem no ecossistema do JavaScript que
(10:00):
Eu vendo até mesmo hoje o cenário é uma das coisas que ainda se o desenvolvedor que olhapara segurança hoje ele ainda vai estar garantido principalmente se ele está mexendo com
JavaScript que é todo toda hora uma coisa nova aparecer.
Bom, deixa eu pegar, deixa eu fazer uma pausa aqui, que você deu uma boa introduzida, achoque tem material já para o episódio como todo, tem coisa para, eu vou matutando aqui, já
(10:21):
tem coisa para o segundo episódio já, mas eu queria pegar uma linha aí do que você falou,ainda bem que você falou ser Sharp, então, virou programador mesmo, até JavaScript e tal,
ninguém me dá muito crédito, Mas brincadeiras à parte, quando você falou ali, puxa, cara,eu vi que...
Eu entendi que quando eu só ler a minha testa e implementar o que está ali, não tem muitofuturo.
(10:44):
Se você parar para analisar, o próprio usuário não sabe o que ele precisa.
Eu lembro que nas aulas de engenharia de software, não se o Beirut passou por isso, aprofessora falava, cara, quando a está fazendo análise do sistema, dos maiores trabalhos é
você traduzir o que está na cabeça do usuário.
Eu chamo de usuário, mas é o negócio, né?
Traduzir o está na cabeça do cara para sistema.
O cara quer cadastro.
(11:04):
Mas sistematicamente, o que é cadastro?
É três campos, é dez campos, é...
Precisa captografar a parada?
Não precisa captografar, vai mandar de lado pro outro.
Vai muito longe isso.
Precisa de um cadastro, né?
Filosofando na parada.
Então, muitas vezes eu sinto...
Eu trabalhei mais de uma década em desenvolvimento e eu sinto exatamente o que você falou.
(11:28):
Muitas vezes o requisito funcional nem é aquilo que é necessário, nem é aquilo que caraquer.
Não à toa o Scrum e Metologia Asagens ganharam uma puta popularidade porque, puta,descobriram problema antes.
No Outer Fall, na minha época era o Waterfallzão, Você descobriu problema daqui seismeses, daqui ano.
não era essa tela que eu queria, puta.
Passou tempo, já perdemos tempo pra caralho tal.
(11:50):
Então ganhou uma popularidade muito grande por conta disso.
Mas aí vem uma pergunta já, né?
Talvez comentário do Benyur, depois você faz a resposta, Matheus.
Como é que a gente poderia, então...
resolver isso, porque eu vejo que é problema de quem está demandando o software, porque odesenvolvedor é inteligente, ele tem estudo, ele tem as skills necessárias para
(12:12):
transformar aquilo software.
Mas se o que está sendo pedido não é o que deveria ser, como você falou, se eu ler aqui,uma tela de login, campo de email, campo de senha e botão de enviar, está escrito dessa
forma, é isso que eu vou fazer.
Eu não vou pensar que eu tenho que ter um log de auditoria de cada tentativa de login,um...
capta para evitar brute force da vida, validar o input se é o email mesmo ou não, a senhacriptografada.
(12:35):
Sabe, tem monte de coisa aqui por trás do ponto de vista da segurança que não estáespecificado, nem vai estar especificado.
No mundo, na utopia, nem vai estar especificado.
Como é que você acha?
Primeiro o Ben Hur faz comentário, depois você responde.
Como é vocês acham que a gente poderia resolver isso, então?
Melhorar?
Porque vamos lá, qual é a matéria-prima do software?
O requisito funcional.
(12:56):
Como é que gente...
Melhora essa matéria prima então, pra que o desenvolvedor...
Porque vamos lá, a gente também culpa demais o Devin, Puto, o Devin tá fazendo merda, oDevin não...
Cara, tava escrito assim, o cara faz o quê também, né?
Fala aí, Beirro.
põe a culpa no cara que materializa, Sempre a culpa é do pedreiro.
A gente só tem que descobrir se ele que leu errado ou ele leu certo e a gente porque tudoé interpretável.
(13:23):
Então vamos lá.
Eu vou te colocar mais de ponto.
Primeiro, software vem do requisito.
Requisito veio da cabeça de alguém.
E a ideia que está na cabeça desse alguém veio de uma necessidade de negócio.
Então, a gente tem muitos layers de tradução até chegar no código que a gente quer.
(13:52):
E cada layer de tradução a gente tem uma divergência entre o compreendimento daquilo, aexperiência daquela pessoa em compreender aquilo...
e depois da experiência daquela pessoa e implementar aquilo que ele compreendeu.
Então, vamos lá, o cara de negócio, ele não sabe direito, o cara do negócio lá, mas eletem uma ideia.
(14:16):
Aquela ideia vai para cara que ele vai entender aquela ideia e ele vai botar pouco dotempero dele e vai descrever o que é aquilo para gerar o requisito de negócio.
O arquiteto vai olhar aquilo e vai descrever os requisitos técnicos.
Isso é muito arquiteto até, enfim, indiscutível, mas enfim.
Alguém lá mais senior do time ou alguém responsável pelaquela parte vai transformar aquilorequisitos, oficinais, técnicos, etc.
(14:44):
Que depois é implementado por uma quarta pessoa, que é o Juninho.
O Juninho que vai...
Exato, que vai implementar aquilo.
Então assim, uma coisa que eu vejo, pelo menos assim, eu tenho background...
similar ao do Kass, no tempo a gente tinha analista de sistemas que era o resultado pordesenhar tudo, e ele era a interface entre o cliente e o código, depois esse papel foi
(15:11):
mudando e tal.
Uma coisa que eu percebia muito que faltava na época é a capacidade de contaminar-se atédeterminado ponto.
O eu quero dizer com isso?
isso é papel do analista.
O Devere também tem que ter pouco do analista.
(15:31):
Só que uma coisa que a fazia errado na época, isso eu me incluo também, era eu querer serum analista melhor que o meu analista pra achar que ele tava errado.
Entende?
Então, coisa que a gente faz de babaquice no início da carreira, A questão é, quando eufalo ser pouco analista, não significa eu ser o papel de analista.
(15:52):
Mas é eu estar, às vezes, junto com o meu analista ou com a pessoa que cria esse requisito
para entender como ele tomou essa decisão.
Não necessariamente eu fazer melhor que ele, não vou fazer.
Não necessariamente eu querer tomar o lugar dele, não vou tomar, eu quero escrever código.
Só que se eu estou um tempo na pele do meu analista e converso com ele para ver como elechega na decisão, talvez eu entenda que às vezes, meu, às vezes o cara tem que tirar
(16:16):
documento de duas mensagens de WhatsApp que o dono do negócio mandou pro cara.
Entendeu?
cara mandou assim, meu, a gente precisa de negócio lá pra campanha do Natal que tem queser assim, assim, Faz aí pra nós.
E o cara tem que inventar o resto das coisas.
Entende?
Então, porque aí a gente começa a fazer as perguntas corretas pra cima de volta.
(16:42):
Entende?
Porque a gente não entendeu como veio e a gente não sabe como perguntar de volta.
Quer ver?
Tenta ser desenvolvedor que faz muito questionamento dentro do modelo de startup.
Até!
virou o cara que complica o jogo.
Entendeu?
Exato, então assim, você tem que inventar suas partes também.
(17:04):
Então o primeiro ponto do comentário que eu queria trazer aqui é o dev pra ele...
e agora isso vai mudar muito agora com o spec driven development com o que tem...
fala, não fala, não fala já, não fala já.
Boa, melhorou, melhorou.
(17:24):
vai mudar bastante porque a gente está cada vez mais escrevendo requisitos e solicitandopara ser implementado.
Então, essa migração é automática.
E eu falar, a IA não faz errado, você que especifica errado, você que é burro.
A galera agora tá sofrendo na pele, o que o deve só?
Fricou as especificações mal feitas.
Exato, questão a vai mudar.
(17:46):
Se antes a achava que pegávamos os requisitos prontos e montávamos isso, vai mudar.
Porque agora o dev precisa saber muito melhor os requisitos, porque é isso que ele vaiutilizar para passar para os agentes que a gente tem hoje.
Então esse papel vai mudar também.
Entende?
Só que ainda é código gerado.
Então você tem que também saber colocar os requisitos.
(18:08):
Então aquele dev que antes ele...
não trabalhava muito bem com requisito e se preocupava unicamente com linha de código,agora ele vai ser forçado a se adaptar ao novo modelo, porque o requisito chegou nele e
não foi pela analista.
exatamente eu já peguei dois pontos aí vamos falar aí exatamente o corte que a gente tavatava discutindo né
(18:35):
já ofendeu a bolha Deve inteira que ele chamou de Deve de pedreiro.
Falou que o Deve é o pedreiro da TI e acabou.
Já...
Hater!
É, a gente é o pedreiro do CyberSec, cara.
Não muda nada.
Boa, fala aí, fala aí.
se for fazer uma analogia legal é bem isso mesmo mas
Até assim, vamos lá, vai ter que a gente não faz cara de pedreiro quando olha assim ó,surgiu lá uma biblioteca vulnerável e tá lá que não tem fixe.
(19:05):
Aí eu deve perguntar o que a faz, pois é.
Pois é, é...
Um cafezinho na mão.
Cara, até me tinha uma vinheta no background aqui.
Manda aí, Matheus, olha aí.
Ah, beleza.
Vamos falar justamente aí da da estrutura, né?
(19:26):
De como que o requisito chega para o desenvolvedor e depois a gente chega aí nas Rias nasLLMs.
Mas bora lá bom, primeiro como desenvolvedor.
É.
Vai vai depender justamente do seu ambiente, né?
Como tava falando, startup, se for o cara que pergunta bastante, ele vai ser visto como oque é o.
(19:47):
que trava a esteira e vai ter também empresas grandes que se você entrando ali vai terregras de negócio que estão que foram criadas um tempo que provavelmente você nem tenha
nascido ainda.
Então é legal saber justamente medir essa o quanto você tem que prestar ali a partir doseu ambiente.
(20:11):
Outra coisa é entender de como seus requisitos chegam.
A maioria das empresas, acho que só startup que não tem tanto esse negócio da hierarquia,mas ele segue naquela estereotipo de top-down.
O requisito muitas vezes vai passar ali da cabeça do CTO, pode ser uma demanda de umaoutra área ali do negócio, pode ser a galera que atua justamente com os clientes ou tem
(20:42):
alguma coisa de tratativo de contrato que eles estão precisando e por aí vai.
Então eles vão falar a necessidade deles, que aí vai passar justamente para alguém ali queé provavelmente o analista funcional, analista de requisitos, ou arquiteto.
E aí eles vão se conversar com time de tecnologia, que aí é justamente o seu próprioarquiteto de software, o coordenador de tecnologia.
(21:09):
Estou passando aqui pelos nomes que já passou.
E aí chega lá uma testa para ti.
Então como desenvolvedor, a primeira coisa importante...
quando você até entra numa companhia, é entender como é que funciona essa hierarquia ládentro.
De como que esses requisitos são passados e entender a visão dessas pessoas, como que, deonde que elas tiraram isso da cabeça.
(21:32):
Porque você tem que entender como que elas trabalham.
Inclusive, até o que...
Fazendo até uma analogia, um dos maiores hackers do mundo, ele nem sequer programava.
Que era o Kevin Metnick.
E o que ele fazia?
Ele entendia justamente como as organizações funcionavam.
(21:52):
Então você, dev, eu acho que a primeira coisa é você entender como sua organizaçãofunciona, qual que é o core dela, para você conseguir escrever o seu código ali,
devidamente, de como que também o teu usuário vai estar esperando.
Então esse é o primeiro ponto.
você foge bastante da área técnica mais para a área de soft skills e também visualizartoda a estrutura organizacional.
(22:25):
Então, é mais por isso mesmo.
E até hoje no...
como não comentar o você falou, e faz sentido nesse ponto, né?
Porque tem meio que um padrão de como é feito isso, como é feito requisito, como épensado, como vira uma task no final do dia, né?
Mas cada empresa meio que tem o seu jeito, tem meio que padrão geral, mas cada meio que...
(22:48):
Tem, você falou, tem...
Eu já trabalhei lugar que eu falava direto com o usuário.
O usuário falava, cara, eu quero dar tela assim acessada.
Beleza, eu vou lá e faço.
E tinha lugar que passava pra analista literalmente de negócio, analista de sistema,passava pra arquiteto, depois virava uma task pro Dev.
Então vinha negócio muito mais...
É tanto que gente tinha milhões de tasks, porque a task era arredondar a borda tal,colocar a letra tal no nome do botão.
(23:11):
Tipo, vinha negócio muito detalhado, porque passou por processo.
É, é, e acabou.
Porque o arquiteto pensou tudo.
É, não escala, cara, é uma loucura.
Mas assim...
Certa forma, no fim do dia o produto era melhor.
Melhor no ponto de vista de qualidade, mais redondo e tal.
(23:31):
Não estou dizendo que tem vantagem desvantagem nesse modelo, mas se aquela empresa está deesforço para pagar esse preço de não escalar, de desenvolver o tempo dela...
Cara, eu trabalhei na empresa que a realiza duas vezes no ano.
Duas vezes no ano a realiza de produção.
Então, eles estão nem aí com isso de escalar, ser rápido.
Não, a preocupação é quando eu geral o meu release, negócio tem que ser 100%.
(23:53):
Porque a infraestrutura crítica, porque sei lá o quê.
E trabalhei e-commerce que era 20 deplo produção por dia.
20 por dia.
A Amazon tem...
A Amazon fez esse fluxo, faz milhões por dia.
Então você tem cenários e cenários, mas isso que o Matheus falou aí de entender essefluxo, pro dev, entender como é esse fluxo é crucial para que isso seja melhor.
(24:14):
Eu queria, só para a gente não ficar muito tempo no mesmo tema, eu queria puxar outroaqui, Matheus, até...
Desculpa que eu te cortei, tá?
Depois que você voltar nesse tema, você volta.
Mas eu queria puxar uma linha aqui que é a seguinte.
O desenvolvedor já é multidisciplinar.
Eu lembro da minha época de VBC, eu estava falando com o Bayour Offline aqui.
Eu comecei no VBC, minha preocupação era dar dois cliques no botão e programar o evento dobotão.
(24:37):
Conectar no banco e tal.
Então já tinha banco, já tinha modelagem de banco e já tinha o back-end, eram duasdisciplinas.
Depois fui para web.
Aí vem a porra do JavaScript, HTML, CSS.
Tinha que fazer funcionar IE6.
Cara!
Que terror, cara.
Eu odiava front-end.
Sempre odiei front-end, tecnicamente de trabalhar, apesar de gostar visualmente, mas eunão gosto, gostava de back-end.
(24:57):
Mas eu tinha que ter o mínimo, eu fazia o mínimo pra eu me virar nas coisas que euprecisava quando eu não tinha front-end pra fazer pra mim.
Então eu tinha que ser multidisciplinar algumas coisas que eu mais gostava, como banco dedados, exemplo, arquitetura, o próprio código, mas front-end eu botava pé e tirava, botava
o pé e tirava.
Diferente de segurança, eu sempre gostei.
Então eu botava o pé, botava o outro e hoje eu botei o corpo todo, trabalho com segurança.
(25:18):
Aí a pergunta é essa, como você vê essa multidisciplinaridade, porque agora o Dev tambémtem o IA, o ZLM da vida, monte de coisa que o desenvolvedor é cobrado, além de segurança.
Acho que na nossa conversa, gente bateu papo e viemos aqui para isso.
Por que é importante também para o desenvolvedor ter esse ponto de vista decibersegurança?
Não só app-seq, de maneira geral, mas segurança como o Toro, como ele falou.
(25:40):
Puts, vou entregar aqui negócio, mas espera.
Então, a gente põe aqui produção, exposto, que não é para estar.
episódio passado que gente gravou com o Monstro Sagrado, que é o Rafael Frizani de infra,falou do pendrive lá, ouça o episódio passado aí pessoal.
cara carregando o pendrive da base de dados inteira, de das melhores operadoras do Brasiluma época.
Enfim, como é que essa multidisciplinariedade do ponto de vista de segurança?
(26:01):
Você acha que é válido isso?
É importante?
Você já comentou no começo, então uma questão ali de carreira profissional que évantajoso, Mas fala mais sobre isso aí.
Claro, ponto importante é porque sendo...
eu ia até puxar para a LGPD, mas muitas das vezes ela não é cobrada ao pé da letra, Mas sevocê trabalha lá fora, principalmente satélites dos Estados Unidos, você responde a RIPA,
(26:31):
né?
Então ela tem algumas multas severíssimas.
E se você adota também o profissionalismo com a legislação aqui do nosso país, você nãovai querer estar disponibilizando dados confidenciais a holdo aí para o pessoal.
Nem que um usuário dentro da sua aplicação possa conseguir fazer o acesso de outrosdocumentos sensíveis, de outros dados sensíveis de outros usuários, que cada tem ali a sua
(27:00):
parte.
Então, ter justamente esse background.
com Saiba Segurandos de como que você consegue justamente evitar alguns ataques da suaaplicação vai te permitir ter um glamour ali, um...
(27:20):
como posso dizer, um...
uma pitada bem a mais das suas aplicações, porque você passa visão principalmente para oteu coordenador para que ele consiga falar, para escalar para o Prodiretoria e tudo mais.
Olha...
Nosso time aqui está entregando as funcionalidades, gente está garantindo que o pessoal,se for sistema, por exemplo, bem terro, o pessoal da...
(27:46):
Vamos dizer, de vendas, não conseguem ver a mesma coisa que tem do pessoal de...
Lá da...
Eu tô pensando inglês.
É por exemplo, de expedição, do marketing, então são justamente coisas bem separadas, nãovai ter um dado que eles podem acessar.
(28:11):
Agora que a gente tá numa correria de...
as próprias LLMs estão saindo diversas outras novas aplicações, tem gente que tá lançandochatbots nos seus e-commerce e tudo mais.
Tem gente na internet, tem o...
principalmente os agentes maliciosos, os caras já estão tudo por trás de como é quefuncionaria um ataque ali por dentro.
(28:32):
Então se você, por exemplo, vai ali treinar aquela tua aplicação com dados sensíveis semter uma camada justamente de você que não permita que ele cuspa os dados com que eles
foram treinados, qualquer pessoa dentro da app tendo interação com a tua aplicação, elevai conseguir puxar diversas coisas que você não gostaria que ele tivesse.
(28:55):
Então...
é justamente dessa parte de você entregar qualidade e de você conseguir também reterclientes a partir do produto que você está falando.
Ou pode ser tanto ali na parte seguros, para vender com eles e tudo mais, falando com agente vocês estão mais seguros ainda, A gente protege seus dados.
(29:16):
Pode ser na parte tanto de educação.
Muitas vezes talvez você está ali numa trilha.
e que você não tá indo bem, você tá não tá passando alguns exames, né?
E aí você não quer que teu coleguinha vê justamente como é que tá teu progresso.
Então são até mesmo as coisas de como que o usuário vai se sentir dentro da tua própriaaplicação.
(29:41):
E aí se ocorre alguma coisa algum indevido, né?
É um pulo pra pra...
o pessoal começar a falar nas redes sociais, principalmente com as aplicações que teve umarecente, que era um estilo Tinder.
aí, no Twitter, o pessoal falou disso aí, inclusive, acho que no dia seguinte, até agoraeu não vi ela entrando mais no mercado, só pra tu ter ideia.
(30:13):
Cara, isso aí foi tão...
Como é que fala?
Sabe aquelas...
Tipo assim, caiu meteoro na Terra e alguém no BBB, sei lá, mostrou a teta na tela.
É o tipo de assunto que vira...
É o tipo de assunto que dá uma popularidade, assim, mas o meteoro tá lá destruindo ocontinente inteiro.
foda-se, a teta na tela aqui é mais interessante.
(30:34):
Foi esse tema aí.
Cara, isso acontece todo santo dia, empresas gigantes, governo, mas esse bagulho deubafafá, você viu isso aí, Benhor?
Eu esqueci nome do aplicativo, mas é Tinder pra safos.
É tipo de Tinder só pra mulheres, lésbicas, enfim, nesse contexto.
(30:56):
tempo atrás que aquele...
Pessoas casadas...
Como é era o nome daquele...
Você faz...
É, foi o último que eu vi.
Iiiiisso, iiiisso...
Ashley Madison, legal.
Mas só pra dar mais fogueira no que o Matheus falou aqui, esse aplicativo, aí depois agalera viu que foi vibe codado, foi gerado por IA, monte de secret chumbado, monte de
(31:21):
assim, Segurança foda-se.
E aí vazou os dados de todo mundo que usava o aplicativo, aquela coisa toda.
Enfim.
Volta Matheus, vai, vai lá.
Exatamente, é só dando um exemplo aí do que ocorreu com eles que até mesmo se você quiserse lançar ao mercado mesmo que você não tenha feito nada vai acordado se você não tem essa
(31:45):
preocupação é pulo para você já sair também né sair perdendo então é importante justamentedessa parte como você desenvolvedor vai lidar justamente com essas correções então para
aprender hoje no
a internet tem uma comunidade muito grande, tem muito conteúdo para você aprender,justamente como explorar.
(32:08):
E aí você vai lidando justamente com essas partes e vai, por consequência, aprendendomuito mais sobre a tua stack, tua linguagem, como que trata.
Então você vira desenvolvedor muito mais completo.
Inclusive, até as fraquezas do stack, nem tudo são rosas.
(32:30):
Cara, tava com outra coisa na cabeça, aí trouxe essa porra desse aplicativo aí, cagou tudocomo raciocínio aqui, que esse caso foi engraçado.
Mas do Ashley Madison, pra galera que tá ouvindo aí, era site pra relacionamentos extraconjugais.
O site...
foi invadido, mundial, o site foi invadido, vazou dados de todo mundo que usava o site.
(32:54):
Como a gente ficou sabendo?
Eu trabalhava numa empresa, dos maiores e-commerce do Brasil, mais de 1500 lojas noBrasil, e apareceu duas entidades na dark web, com o nosso nome lá, o nosso e-commerce era
o Devil's Request e-commerce, Apareceu lá dois entries, aí cara, o que que estão fazendocom a nossa marca?
O que aconteceu?
(33:15):
O que tinha acontecido?
Dois funcionários se cadastraram no site com o e-mail da empresa.
O cara do Ben e o Ura é melhor.
Então, começaram vender as credenciais das pessoas, começaram a chantagear as pessoas.
Enfim, bagulho virou...
Quem conseguiu o hacking, na verdade, ganhou a grana com isso aí.
Então, nossa empresa, a verdade, não tinha vazado, não tinha nada.
(33:38):
como o cara tinha usado o e-mail da empresa, o arroba domínio da empresa, pingou lá queestava sendo vendido, comercializado os dados do cara da Tark Web, enfim.
E aí, pra ajudar, eu conheci os dois indivíduos, porque era de TI.
Aí, cara, é...
O meu lado zoeira ao máximo, eu queria chegar dando voador e gritando na empresa inteira,zoando os cara.
Mas do outro lado, eu sou de segurança e tenho a privacidade do cara.
(34:01):
vou também sair aloprando assim.
enfim.
Até hoje, eles não sabem o que eu sei.
Enfim, ninguém sabe de nada, segue a vida.
Nem lembro o nome da galera, então ainda bem que esqueceu.
Direito de esquecimento aconteceu.
Mas aí, Beerus, já se cadastrou sites?
Duvidosos?
(34:21):
Do...
Pode crer, né?
O cara faz de tudo por uma namoradinha, né?
capaz, rapaz, eu tenho um índice de aproveitamento de 0.007%.
É bom, tá bem, melhor que eu, o meu foi zero.
Boa, Vai ficar gravado para eternamente isso aqui.
(34:45):
Deixa eu puxar outro tema aqui, mas antes de puxar outro tema, eu lembrar uma vinheta bemlegal aqui que a gente não está fazendo.
Olha que legal isso aqui.
David may cry.
E hoje que temos um David aqui, temos de algum jeito fazer.
(35:07):
Esse quadro aqui, Matheus, é o seguinte, a gente sempre fala...
A gente sempre tem essa brincadeira de treta com os devs e tal, É quadro que a gentesempre fala algo que faria o David chorar.
Falei, se tivesse isso aqui, o David choraria.
Se tivesse isso aqui...
Cara, acho que o campeão até hoje foi o Ben.
O curso que o Ben U falou que o Curto tinha que treinamento é obrigatório.
e mostra slide 1 de 60, você tem que dar next, next, tem que apertar cada tela, nãoconsegue sair do bagulho, não consegue avançar o vídeo, puta que pariu, assim.
(35:34):
O deve chorar na empresa.
Faz a empresa chorar.
Hoje é o dia especial porque temos deve aqui.
O que faz o deve chorar.
Então vamos lá, Matheus.
Enquanto você pensa aí, eu já tenho na manga aqui, pensa aí, o que você acha que fazquando a gente de segurança fala alguma coisa assim, a puta, você tem que fazer isso, tem
(35:54):
que fazer aquilo...
se faz o deve chorar enquanto você pensa a minha maior seria o seguinte toda task para odesenvolvedor ela ia vir nesse nível assim olha colocar mudar o texto do botão colocar no
nível de detalhe assim ó incluir o campo x na api mas do banco é outra pessoa que incluirtá ligado tipo a task mais micro mais granular possível toda vez que ele fizer o trampo
(36:18):
era cinco minutos para fazer o trampo
E aí ele acabou o trampo, tinha que comitar, abriu o request, ia demorar, sei lá, mês praaprovação, porque tem que ir pra teste, que ir homologação, tal.
Ou seja, pra mudar o label, cara precisa pedir a aprovação do papo, sabe?
Acho que esse fluxo de trabalho...
Cara, eu odiava, quando era dev, então acho que faz o dev chorar isso aí.
O que que vocês acham?
(36:40):
Requisito cara, eu acho que o requisito obscuro é o melhor.
Não deve ser possível realizar ataque style.
Foda-se como tu tem que implementar.
Sabe?
Azar.
É aquele esquema assim, eu tenho que ter rate limit.
(37:00):
Pra quanto?
Como?
Rate limit é difícil, não é só botar um...
É difícil de fazer?
Esse aí pra mim é o que mais me...
eu preciso de uma tela de login que não aceite o CPF, o endereço, número da casa.
Fala todos os não pra o cara desenvolver.
Acha o sim, tá ligado?
deve implementar mecanismos robustos de autenticação.
(37:20):
O que significa um mecanismo robusto de autenticação?
Melhorar a performance.
Pensou aí, Matheus?
Pensou aí?
ser a prova de ferramentas
Fala aí, fala aí.
mas uma das coisas, até fugindo pouco aí da parte de requisitos, quando você tem umtrabalho numa empresa que eles gerenciam o teu dispositivo,
(37:47):
Ó, treta.
Vejo treta.
falar então você tem todo seu setup lá todas as tecnologias que você tá mexendo e aí donada eles fazem um atualização
do por exemplo do Kubernetes você tem que utilizar.
Beleza, atualiza, pronto, senão toda a tua aplicação local não está mais funcionando e aívocê vai ter que trabalhar dentro daquela versão.
(38:16):
Passar um dia, às vezes até dois, para verificar todos os endpoints que você está mexendo.
Se for microserviço, verificar também como é eles estão lidando, porque já já vai bater naporta falando que tem que ser a mesma versão produção.
E aí depois de certo tempo você fez as validações e aí vem a atualização novamente.
(38:40):
Então toda essa dor de cabeça que você tem que fazer esse de iniciamento.
E aí é com outra coisa e aí depois não tá mais dando certo.
É a pior dor de cabeça que tem.
Olha, eu entendo porque fazemos isso, Updates, automático, mas também entendo a dor.
Vou ficar de coração dividido nessa, Hur.
Vou ficar coração dividido.
Vou ficar do lado dos devs, mas vou puxar minha sardinha pra segurança também.
(39:06):
A gente sabe como o update não feito.
Cara, engraçado isso aí porque...
Não, é de foder também, né, cara?
Uma coisa que também eu acho super bom é a política de deprecated na empresa.
Só que ela também causa estresse.
Por exemplo assim, a gente sempre vai trabalhar uma ou duas versões anteriores.
(39:28):
Então tipo assim, pessoal, agora nós vamos deprecar o Node 18 porque já estamos no 20,então vocês têm seis meses para fazer essa troca.
Sabe?
É, quando tem o plano é bom.
O problema é que eu adoro a área de arquitetura quando eles plano sem medição de empate.
O plano é esse e segue.
(39:48):
Não, pera, o plano tá errado, tá ligado?
vai ser tudo arquitetura árbitra.
Tá louco.
Eu dar exemplo aqui.
tenho...
Agora eu sou chique, né?
Eu moro na Europa, então cresci na vida.
Então eu comprei carro elétrico aqui.
E toda vez você vai atualizar, porque tem updates, né?
(40:09):
É software.
O carro inteiro é uma porra de software, né?
Então toda vez que tem update, praticamente você não pode usar o carro por uma hora, umahora e meia.
Tem que estar com a bateria cheia.
Cheia não, né?
Mas tem que estar com bateria e você não pode dirigir, Então, tipo assim, se você estáatualizando o bagulho, você deu uma dor de barriga e precisa ir pro hospital, você logo...
Você tem que chamar Uber, que ir com outro carro, sei lá.
O carro vai ficar parado.
Esse update dele ficou uma hora parado, uma hora e meia parado.
(40:33):
Enfim, minha primeira experiência, ok, tem que aceitar.
Aqui eu sou de São Paulo, então São Paulo você não tem parado.
É 24 por 7 o bagulho.
Aqui não, aqui você pode ficar parado, vai ficar tudo bem, vai tudo acontecer.
Mas eu senti essa dor do Matheus, porque dia que eu fiz o update era o dia que genteprecisava sair.
Só que eu não sabia, mandei o update no bagulho, falei, puta, agora tenho que esperar umahora pra poder sair.
(40:54):
Ainda bem que era compromisso muito urgente, mas atrasando uma hora.
Mas enfim, faz parte do dia a Manos, caminhando para o final já, 40 minutos a gente falounada e muito ao mesmo tempo, porque é tema, dá para falar muita coisa aqui, o Matheus
trouxe uns insights bem bacanas aí.
Mas eu queria encerrar, Matheus, perguntando o seguinte, Você acha que, em geral, a gentevai focar no desenvolvedor, geral, você acha que tem déficit...
(41:23):
de educação, do ponto de vista de aprendizado mesmo.
Falar, eu quero ser desenvolvedor, quero ser, sei lá, qualquer profissão que seja, umacarreira ali, uma carreira, não é o fala, roadmap de estudo, enfim, disciplinas ali
dentro.
Você acha que tem gap de segurança pro desenvolvedor?
Porque assim, toda experiência que eu tive, todo mundo que eu conheço, literalmente éassim, ou o cara vai atrás daquilo, mas ele não vai ter na faculdade, ele tem que ir
(41:48):
atrás, a empresa vai dar curso, sabe coisas do tipo?
Não é algo que...
não, eu vou ser desenvolvedor, eu sei que vou ter 20 % da minha formação, é segurança, éarquitetura, é não sei o quê.
Eu acho que tem déficit, como é que você vê isso aí?
Cara, eu vejo déficit muito grande, Principalmente na galera que sai da faculdade.
(42:10):
Até mesmo analisando o currículo de boa parte ali de ADS, até mesmo da minha, não temmuito puxado para segurança.
Eu fui por conta própria, tá?
E projetos.
Inclusive, foram esses projetos que eu fui atrás, que eu consegui rampar mesmo, ter outrasvisões.
(42:31):
Até uma dica mesmo, para quem é desenvolvedor quer ter esse olhar, começa a contribuir aoopen source, ali no GitHub, a OASP mesmo, ela tem uma organização e ela tem diversos
repositórios, ou seja, diversos projetos que ela lista lá, em que vocês conseguemcontribuir.
(42:53):
E eu comecei por lá.
Cheguei, acho que a minha primeira contribuição foi numa cobertura de testes do OpenArchive.
Então, até mesmo para construir ali a suite de testes lá que tinha lá o Open Request, ou oRequest não, aí o show que eles estavam colocando, eu tinha que entender justamente de
(43:17):
diversos processos lá que tinham dentro, as configurações que tinha que colocar para poderrodar localmente.
O trecho ali mesmo do código que estava sendo executado lá é tudo Python.
você está imerso justamente em cenários diferentes e até mesmo como funciona já umaaplicação que você vê rodando todos os dias te dá até mais um entusiasmo.
(43:40):
E eles rodam diversas pipelines.
Eu lembro que, se não me engano, acho que foi o primeiro contato que eu tive com...
com o Saast ali com os alertas gerados e até que depois disso que eu fiz os testes né eufui fazer algumas correções do que tinha de alerta né e se que eu te acho que tava aberto
(44:05):
então a partir disso você já consegue até mesmo ir a dentro do desses alertas que temdentro de uma ferramenta pode ser um sneak pode ser code que é ou pode ser um
um Sonar Cube.
Sonar Cube provavelmente é que a galera mais vai ver dentro das companhias.
(44:27):
Mas só de você pegar esse alerta, mitigar ele, entender o que ele está querendo dizer etambém tentar reproduzir porque muita coisa é falso positivo, você já vai ter um ali
construindo o teu próprio background como desenvolvedor e aí você já vai estar olhandopara o lado de sabedigurança.
É claro que tem outras
(44:49):
outras bases que é preciso se enrampar, principalmente ali de redes, sistema operacional,mas se você estiver dentro ali de uma formação, você já vai estar cobrindo essa parte aí
legal.
Então essa aí é a dica até chave de ouro.
E até mesmo se quem estiver assistindo é estudante, está perdendo tempo se não ainda tem opacote lá do GitHub para estudante, o Student Package.
(45:18):
Porque com ele, você consegue ter acesso gratuito a diversas coisas.
E até mesmo rodar o code que é uma ferramenta paga dentro do GitHub.
Você consegue rodar dentro dos seus próprios projetos.
Você pode entrar um outro projeto lá open source, faz fork dele e roda essa pipeline noteu próprio repositório ali que está forkado.
(45:40):
E aí você vê todos esses alertas que ele foi emitido.
E começa a estudar ali, a partir dali.
pode ter muito lixo pode mas até mesmo você estudando ali dos alerta dos falsos positivosvocê já vai ter feito uma garimpagem tem entendido se você quiser até mesmo entender muito
mais coisas ali sei lá ali do .net do do JavaScript do JavaScript você vai ver o tanto degambiarra que vai ter e aí vai começar a falar de boas práticas de
(46:11):
de utilizar produção, coisas que não deve ser utilizado e por aí vai.
Então, aí eu diria que seria a bala de prata para qualquer desenvolvedor seguir.
Pô, cara, sem querer você fez Dev May Cry agora, Tudo isso aí, você falou que o cara temque rodar CodeQL, falou que tem que rodar SAST, falou que tem que estudar, falou que tem a
(46:32):
conta do estudante.
Aliás, se eu não me engano no GitHub, se você tem projeto público, você já consegue rodartudo isso de graça, desde que o repositório seja público, né?
Então, cara, você fez Dev May Cry melhor do que o anterior, que é coisa pra caralho, né?
e privado roda assim, Mas eu acho que tem uma limitação, só acho que...
(46:52):
Da última vez que eu vi, acho que era 1.
Eu não sei se eles aumentaram, mas...
ou você paga míseros 40 dólares por deve pra ter uma aba...
Eu sou anti-github security.
Anti, tá?
Mas a gente tá muito segurança, então eu sou anti-sonar, anti-github security, mas enfim.
(47:13):
conversa pra outra, Bayer.
Pra outra, né?
Mas, assim, você paga 35, 40 dólares pra ter lá a tua aba, enfim, rodar o Dependabox, tal,tal, tal, aquela parada lá nos seus postos privados, né?
Enfim.
Você ficou mudo, Bayer, você fala alguma coisa e você tá multado aí, Fala, Ai, agora...
É ruim, não é ruim, mas é bom, não é bom.
(47:35):
Tá ligado?
Tipo...
Sei lá, cara.
Você...
um aprendizado você tira e com certeza é um baita diferencial e até mesmo
aí que eu sobrepus.
Para o cara aprender a rodar ali, rodar scan, ver o resultado.
É uma puta ferramenta.
Até eu diria que para quem não tem nada, está no nível zero de segurança empresarialfalando, roda lá o GitHub de Ants Security.
(47:59):
É uma ótima solução.
Quando você escala isso no nível enterprise, eu acho que já não faz mais sentido.
Mas para começo é uma ótima solução.
exatamente e até mesmo quem quer até se aventurar para fazer gestão de pet essas coisascoloca lá o dependabot no automático para ele gerar os pull requests e começa a fazer as
(48:23):
triagens aí você aceita um e vê as quebras que ele dá para entender justamente
As correções das bibliotecas que ele atualiza, você começa a as nuances do Devil May Cry.
Porque de uma versão para outra pode mudar sintaxe, mudar alguma coisa, pode ter ficadodepreciada.
(48:47):
E aí você vai ver que a code base vai ter monte de chamada utilizando aquele método e poraí vai.
Então você vai ter que refatorar a hodo.
Então é uma das coisas, é caos.
Exatamente.
Boa, Tava com outro raciocínio aqui na cabeça, aí você falou do...
Eu cortei aqui, mas eu ia falar do...
(49:07):
Espera aí que vai voltar.
Não, não vai voltar.
Peiúr?
Ah, lembrei.
Cara, estamos aqui, é como deve, ao vivo não, estamos gravando, mas para todo mundo queestá ouvindo isso aqui, um desenvolvedor falou de oaspe.
O cara sabe o que é oaspe, tá vendo?
Vocês estão deixando dinheiro na mesa, essa é a verdade.
A galera fala que o desenvolvedor não usa, não sabe.
Tá vendo, cara?
(49:27):
É só você querer, só você se dedicar, porque tem um ganho muito grande isso comoprofissional, individual, pra você.
Não só de...
Como que eu posso dizer?
Não vou falar ego, né?
Mas é legal você aprender mais coisas, ter mais superpoderes, né?
Vamos dizer assim.
Mas você está levando bem maior para a tua empresa, o produto que aquela empresa estávendendo, para a sociedade no fim do dia, porque aquele software é para servir a
(49:51):
sociedade, para fazer alguma coisa, para gerar dinheiro, para servir alguma coisa.
Então, é um impacto muito grande que o desenvolvedor tem, que a gente tem geral nasociedade engendrida.
Eu tenho falado muito sobre isso, a gente aplica a Application Security, porque a nossavida depende de software, então é importante que esse software esteja no seguro, simples
(50:12):
assim.
Acho que essa é a grande mensagem que eu complementaria esse episódio de hoje.
Recados finais, Ben Hur quer mandar beijo, abraço pro Marcos, Matheus quer falar comalguém, essa é a hora.
Primeiro beijo abasto pro Marcos.
A outra questão é pessoal, perfil vai mudar.
(50:32):
Então assim, antes até a se preocupava assim com os desenvolvedores, desenvolvimentoestava começando a se preocupar com segurança, mas tem muita oportunidade aí pra gente,
mas antes a gente escrevia o código do zero.
Agora não é a gente que escreve o próprio código mais direito, então a gente precisaaprender a revisar agora.
(50:53):
E nessa revisão tem vários que Queens que garantem que a gente não seja o próximo alvodessas lembranças de vibe cold essas coisas todas todas aí né então
Como o papel do desenvolvedor está mudando, com relação a até onde ele é responsável pelascoisas, até onde ele domina as coisas, ele precisa ampliar a visão dele.
(51:20):
Porque antes a gente era muito bem pago e requisitado, porque nós éramos os donos doconhecimento de como criar código e agora nós não somos mais unicamente o dono desse
conhecimento.
A precisa ampliar o nível de arquitetura, a visão de arquitetura e não só mais da linha decódigo.
Então, inevitavelmente, a gente precisa começar olhar para contexto maior.
(51:44):
E com contexto maior, gente também precisa agora revisar o que não é a gente mais quecria.
Então, unida essas duas coisas, a gente tem uma oportunidade muito boa de sermosprofissionais que sabemos escrever requisitos melhores e sabemos revisar os detalhes do
que é aquilo que a IA está gerando, trabalhando com a gente ali.
(52:05):
também do ponto de vista de segurança, porque a estatística está e 56 % do código geradopossui pelo menos uma vulnerabilidade ou misconfiguração explorável.
Então sabendo disso, a gente sabe, a gente tem a possibilidade de tomar a ação.
Então fica pouco com relação a isso.
(52:34):
Bem-vindo ao final da série.
é eu confirmo aí com a palavra do bem ru é até hoje eu tô vendo bastante isso até mesmocom atuando uma empresa que ela tá adotando bastante as ferramentas de a como você ele teu
copiloto então tá tendo bastante isso pra justamente acelerar a parte de desenvolvimento eo o desenvolvedor ele focar mais nas partes
(53:03):
dos requisitos funcionais da qualidade, como que as coisas vão operar.
E aí é onde que a gente tem que começar a ter uma visão bem maior de como que vai ser ascomunicações com os outros serviços, se vai utilizar protocolo x, y, garantir que somente
(53:28):
a sua aplicação vai se comunicar com aquelas APIs, se vai...
os tipos de validações e por aí vai.
Então entender todo o fluxo e como que o teu serviço vai estar bem estruturado.
Então esse é nível bem arquitetural.
E é esse o futuro que a gente estava vendo.
(53:48):
Inclusive, o que eu estava vendo, eu não sei se vocês viram o lançamento da OpenAI, aArdVar, algo assim.
acabou de confessar que não ouviu os últimos episódios do DevCop Podcast.
Ouça!
Ouça, falamos exatamente sobre isso.
(54:11):
Até trazendo né, que tá na versão beta, vocês chegaram a mexer?
e
Mas a proposta ali pelo menos do workflow é aquilo ali que está acontecendo.
Tem muita coisa que é manual ainda, Estão vendo as maneiras de você criar justamente parao ambiente isolado, a justamente validação e aí já passa a correção.
(54:40):
Então, das maneiras mais arcaicas que a gente já faz é testar em homologação ou fazambiente mesmo de segurança ali, o Playground, que é onde a gente faz a festa.
e faz a devida correção.
Opa, deu certo.
Vamos passar o pull request lá para análise para colocar produção.
(55:01):
justamente dessa plataforma, olhem aí, não façam o que eu fiz, que eu não assisti aosepisódios anteriores, mas deem uma olhada justamente nas tendências.
que a produção está aqui hoje, né, Benyur?
Mas dois, três episódios atrás a gente falou exatamente sobre isso.
Aliás, foi o primeiro episódio dessa temporada, então gente está no terceiro, quarto...
Foi isso aí, no primeiro episódio dessa temporada a gente falou pouquinho não só sobre oproduto si, mas sobre o conceito, que já tem, Que já tem a Open Eye lançou dela agora, mas
(55:30):
já tem isso no mercado.
Exato, gente está falando ali de remediation agent.
É isso que nós estamos falando, né?
Na verdade, você, antes a gente precisar...
Aquele esquema, A gente só tinha profissional de segurança que olhava o finding everificava se ele tinha que ser corrigido ou não e propunha correção.
Vai proponder, vai...
Não sei falar esse português, meu Deus!
(55:51):
Ele vai propor a solução.
E essa ideia...
que é eu vou usar IA para pegar código, mais a VUNI, conectar os dois e usar IA generativapara propor a correção, ela só está materializada num produto, Essa ideia eu acho que vai
(56:12):
ser mais uma como a gente diz assim, todo mundo vai ter isso, sabe?
Eu acho que eles só foram o primeiro a empacotar isso num produtinho e usar bom marketingpara isso.
segredo é que eu tenho isso na minha empresa hoje, a gente já usa, não é da OpenAI.
E não funciona direito.
(56:34):
Mas sabe o que não funciona?
A gente tem 1 milhão de findings e 10 % tem autofix, que a chama de autofix, que essa AIque já passou, já viu o find, já pode gerar pull request para mim automático.
Então, o volume não é...
Se a está falando de reduzir backlog, cara, 10 % não é backlog.
Vale a pena?
Você tem 100 vulnerabilidades, vale.
(56:54):
Até milhão não vale.
Agora, agora se eu estou falando, olha, fiz pull request, a parada já está fazendo issotempo real, tempo de pull request, vamos falar assim, ou seja, o código não foi para lugar
nenhum ainda, está sendo analisado, já chegou o problema, já melhorou o pull request, jásugeriu a correção, aí está falando de outra história, que é prevenção de uma
(57:15):
vulnerabilidade ir para algum lugar.
Redução de backlog, beleza, tem um cenário, mas...
nesse ponto de vista do fluxo que o Matheus falou, Aí é show.
Aí eu vejo mais...
Mas enfim, tema para outro episódio, senhores.
Matheus, obrigado aí mais uma vez pelo seu tempo, pela agenda.
Beyr, mais uma vez, tamo junto.
(57:36):
Muito bom ser o Marcos aqui, mas muito bom.
Pensando mandá-lo embora seriamente.
Coitado.
Coitado, Marcos.
Mas tá indo pro Brasil, inclusive.
Hoje a gente está gravando na quinta, ele vai amanhã para Brasil.
enfim.
Jovens, é isso.
Nos vemos na próxima semana, com certeza.
Eu sou o Casio Pereira.
(57:58):
E nosso deve que sabe o que é o asp, mano.
Matheus, velho.
Obrigado, galera.
Valeu.
Obrigado, gente.
Prazer estar com vocês.
Olá, jovens pessoal, tudo bem com vocês?
Sejam muito bem-vindos a mais um episódio do Devisec Ops Podcast.
Eu sou Cassio Pereira.
Muito bem.
O nosso jovem Marcos não está conosco hoje.
É bom ter uma folguinha do Marcos de vez quando, né, Bêbara?
Fala a verdade.
É, não, de vez quando sim, Acho que 15 dias, duas vezes por mês é suficiente.
(00:43):
Tá bom, também acho.
E com férias, E com férias.
Boa, boa, boa.
Pessoal, estamos com convidado bacana aqui hoje.
Olha, eu estou pra dizer, a produção não está aqui hoje pra puxar os episódios passados,Vale lembrar que já são sete temporadas, mais de 180 episódios, ser Copse Podcast.
A produção não está aqui hoje, mas eu ouso dizer que é o primeiro desenvolvedor...
(01:09):
fora o elenco, porque já teve o Rodrigo, que era deve, eu fui deve, o Marcos foi deve, nãosomos, ouso dizer que é o primeiro deve que vem bater papo aqui com a gente, ouso dizer,
ouso dizer.
Próximo episódio a produção busca pra gente se teve algum outro deve que passou por aqui,teve arquiteto, teve inf, teve psicólogo, cara, mas deve mesmo não tem.
(01:31):
Até que, enfim, chegou um.
Então, já, já a ia falar com ele, nosso convidado, antes de falar com o nosso convidado...
Vamos lembrar que o DevSecOps Podcast tem o apoio da Nova 8, que é atribuidora da SneakCheckmarks no Brasil.
Então, se você quer conversar com a Nova 8 sobre as melhores soluções do planeta, conversecom pessoal da Nova 8.
A Purple Bird Security, vai cuidar de você durante e depois de incidente, especialmentedepois de incidente, quando você caiu a casa e não sabe o fazer, liga para a Purple Bird.
(02:00):
a Gold Security, tem serviços especializados em segurança de aplicações, DigitalWalk, quetem portfólio completo de soluções para você, e a Conviso, é especializada em segurança de
aplicações.
Ela ajuda empresas que lidam com dados sensíveis, como FinTechs, bancos, HealthTechs eplataformas digitais a fortalecer toda a gestão de segurança de software, desde o
desenvolvimento até a produção, meus jovens.
(02:22):
Então vamos lá, o negócio é o seguinte, o nosso convidado de ataque hoje, gente vai falarsobre tema...
que eu particularmente acho fantástico.
Aliás, foi a minha história de carreira.
Eu saí de desenvolvimento para entrar cybersegurança e AppSec.
E o Matheus Silvério, que está aqui com a gente hoje, é uma dessas boas coisas que oTwitter nos traz, que lá só tem bosta, mas de vez quando aparece uma coisa boa.
(02:45):
Então, eu acho que o Matheus Silvério é uma dessas.
Então, Matheus, obrigado pelo teu tempo, obrigado pela disponibilidade.
Foi caos para achar agenda, achar horário, mas estamos aqui.
Se apresenta para a galera, fala pouco de você, a gente já começa com até papo.
Ah, prazer estar com vocês galera.
Bom, começando né, é realmente a gente se interagiu lá pelo Twitter e nem sou tão focadocomo o pessoal da Bolha Dev nem sou tanto assim.
(03:14):
É, e até bom ser dos primeiros desenvolvedores, então trazer justamente essa visão aí de oque você, alguém que engajar.
na área de saúde e segurança, principalmente sendo desenvolvedor, é como a maioria daspessoas tridem o seu caminho dentro da tecnologia.
Mas passando justamente essa visão, primeiramente, hoje eu trabalho numa empresa que faztestes de ciência da vida, ela é muito forte na Europa, tanto na Índia, aqui no Brasil ela
(03:45):
tem diversas operações, caso alguém tenha interesse depois procurar, se chama Eurofinx.
E lá dentro eu atuo justamente no time de IAM, mas a gente não usa soluções de empresas, agente constrói as próprias soluções em in-house mesmo.
Então, basicamente, tem que construir segurança desde o zero, porque a gente vai estar lágerenciando toda a parte de identidade e acesso para milhões, não, milhares de pessoas.
(04:17):
E com isso, tenho trabalhado bastante com as pipelines de segurança que a gente coloca ládentro, também política de autorização.
Então isso vai mexer tanto com o SAST, DAST, quem não conhece também, Regulo, tem o OPA,boas práticas para mexer com o Kubernetes e por aí vai.
(04:38):
Então minha carreira, passando justamente overview para vocês, eu comecei mesmo com odesenvolvimento.
Até hoje eu estou, ainda tive pulo para a cybersegurança no meu antigo trabalho.
Então desde cedo ali eu comecei a perceber que escrever código, Você pegar simplesmenteali o teu cartezinho da task, implementar lá o que foi dito e entregar não era só o
(05:05):
suficiente.
Gerava algumas gambiarras dentro das nossas aplicações.
Muitas vezes a gente conversa, nossa, a gente foi aqui para tentar uma rota, vocêconsegue...
por exemplo, gerar um token aqui, JWT para testar e tudo mais no fluxo de autenticação,então você tá ok.
Mas beleza, por acaso esse endpoint ele tá indo para a produção?
(05:33):
Ia, mas só que era escondido e tudo mais.
E como é que eu falava com esse pessoal?
Olha, isso não é ideal, a gente tem que proteger pelo menos esse cara, senão qualquer defora consegue pegar.
Então eu ia olhando essas nuances...
conforme ia crescendo da minha carreira.
Então a cada projeto ficava muito mais claro que a maior parte ali dos problemas desegurança, ela vai nascendo dentro das nossas próprias aplicações.
(06:01):
Então pode ser tanto na parte da lógica, ali de negócio, inclusive é o que bastante genteaí do do Buggy Pound, eles exploram bastante os negócios de file de lógica de negócios.
na parte de autenticação, a forma como a gente vai fazer o tratamento dos dados e tambémse a gente não tá como desenvolvedor jogando os erros, uma stack tracing direto ali para a
(06:29):
interface e também aqueles consoles logs indesejados lá dentro do próprio terminal.
Então foi aí que eu olhava justamente que a segurança deixava de ser somente um acessório,uma coisa que a gente pensava depois lá no final desse print.
no final do ano ou vamos contratar terceiro ali para realizar pen test a gente faz ascorreções e aí é justamente que começou a virar parte da minha identidade profissional
(06:55):
para onde eu passava e quando você começa a dominar justamente essa parte é ou seja olharpara as vulnerabilidades que você está deixando seu código e quer mitigar isso e fazer
entregas de um código que seja seguro tudo ao mesmo tempo
você se torna justamente alguém muito mais valioso dentro da empresa.
(07:18):
As pessoas até te olham com uma outra visão, porque você traz o tempero que a gente falapara a galera.
é como se, por onde eu tenho passado mesmo, eu vejo como se fosse uma outra linguagemfalando com diversos desenvolvedores.
(07:40):
E isso fica...
te deixando de ser bastante mais difícil de ser substituído dentro de uma equipe e tedeixa ainda muito mais preparado para atuar qualquer área da tecnologia si.
isso aí é mais ou menos o meu background.
Então, só para vocês terem ideia, eu comecei como dentro de tecnologia, dentro da Huawei,eu era...
(08:07):
estagiário de engenharia lá e eles faziam job rotation, Então passava por diversas áreas eaí eu me deparei com o pessoal lá que lidava com a estrutura tecnológica.
Então trabalhava lá com eles lá montando a rede interna, configurando nossa tinha diversascoisas.
Quem nunca crimpou um cabo?
(08:33):
Exatamente.
Ali foi justamente trabalho bastante de suporte na época, até que surgiu uma certa demandado pessoal do RH.
Eles queriam fazer uma automatização para fazer uma seletiva dos candidatos.
E aí falar, tem estagiário ali e tal, ele tá empolgado, chama ele para fazer.
(08:59):
E aí eu fiz essa automação.
lá eu lembro que era até uma era vagas.com.br alguma alguma plataforma assim não e aí eufiz automação dentro dela pessoal lá do RH então foi a partir desses projetos tacando que
eu comecei a programar mesmo o web né então foi mexendo com era era o Python mas oSelenium é me debruçar justamente com HTML entendeu que que era cada elemento que eu tava
(09:29):
mexendo como
e conseguia também terá fazer uma manipulação ali utilizando como JavaScript puro tambémtinha a API do Selenium que você era bem uma sintaxe bem semelhante com com a manipulação
do DOM e aí eu fui evoluindo de diversas passando em outras empresas mexendo mais ali com.NET, Node e aí os diversos frameworks que tem no ecossistema do JavaScript que
(10:00):
Eu vendo até mesmo hoje o cenário é uma das coisas que ainda se o desenvolvedor que olhapara segurança hoje ele ainda vai estar garantido principalmente se ele está mexendo com
JavaScript que é todo toda hora uma coisa nova aparecer.
Bom, deixa eu pegar, deixa eu fazer uma pausa aqui, que você deu uma boa introduzida, achoque tem material já para o episódio como todo, tem coisa para, eu vou matutando aqui, já
(10:21):
tem coisa para o segundo episódio já, mas eu queria pegar uma linha aí do que você falou,ainda bem que você falou ser Sharp, então, virou programador mesmo, até JavaScript e tal,
ninguém me dá muito crédito, Mas brincadeiras à parte, quando você falou ali, puxa, cara,eu vi que...
Eu entendi que quando eu só ler a minha testa e implementar o que está ali, não tem muitofuturo.
(10:44):
Se você parar para analisar, o próprio usuário não sabe o que ele precisa.
Eu lembro que nas aulas de engenharia de software, não se o Beirut passou por isso, aprofessora falava, cara, quando a está fazendo análise do sistema, dos maiores trabalhos é
você traduzir o que está na cabeça do usuário.
Eu chamo de usuário, mas é o negócio, né?
Traduzir o está na cabeça do cara para sistema.
O cara quer cadastro.
(11:04):
Mas sistematicamente, o que é cadastro?
É três campos, é dez campos, é...
Precisa captografar a parada?
Não precisa captografar, vai mandar de lado pro outro.
Vai muito longe isso.
Precisa de um cadastro, né?
Filosofando na parada.
Então, muitas vezes eu sinto...
Eu trabalhei mais de uma década em desenvolvimento e eu sinto exatamente o que você falou.
(11:28):
Muitas vezes o requisito funcional nem é aquilo que é necessário, nem é aquilo que caraquer.
Não à toa o Scrum e Metologia Asagens ganharam uma puta popularidade porque, puta,descobriram problema antes.
No Outer Fall, na minha época era o Waterfallzão, Você descobriu problema daqui seismeses, daqui ano.
não era essa tela que eu queria, puta.
Passou tempo, já perdemos tempo pra caralho tal.
(11:50):
Então ganhou uma popularidade muito grande por conta disso.
Mas aí vem uma pergunta já, né?
Talvez comentário do Benyur, depois você faz a resposta, Matheus.
Como é que a gente poderia, então...
resolver isso, porque eu vejo que é problema de quem está demandando o software, porque odesenvolvedor é inteligente, ele tem estudo, ele tem as skills necessárias para
(12:12):
transformar aquilo software.
Mas se o que está sendo pedido não é o que deveria ser, como você falou, se eu ler aqui,uma tela de login, campo de email, campo de senha e botão de enviar, está escrito dessa
forma, é isso que eu vou fazer.
Eu não vou pensar que eu tenho que ter um log de auditoria de cada tentativa de login,um...
capta para evitar brute force da vida, validar o input se é o email mesmo ou não, a senhacriptografada.
(12:35):
Sabe, tem monte de coisa aqui por trás do ponto de vista da segurança que não estáespecificado, nem vai estar especificado.
No mundo, na utopia, nem vai estar especificado.
Como é que você acha?
Primeiro o Ben Hur faz comentário, depois você responde.
Como é vocês acham que a gente poderia resolver isso, então?
Melhorar?
Porque vamos lá, qual é a matéria-prima do software?
O requisito funcional.
(12:56):
Como é que gente...
Melhora essa matéria prima então, pra que o desenvolvedor...
Porque vamos lá, a gente também culpa demais o Devin, Puto, o Devin tá fazendo merda, oDevin não...
Cara, tava escrito assim, o cara faz o quê também, né?
Fala aí, Beirro.
põe a culpa no cara que materializa, Sempre a culpa é do pedreiro.
A gente só tem que descobrir se ele que leu errado ou ele leu certo e a gente porque tudoé interpretável.
(13:23):
Então vamos lá.
Eu vou te colocar mais de ponto.
Primeiro, software vem do requisito.
Requisito veio da cabeça de alguém.
E a ideia que está na cabeça desse alguém veio de uma necessidade de negócio.
Então, a gente tem muitos layers de tradução até chegar no código que a gente quer.
(13:52):
E cada layer de tradução a gente tem uma divergência entre o compreendimento daquilo, aexperiência daquela pessoa em compreender aquilo...
e depois da experiência daquela pessoa e implementar aquilo que ele compreendeu.
Então, vamos lá, o cara de negócio, ele não sabe direito, o cara do negócio lá, mas eletem uma ideia.
(14:16):
Aquela ideia vai para cara que ele vai entender aquela ideia e ele vai botar pouco dotempero dele e vai descrever o que é aquilo para gerar o requisito de negócio.
O arquiteto vai olhar aquilo e vai descrever os requisitos técnicos.
Isso é muito arquiteto até, enfim, indiscutível, mas enfim.
Alguém lá mais senior do time ou alguém responsável pelaquela parte vai transformar aquilorequisitos, oficinais, técnicos, etc.
(14:44):
Que depois é implementado por uma quarta pessoa, que é o Juninho.
O Juninho que vai...
Exato, que vai implementar aquilo.
Então assim, uma coisa que eu vejo, pelo menos assim, eu tenho background...
similar ao do Kass, no tempo a gente tinha analista de sistemas que era o resultado pordesenhar tudo, e ele era a interface entre o cliente e o código, depois esse papel foi
(15:11):
mudando e tal.
Uma coisa que eu percebia muito que faltava na época é a capacidade de contaminar-se atédeterminado ponto.
O eu quero dizer com isso?
isso é papel do analista.
O Devere também tem que ter pouco do analista.
(15:31):
Só que uma coisa que a fazia errado na época, isso eu me incluo também, era eu querer serum analista melhor que o meu analista pra achar que ele tava errado.
Entende?
Então, coisa que a gente faz de babaquice no início da carreira, A questão é, quando eufalo ser pouco analista, não significa eu ser o papel de analista.
(15:52):
Mas é eu estar, às vezes, junto com o meu analista ou com a pessoa que cria esse requisito
para entender como ele tomou essa decisão.
Não necessariamente eu fazer melhor que ele, não vou fazer.
Não necessariamente eu querer tomar o lugar dele, não vou tomar, eu quero escrever código.
Só que se eu estou um tempo na pele do meu analista e converso com ele para ver como elechega na decisão, talvez eu entenda que às vezes, meu, às vezes o cara tem que tirar
(16:16):
documento de duas mensagens de WhatsApp que o dono do negócio mandou pro cara.
Entendeu?
cara mandou assim, meu, a gente precisa de negócio lá pra campanha do Natal que tem queser assim, assim, Faz aí pra nós.
E o cara tem que inventar o resto das coisas.
Entende?
Então, porque aí a gente começa a fazer as perguntas corretas pra cima de volta.
(16:42):
Entende?
Porque a gente não entendeu como veio e a gente não sabe como perguntar de volta.
Quer ver?
Tenta ser desenvolvedor que faz muito questionamento dentro do modelo de startup.
Até!
virou o cara que complica o jogo.
Entendeu?
Exato, então assim, você tem que inventar suas partes também.
(17:04):
Então o primeiro ponto do comentário que eu queria trazer aqui é o dev pra ele...
e agora isso vai mudar muito agora com o spec driven development com o que tem...
fala, não fala, não fala já, não fala já.
Boa, melhorou, melhorou.
(17:24):
vai mudar bastante porque a gente está cada vez mais escrevendo requisitos e solicitandopara ser implementado.
Então, essa migração é automática.
E eu falar, a IA não faz errado, você que especifica errado, você que é burro.
A galera agora tá sofrendo na pele, o que o deve só?
Fricou as especificações mal feitas.
Exato, questão a vai mudar.
(17:46):
Se antes a achava que pegávamos os requisitos prontos e montávamos isso, vai mudar.
Porque agora o dev precisa saber muito melhor os requisitos, porque é isso que ele vaiutilizar para passar para os agentes que a gente tem hoje.
Então esse papel vai mudar também.
Entende?
Só que ainda é código gerado.
Então você tem que também saber colocar os requisitos.
(18:08):
Então aquele dev que antes ele...
não trabalhava muito bem com requisito e se preocupava unicamente com linha de código,agora ele vai ser forçado a se adaptar ao novo modelo, porque o requisito chegou nele e
não foi pela analista.
exatamente eu já peguei dois pontos aí vamos falar aí exatamente o corte que a gente tavatava discutindo né
(18:35):
já ofendeu a bolha Deve inteira que ele chamou de Deve de pedreiro.
Falou que o Deve é o pedreiro da TI e acabou.
Já...
Hater!
É, a gente é o pedreiro do CyberSec, cara.
Não muda nada.
Boa, fala aí, fala aí.
se for fazer uma analogia legal é bem isso mesmo mas
Até assim, vamos lá, vai ter que a gente não faz cara de pedreiro quando olha assim ó,surgiu lá uma biblioteca vulnerável e tá lá que não tem fixe.
(19:05):
Aí eu deve perguntar o que a faz, pois é.
Pois é, é...
Um cafezinho na mão.
Cara, até me tinha uma vinheta no background aqui.
Manda aí, Matheus, olha aí.
Ah, beleza.
Vamos falar justamente aí da da estrutura, né?
(19:26):
De como que o requisito chega para o desenvolvedor e depois a gente chega aí nas Rias nasLLMs.
Mas bora lá bom, primeiro como desenvolvedor.
É.
Vai vai depender justamente do seu ambiente, né?
Como tava falando, startup, se for o cara que pergunta bastante, ele vai ser visto como oque é o.
(19:47):
que trava a esteira e vai ter também empresas grandes que se você entrando ali vai terregras de negócio que estão que foram criadas um tempo que provavelmente você nem tenha
nascido ainda.
Então é legal saber justamente medir essa o quanto você tem que prestar ali a partir doseu ambiente.
(20:11):
Outra coisa é entender de como seus requisitos chegam.
A maioria das empresas, acho que só startup que não tem tanto esse negócio da hierarquia,mas ele segue naquela estereotipo de top-down.
O requisito muitas vezes vai passar ali da cabeça do CTO, pode ser uma demanda de umaoutra área ali do negócio, pode ser a galera que atua justamente com os clientes ou tem
(20:42):
alguma coisa de tratativo de contrato que eles estão precisando e por aí vai.
Então eles vão falar a necessidade deles, que aí vai passar justamente para alguém ali queé provavelmente o analista funcional, analista de requisitos, ou arquiteto.
E aí eles vão se conversar com time de tecnologia, que aí é justamente o seu próprioarquiteto de software, o coordenador de tecnologia.
(21:09):
Estou passando aqui pelos nomes que já passou.
E aí chega lá uma testa para ti.
Então como desenvolvedor, a primeira coisa importante...
quando você até entra numa companhia, é entender como é que funciona essa hierarquia ládentro.
De como que esses requisitos são passados e entender a visão dessas pessoas, como que, deonde que elas tiraram isso da cabeça.
(21:32):
Porque você tem que entender como que elas trabalham.
Inclusive, até o que...
Fazendo até uma analogia, um dos maiores hackers do mundo, ele nem sequer programava.
Que era o Kevin Metnick.
E o que ele fazia?
Ele entendia justamente como as organizações funcionavam.
(21:52):
Então você, dev, eu acho que a primeira coisa é você entender como sua organizaçãofunciona, qual que é o core dela, para você conseguir escrever o seu código ali,
devidamente, de como que também o teu usuário vai estar esperando.
Então esse é o primeiro ponto.
você foge bastante da área técnica mais para a área de soft skills e também visualizartoda a estrutura organizacional.
(22:25):
Então, é mais por isso mesmo.
E até hoje no...
como não comentar o você falou, e faz sentido nesse ponto, né?
Porque tem meio que um padrão de como é feito isso, como é feito requisito, como épensado, como vira uma task no final do dia, né?
Mas cada empresa meio que tem o seu jeito, tem meio que padrão geral, mas cada meio que...
(22:48):
Tem, você falou, tem...
Eu já trabalhei lugar que eu falava direto com o usuário.
O usuário falava, cara, eu quero dar tela assim acessada.
Beleza, eu vou lá e faço.
E tinha lugar que passava pra analista literalmente de negócio, analista de sistema,passava pra arquiteto, depois virava uma task pro Dev.
Então vinha negócio muito mais...
É tanto que gente tinha milhões de tasks, porque a task era arredondar a borda tal,colocar a letra tal no nome do botão.
(23:11):
Tipo, vinha negócio muito detalhado, porque passou por processo.
É, é, e acabou.
Porque o arquiteto pensou tudo.
É, não escala, cara, é uma loucura.
Mas assim...
Certa forma, no fim do dia o produto era melhor.
Melhor no ponto de vista de qualidade, mais redondo e tal.
(23:31):
Não estou dizendo que tem vantagem desvantagem nesse modelo, mas se aquela empresa está deesforço para pagar esse preço de não escalar, de desenvolver o tempo dela...
Cara, eu trabalhei na empresa que a realiza duas vezes no ano.
Duas vezes no ano a realiza de produção.
Então, eles estão nem aí com isso de escalar, ser rápido.
Não, a preocupação é quando eu geral o meu release, negócio tem que ser 100%.
(23:53):
Porque a infraestrutura crítica, porque sei lá o quê.
E trabalhei e-commerce que era 20 deplo produção por dia.
20 por dia.
A Amazon tem...
A Amazon fez esse fluxo, faz milhões por dia.
Então você tem cenários e cenários, mas isso que o Matheus falou aí de entender essefluxo, pro dev, entender como é esse fluxo é crucial para que isso seja melhor.
(24:14):
Eu queria, só para a gente não ficar muito tempo no mesmo tema, eu queria puxar outroaqui, Matheus, até...
Desculpa que eu te cortei, tá?
Depois que você voltar nesse tema, você volta.
Mas eu queria puxar uma linha aqui que é a seguinte.
O desenvolvedor já é multidisciplinar.
Eu lembro da minha época de VBC, eu estava falando com o Bayour Offline aqui.
Eu comecei no VBC, minha preocupação era dar dois cliques no botão e programar o evento dobotão.
(24:37):
Conectar no banco e tal.
Então já tinha banco, já tinha modelagem de banco e já tinha o back-end, eram duasdisciplinas.
Depois fui para web.
Aí vem a porra do JavaScript, HTML, CSS.
Tinha que fazer funcionar IE6.
Cara!
Que terror, cara.
Eu odiava front-end.
Sempre odiei front-end, tecnicamente de trabalhar, apesar de gostar visualmente, mas eunão gosto, gostava de back-end.
(24:57):
Mas eu tinha que ter o mínimo, eu fazia o mínimo pra eu me virar nas coisas que euprecisava quando eu não tinha front-end pra fazer pra mim.
Então eu tinha que ser multidisciplinar algumas coisas que eu mais gostava, como banco dedados, exemplo, arquitetura, o próprio código, mas front-end eu botava pé e tirava, botava
o pé e tirava.
Diferente de segurança, eu sempre gostei.
Então eu botava o pé, botava o outro e hoje eu botei o corpo todo, trabalho com segurança.
(25:18):
Aí a pergunta é essa, como você vê essa multidisciplinaridade, porque agora o Dev tambémtem o IA, o ZLM da vida, monte de coisa que o desenvolvedor é cobrado, além de segurança.
Acho que na nossa conversa, gente bateu papo e viemos aqui para isso.
Por que é importante também para o desenvolvedor ter esse ponto de vista decibersegurança?
Não só app-seq, de maneira geral, mas segurança como o Toro, como ele falou.
(25:40):
Puts, vou entregar aqui negócio, mas espera.
Então, a gente põe aqui produção, exposto, que não é para estar.
episódio passado que gente gravou com o Monstro Sagrado, que é o Rafael Frizani de infra,falou do pendrive lá, ouça o episódio passado aí pessoal.
cara carregando o pendrive da base de dados inteira, de das melhores operadoras do Brasiluma época.
Enfim, como é que essa multidisciplinariedade do ponto de vista de segurança?
(26:01):
Você acha que é válido isso?
É importante?
Você já comentou no começo, então uma questão ali de carreira profissional que évantajoso, Mas fala mais sobre isso aí.
Claro, ponto importante é porque sendo...
eu ia até puxar para a LGPD, mas muitas das vezes ela não é cobrada ao pé da letra, Mas sevocê trabalha lá fora, principalmente satélites dos Estados Unidos, você responde a RIPA,
(26:31):
né?
Então ela tem algumas multas severíssimas.
E se você adota também o profissionalismo com a legislação aqui do nosso país, você nãovai querer estar disponibilizando dados confidenciais a holdo aí para o pessoal.
Nem que um usuário dentro da sua aplicação possa conseguir fazer o acesso de outrosdocumentos sensíveis, de outros dados sensíveis de outros usuários, que cada tem ali a sua
(27:00):
parte.
Então, ter justamente esse background.
com Saiba Segurandos de como que você consegue justamente evitar alguns ataques da suaaplicação vai te permitir ter um glamour ali, um...
(27:20):
como posso dizer, um...
uma pitada bem a mais das suas aplicações, porque você passa visão principalmente para oteu coordenador para que ele consiga falar, para escalar para o Prodiretoria e tudo mais.
Olha...
Nosso time aqui está entregando as funcionalidades, gente está garantindo que o pessoal,se for sistema, por exemplo, bem terro, o pessoal da...
(27:46):
Vamos dizer, de vendas, não conseguem ver a mesma coisa que tem do pessoal de...
Lá da...
Eu tô pensando inglês.
É por exemplo, de expedição, do marketing, então são justamente coisas bem separadas, nãovai ter um dado que eles podem acessar.
(28:11):
Agora que a gente tá numa correria de...
as próprias LLMs estão saindo diversas outras novas aplicações, tem gente que tá lançandochatbots nos seus e-commerce e tudo mais.
Tem gente na internet, tem o...
principalmente os agentes maliciosos, os caras já estão tudo por trás de como é quefuncionaria um ataque ali por dentro.
(28:32):
Então se você, por exemplo, vai ali treinar aquela tua aplicação com dados sensíveis semter uma camada justamente de você que não permita que ele cuspa os dados com que eles
foram treinados, qualquer pessoa dentro da app tendo interação com a tua aplicação, elevai conseguir puxar diversas coisas que você não gostaria que ele tivesse.
(28:55):
Então...
é justamente dessa parte de você entregar qualidade e de você conseguir também reterclientes a partir do produto que você está falando.
Ou pode ser tanto ali na parte seguros, para vender com eles e tudo mais, falando com agente vocês estão mais seguros ainda, A gente protege seus dados.
(29:16):
Pode ser na parte tanto de educação.
Muitas vezes talvez você está ali numa trilha.
e que você não tá indo bem, você tá não tá passando alguns exames, né?
E aí você não quer que teu coleguinha vê justamente como é que tá teu progresso.
Então são até mesmo as coisas de como que o usuário vai se sentir dentro da tua própriaaplicação.
(29:41):
E aí se ocorre alguma coisa algum indevido, né?
É um pulo pra pra...
o pessoal começar a falar nas redes sociais, principalmente com as aplicações que teve umarecente, que era um estilo Tinder.
aí, no Twitter, o pessoal falou disso aí, inclusive, acho que no dia seguinte, até agoraeu não vi ela entrando mais no mercado, só pra tu ter ideia.
(30:13):
Cara, isso aí foi tão...
Como é que fala?
Sabe aquelas...
Tipo assim, caiu meteoro na Terra e alguém no BBB, sei lá, mostrou a teta na tela.
É o tipo de assunto que vira...
É o tipo de assunto que dá uma popularidade, assim, mas o meteoro tá lá destruindo ocontinente inteiro.
foda-se, a teta na tela aqui é mais interessante.
(30:34):
Foi esse tema aí.
Cara, isso acontece todo santo dia, empresas gigantes, governo, mas esse bagulho deubafafá, você viu isso aí, Benhor?
Eu esqueci nome do aplicativo, mas é Tinder pra safos.
É tipo de Tinder só pra mulheres, lésbicas, enfim, nesse contexto.
(30:56):
tempo atrás que aquele...
Pessoas casadas...
Como é era o nome daquele...
Você faz...
É, foi o último que eu vi.
Iiiiisso, iiiisso...
Ashley Madison, legal.
Mas só pra dar mais fogueira no que o Matheus falou aqui, esse aplicativo, aí depois agalera viu que foi vibe codado, foi gerado por IA, monte de secret chumbado, monte de
(31:21):
assim, Segurança foda-se.
E aí vazou os dados de todo mundo que usava o aplicativo, aquela coisa toda.
Enfim.
Volta Matheus, vai, vai lá.
Exatamente, é só dando um exemplo aí do que ocorreu com eles que até mesmo se você quiserse lançar ao mercado mesmo que você não tenha feito nada vai acordado se você não tem essa
(31:45):
preocupação é pulo para você já sair também né sair perdendo então é importante justamentedessa parte como você desenvolvedor vai lidar justamente com essas correções então para
aprender hoje no
a internet tem uma comunidade muito grande, tem muito conteúdo para você aprender,justamente como explorar.
(32:08):
E aí você vai lidando justamente com essas partes e vai, por consequência, aprendendomuito mais sobre a tua stack, tua linguagem, como que trata.
Então você vira desenvolvedor muito mais completo.
Inclusive, até as fraquezas do stack, nem tudo são rosas.
(32:30):
Cara, tava com outra coisa na cabeça, aí trouxe essa porra desse aplicativo aí, cagou tudocomo raciocínio aqui, que esse caso foi engraçado.
Mas do Ashley Madison, pra galera que tá ouvindo aí, era site pra relacionamentos extraconjugais.
O site...
foi invadido, mundial, o site foi invadido, vazou dados de todo mundo que usava o site.
(32:54):
Como a gente ficou sabendo?
Eu trabalhava numa empresa, dos maiores e-commerce do Brasil, mais de 1500 lojas noBrasil, e apareceu duas entidades na dark web, com o nosso nome lá, o nosso e-commerce era
o Devil's Request e-commerce, Apareceu lá dois entries, aí cara, o que que estão fazendocom a nossa marca?
O que aconteceu?
(33:15):
O que tinha acontecido?
Dois funcionários se cadastraram no site com o e-mail da empresa.
O cara do Ben e o Ura é melhor.
Então, começaram vender as credenciais das pessoas, começaram a chantagear as pessoas.
Enfim, bagulho virou...
Quem conseguiu o hacking, na verdade, ganhou a grana com isso aí.
Então, nossa empresa, a verdade, não tinha vazado, não tinha nada.
(33:38):
como o cara tinha usado o e-mail da empresa, o arroba domínio da empresa, pingou lá queestava sendo vendido, comercializado os dados do cara da Tark Web, enfim.
E aí, pra ajudar, eu conheci os dois indivíduos, porque era de TI.
Aí, cara, é...
O meu lado zoeira ao máximo, eu queria chegar dando voador e gritando na empresa inteira,zoando os cara.
Mas do outro lado, eu sou de segurança e tenho a privacidade do cara.
(34:01):
vou também sair aloprando assim.
enfim.
Até hoje, eles não sabem o que eu sei.
Enfim, ninguém sabe de nada, segue a vida.
Nem lembro o nome da galera, então ainda bem que esqueceu.
Direito de esquecimento aconteceu.
Mas aí, Beerus, já se cadastrou sites?
Duvidosos?
(34:21):
Do...
Pode crer, né?
O cara faz de tudo por uma namoradinha, né?
capaz, rapaz, eu tenho um índice de aproveitamento de 0.007%.
É bom, tá bem, melhor que eu, o meu foi zero.
Boa, Vai ficar gravado para eternamente isso aqui.
(34:45):
Deixa eu puxar outro tema aqui, mas antes de puxar outro tema, eu lembrar uma vinheta bemlegal aqui que a gente não está fazendo.
Olha que legal isso aqui.
David may cry.
E hoje que temos um David aqui, temos de algum jeito fazer.
(35:07):
Esse quadro aqui, Matheus, é o seguinte, a gente sempre fala...
A gente sempre tem essa brincadeira de treta com os devs e tal, É quadro que a gentesempre fala algo que faria o David chorar.
Falei, se tivesse isso aqui, o David choraria.
Se tivesse isso aqui...
Cara, acho que o campeão até hoje foi o Ben.
O curso que o Ben U falou que o Curto tinha que treinamento é obrigatório.
e mostra slide 1 de 60, você tem que dar next, next, tem que apertar cada tela, nãoconsegue sair do bagulho, não consegue avançar o vídeo, puta que pariu, assim.
(35:34):
O deve chorar na empresa.
Faz a empresa chorar.
Hoje é o dia especial porque temos deve aqui.
O que faz o deve chorar.
Então vamos lá, Matheus.
Enquanto você pensa aí, eu já tenho na manga aqui, pensa aí, o que você acha que fazquando a gente de segurança fala alguma coisa assim, a puta, você tem que fazer isso, tem
(35:54):
que fazer aquilo...
se faz o deve chorar enquanto você pensa a minha maior seria o seguinte toda task para odesenvolvedor ela ia vir nesse nível assim olha colocar mudar o texto do botão colocar no
nível de detalhe assim ó incluir o campo x na api mas do banco é outra pessoa que incluirtá ligado tipo a task mais micro mais granular possível toda vez que ele fizer o trampo
(36:18):
era cinco minutos para fazer o trampo
E aí ele acabou o trampo, tinha que comitar, abriu o request, ia demorar, sei lá, mês praaprovação, porque tem que ir pra teste, que ir homologação, tal.
Ou seja, pra mudar o label, cara precisa pedir a aprovação do papo, sabe?
Acho que esse fluxo de trabalho...
Cara, eu odiava, quando era dev, então acho que faz o dev chorar isso aí.
O que que vocês acham?
(36:40):
Requisito cara, eu acho que o requisito obscuro é o melhor.
Não deve ser possível realizar ataque style.
Foda-se como tu tem que implementar.
Sabe?
Azar.
É aquele esquema assim, eu tenho que ter rate limit.
(37:00):
Pra quanto?
Como?
Rate limit é difícil, não é só botar um...
É difícil de fazer?
Esse aí pra mim é o que mais me...
eu preciso de uma tela de login que não aceite o CPF, o endereço, número da casa.
Fala todos os não pra o cara desenvolver.
Acha o sim, tá ligado?
deve implementar mecanismos robustos de autenticação.
(37:20):
O que significa um mecanismo robusto de autenticação?
Melhorar a performance.
Pensou aí, Matheus?
Pensou aí?
ser a prova de ferramentas
Fala aí, fala aí.
mas uma das coisas, até fugindo pouco aí da parte de requisitos, quando você tem umtrabalho numa empresa que eles gerenciam o teu dispositivo,
(37:47):
Ó, treta.
Vejo treta.
falar então você tem todo seu setup lá todas as tecnologias que você tá mexendo e aí donada eles fazem um atualização
do por exemplo do Kubernetes você tem que utilizar.
Beleza, atualiza, pronto, senão toda a tua aplicação local não está mais funcionando e aívocê vai ter que trabalhar dentro daquela versão.
(38:16):
Passar um dia, às vezes até dois, para verificar todos os endpoints que você está mexendo.
Se for microserviço, verificar também como é eles estão lidando, porque já já vai bater naporta falando que tem que ser a mesma versão produção.
E aí depois de certo tempo você fez as validações e aí vem a atualização novamente.
(38:40):
Então toda essa dor de cabeça que você tem que fazer esse de iniciamento.
E aí é com outra coisa e aí depois não tá mais dando certo.
É a pior dor de cabeça que tem.
Olha, eu entendo porque fazemos isso, Updates, automático, mas também entendo a dor.
Vou ficar de coração dividido nessa, Hur.
Vou ficar coração dividido.
Vou ficar do lado dos devs, mas vou puxar minha sardinha pra segurança também.
(39:06):
A gente sabe como o update não feito.
Cara, engraçado isso aí porque...
Não, é de foder também, né, cara?
Uma coisa que também eu acho super bom é a política de deprecated na empresa.
Só que ela também causa estresse.
Por exemplo assim, a gente sempre vai trabalhar uma ou duas versões anteriores.
(39:28):
Então tipo assim, pessoal, agora nós vamos deprecar o Node 18 porque já estamos no 20,então vocês têm seis meses para fazer essa troca.
Sabe?
É, quando tem o plano é bom.
O problema é que eu adoro a área de arquitetura quando eles plano sem medição de empate.
O plano é esse e segue.
(39:48):
Não, pera, o plano tá errado, tá ligado?
vai ser tudo arquitetura árbitra.
Tá louco.
Eu dar exemplo aqui.
tenho...
Agora eu sou chique, né?
Eu moro na Europa, então cresci na vida.
Então eu comprei carro elétrico aqui.
E toda vez você vai atualizar, porque tem updates, né?
(40:09):
É software.
O carro inteiro é uma porra de software, né?
Então toda vez que tem update, praticamente você não pode usar o carro por uma hora, umahora e meia.
Tem que estar com a bateria cheia.
Cheia não, né?
Mas tem que estar com bateria e você não pode dirigir, Então, tipo assim, se você estáatualizando o bagulho, você deu uma dor de barriga e precisa ir pro hospital, você logo...
Você tem que chamar Uber, que ir com outro carro, sei lá.
O carro vai ficar parado.
Esse update dele ficou uma hora parado, uma hora e meia parado.
(40:33):
Enfim, minha primeira experiência, ok, tem que aceitar.
Aqui eu sou de São Paulo, então São Paulo você não tem parado.
É 24 por 7 o bagulho.
Aqui não, aqui você pode ficar parado, vai ficar tudo bem, vai tudo acontecer.
Mas eu senti essa dor do Matheus, porque dia que eu fiz o update era o dia que genteprecisava sair.
Só que eu não sabia, mandei o update no bagulho, falei, puta, agora tenho que esperar umahora pra poder sair.
(40:54):
Ainda bem que era compromisso muito urgente, mas atrasando uma hora.
Mas enfim, faz parte do dia a Manos, caminhando para o final já, 40 minutos a gente falounada e muito ao mesmo tempo, porque é tema, dá para falar muita coisa aqui, o Matheus
trouxe uns insights bem bacanas aí.
Mas eu queria encerrar, Matheus, perguntando o seguinte, Você acha que, em geral, a gentevai focar no desenvolvedor, geral, você acha que tem déficit...
(41:23):
de educação, do ponto de vista de aprendizado mesmo.
Falar, eu quero ser desenvolvedor, quero ser, sei lá, qualquer profissão que seja, umacarreira ali, uma carreira, não é o fala, roadmap de estudo, enfim, disciplinas ali
dentro.
Você acha que tem gap de segurança pro desenvolvedor?
Porque assim, toda experiência que eu tive, todo mundo que eu conheço, literalmente éassim, ou o cara vai atrás daquilo, mas ele não vai ter na faculdade, ele tem que ir
(41:48):
atrás, a empresa vai dar curso, sabe coisas do tipo?
Não é algo que...
não, eu vou ser desenvolvedor, eu sei que vou ter 20 % da minha formação, é segurança, éarquitetura, é não sei o quê.
Eu acho que tem déficit, como é que você vê isso aí?
Cara, eu vejo déficit muito grande, Principalmente na galera que sai da faculdade.
(42:10):
Até mesmo analisando o currículo de boa parte ali de ADS, até mesmo da minha, não temmuito puxado para segurança.
Eu fui por conta própria, tá?
E projetos.
Inclusive, foram esses projetos que eu fui atrás, que eu consegui rampar mesmo, ter outrasvisões.
(42:31):
Até uma dica mesmo, para quem é desenvolvedor quer ter esse olhar, começa a contribuir aoopen source, ali no GitHub, a OASP mesmo, ela tem uma organização e ela tem diversos
repositórios, ou seja, diversos projetos que ela lista lá, em que vocês conseguemcontribuir.
(42:53):
E eu comecei por lá.
Cheguei, acho que a minha primeira contribuição foi numa cobertura de testes do OpenArchive.
Então, até mesmo para construir ali a suite de testes lá que tinha lá o Open Request, ou oRequest não, aí o show que eles estavam colocando, eu tinha que entender justamente de
(43:17):
diversos processos lá que tinham dentro, as configurações que tinha que colocar para poderrodar localmente.
O trecho ali mesmo do código que estava sendo executado lá é tudo Python.
você está imerso justamente em cenários diferentes e até mesmo como funciona já umaaplicação que você vê rodando todos os dias te dá até mais um entusiasmo.
(43:40):
E eles rodam diversas pipelines.
Eu lembro que, se não me engano, acho que foi o primeiro contato que eu tive com...
com o Saast ali com os alertas gerados e até que depois disso que eu fiz os testes né eufui fazer algumas correções do que tinha de alerta né e se que eu te acho que tava aberto
(44:05):
então a partir disso você já consegue até mesmo ir a dentro do desses alertas que temdentro de uma ferramenta pode ser um sneak pode ser code que é ou pode ser um
um Sonar Cube.
Sonar Cube provavelmente é que a galera mais vai ver dentro das companhias.
(44:27):
Mas só de você pegar esse alerta, mitigar ele, entender o que ele está querendo dizer etambém tentar reproduzir porque muita coisa é falso positivo, você já vai ter um ali
construindo o teu próprio background como desenvolvedor e aí você já vai estar olhandopara o lado de sabedigurança.
É claro que tem outras
(44:49):
outras bases que é preciso se enrampar, principalmente ali de redes, sistema operacional,mas se você estiver dentro ali de uma formação, você já vai estar cobrindo essa parte aí
legal.
Então essa aí é a dica até chave de ouro.
E até mesmo se quem estiver assistindo é estudante, está perdendo tempo se não ainda tem opacote lá do GitHub para estudante, o Student Package.
(45:18):
Porque com ele, você consegue ter acesso gratuito a diversas coisas.
E até mesmo rodar o code que é uma ferramenta paga dentro do GitHub.
Você consegue rodar dentro dos seus próprios projetos.
Você pode entrar um outro projeto lá open source, faz fork dele e roda essa pipeline noteu próprio repositório ali que está forkado.
(45:40):
E aí você vê todos esses alertas que ele foi emitido.
E começa a estudar ali, a partir dali.
pode ter muito lixo pode mas até mesmo você estudando ali dos alerta dos falsos positivosvocê já vai ter feito uma garimpagem tem entendido se você quiser até mesmo entender muito
mais coisas ali sei lá ali do .net do do JavaScript do JavaScript você vai ver o tanto degambiarra que vai ter e aí vai começar a falar de boas práticas de
(46:11):
de utilizar produção, coisas que não deve ser utilizado e por aí vai.
Então, aí eu diria que seria a bala de prata para qualquer desenvolvedor seguir.
Pô, cara, sem querer você fez Dev May Cry agora, Tudo isso aí, você falou que o cara temque rodar CodeQL, falou que tem que rodar SAST, falou que tem que estudar, falou que tem a
(46:32):
conta do estudante.
Aliás, se eu não me engano no GitHub, se você tem projeto público, você já consegue rodartudo isso de graça, desde que o repositório seja público, né?
Então, cara, você fez Dev May Cry melhor do que o anterior, que é coisa pra caralho, né?
e privado roda assim, Mas eu acho que tem uma limitação, só acho que...
(46:52):
Da última vez que eu vi, acho que era 1.
Eu não sei se eles aumentaram, mas...
ou você paga míseros 40 dólares por deve pra ter uma aba...
Eu sou anti-github security.
Anti, tá?
Mas a gente tá muito segurança, então eu sou anti-sonar, anti-github security, mas enfim.
(47:13):
conversa pra outra, Bayer.
Pra outra, né?
Mas, assim, você paga 35, 40 dólares pra ter lá a tua aba, enfim, rodar o Dependabox, tal,tal, tal, aquela parada lá nos seus postos privados, né?
Enfim.
Você ficou mudo, Bayer, você fala alguma coisa e você tá multado aí, Fala, Ai, agora...
É ruim, não é ruim, mas é bom, não é bom.
(47:35):
Tá ligado?
Tipo...
Sei lá, cara.
Você...
um aprendizado você tira e com certeza é um baita diferencial e até mesmo
aí que eu sobrepus.
Para o cara aprender a rodar ali, rodar scan, ver o resultado.
É uma puta ferramenta.
Até eu diria que para quem não tem nada, está no nível zero de segurança empresarialfalando, roda lá o GitHub de Ants Security.
(47:59):
É uma ótima solução.
Quando você escala isso no nível enterprise, eu acho que já não faz mais sentido.
Mas para começo é uma ótima solução.
exatamente e até mesmo quem quer até se aventurar para fazer gestão de pet essas coisascoloca lá o dependabot no automático para ele gerar os pull requests e começa a fazer as
(48:23):
triagens aí você aceita um e vê as quebras que ele dá para entender justamente
As correções das bibliotecas que ele atualiza, você começa a as nuances do Devil May Cry.
Porque de uma versão para outra pode mudar sintaxe, mudar alguma coisa, pode ter ficadodepreciada.
(48:47):
E aí você vai ver que a code base vai ter monte de chamada utilizando aquele método e poraí vai.
Então você vai ter que refatorar a hodo.
Então é uma das coisas, é caos.
Exatamente.
Boa, Tava com outro raciocínio aqui na cabeça, aí você falou do...
Eu cortei aqui, mas eu ia falar do...
(49:07):
Espera aí que vai voltar.
Não, não vai voltar.
Peiúr?
Ah, lembrei.
Cara, estamos aqui, é como deve, ao vivo não, estamos gravando, mas para todo mundo queestá ouvindo isso aqui, um desenvolvedor falou de oaspe.
O cara sabe o que é oaspe, tá vendo?
Vocês estão deixando dinheiro na mesa, essa é a verdade.
A galera fala que o desenvolvedor não usa, não sabe.
Tá vendo, cara?
(49:27):
É só você querer, só você se dedicar, porque tem um ganho muito grande isso comoprofissional, individual, pra você.
Não só de...
Como que eu posso dizer?
Não vou falar ego, né?
Mas é legal você aprender mais coisas, ter mais superpoderes, né?
Vamos dizer assim.
Mas você está levando bem maior para a tua empresa, o produto que aquela empresa estávendendo, para a sociedade no fim do dia, porque aquele software é para servir a
(49:51):
sociedade, para fazer alguma coisa, para gerar dinheiro, para servir alguma coisa.
Então, é um impacto muito grande que o desenvolvedor tem, que a gente tem geral nasociedade engendrida.
Eu tenho falado muito sobre isso, a gente aplica a Application Security, porque a nossavida depende de software, então é importante que esse software esteja no seguro, simples
(50:12):
assim.
Acho que essa é a grande mensagem que eu complementaria esse episódio de hoje.
Recados finais, Ben Hur quer mandar beijo, abraço pro Marcos, Matheus quer falar comalguém, essa é a hora.
Primeiro beijo abasto pro Marcos.
A outra questão é pessoal, perfil vai mudar.
(50:32):
Então assim, antes até a se preocupava assim com os desenvolvedores, desenvolvimentoestava começando a se preocupar com segurança, mas tem muita oportunidade aí pra gente,
mas antes a gente escrevia o código do zero.
Agora não é a gente que escreve o próprio código mais direito, então a gente precisaaprender a revisar agora.
(50:53):
E nessa revisão tem vários que Queens que garantem que a gente não seja o próximo alvodessas lembranças de vibe cold essas coisas todas todas aí né então
Como o papel do desenvolvedor está mudando, com relação a até onde ele é responsável pelascoisas, até onde ele domina as coisas, ele precisa ampliar a visão dele.
(51:20):
Porque antes a gente era muito bem pago e requisitado, porque nós éramos os donos doconhecimento de como criar código e agora nós não somos mais unicamente o dono desse
conhecimento.
A precisa ampliar o nível de arquitetura, a visão de arquitetura e não só mais da linha decódigo.
Então, inevitavelmente, a gente precisa começar olhar para contexto maior.
(51:44):
E com contexto maior, gente também precisa agora revisar o que não é a gente mais quecria.
Então, unida essas duas coisas, a gente tem uma oportunidade muito boa de sermosprofissionais que sabemos escrever requisitos melhores e sabemos revisar os detalhes do
que é aquilo que a IA está gerando, trabalhando com a gente ali.
(52:05):
também do ponto de vista de segurança, porque a estatística está e 56 % do código geradopossui pelo menos uma vulnerabilidade ou misconfiguração explorável.
Então sabendo disso, a gente sabe, a gente tem a possibilidade de tomar a ação.
Então fica pouco com relação a isso.
(52:34):
Bem-vindo ao final da série.
é eu confirmo aí com a palavra do bem ru é até hoje eu tô vendo bastante isso até mesmocom atuando uma empresa que ela tá adotando bastante as ferramentas de a como você ele teu
copiloto então tá tendo bastante isso pra justamente acelerar a parte de desenvolvimento eo o desenvolvedor ele focar mais nas partes
(53:03):
dos requisitos funcionais da qualidade, como que as coisas vão operar.
E aí é onde que a gente tem que começar a ter uma visão bem maior de como que vai ser ascomunicações com os outros serviços, se vai utilizar protocolo x, y, garantir que somente
(53:28):
a sua aplicação vai se comunicar com aquelas APIs, se vai...
os tipos de validações e por aí vai.
Então entender todo o fluxo e como que o teu serviço vai estar bem estruturado.
Então esse é nível bem arquitetural.
E é esse o futuro que a gente estava vendo.
(53:48):
Inclusive, o que eu estava vendo, eu não sei se vocês viram o lançamento da OpenAI, aArdVar, algo assim.
acabou de confessar que não ouviu os últimos episódios do DevCop Podcast.
Ouça!
Ouça, falamos exatamente sobre isso.
(54:11):
Até trazendo né, que tá na versão beta, vocês chegaram a mexer?
e
Mas a proposta ali pelo menos do workflow é aquilo ali que está acontecendo.
Tem muita coisa que é manual ainda, Estão vendo as maneiras de você criar justamente parao ambiente isolado, a justamente validação e aí já passa a correção.
(54:40):
Então, das maneiras mais arcaicas que a gente já faz é testar em homologação ou fazambiente mesmo de segurança ali, o Playground, que é onde a gente faz a festa.
e faz a devida correção.
Opa, deu certo.
Vamos passar o pull request lá para análise para colocar produção.
(55:01):
justamente dessa plataforma, olhem aí, não façam o que eu fiz, que eu não assisti aosepisódios anteriores, mas deem uma olhada justamente nas tendências.
que a produção está aqui hoje, né, Benyur?
Mas dois, três episódios atrás a gente falou exatamente sobre isso.
Aliás, foi o primeiro episódio dessa temporada, então gente está no terceiro, quarto...
Foi isso aí, no primeiro episódio dessa temporada a gente falou pouquinho não só sobre oproduto si, mas sobre o conceito, que já tem, Que já tem a Open Eye lançou dela agora, mas
(55:30):
já tem isso no mercado.
Exato, gente está falando ali de remediation agent.
É isso que nós estamos falando, né?
Na verdade, você, antes a gente precisar...
Aquele esquema, A gente só tinha profissional de segurança que olhava o finding everificava se ele tinha que ser corrigido ou não e propunha correção.
Vai proponder, vai...
Não sei falar esse português, meu Deus!
(55:51):
Ele vai propor a solução.
E essa ideia...
que é eu vou usar IA para pegar código, mais a VUNI, conectar os dois e usar IA generativapara propor a correção, ela só está materializada num produto, Essa ideia eu acho que vai
(56:12):
ser mais uma como a gente diz assim, todo mundo vai ter isso, sabe?
Eu acho que eles só foram o primeiro a empacotar isso num produtinho e usar bom marketingpara isso.
segredo é que eu tenho isso na minha empresa hoje, a gente já usa, não é da OpenAI.
E não funciona direito.
(56:34):
Mas sabe o que não funciona?
A gente tem 1 milhão de findings e 10 % tem autofix, que a chama de autofix, que essa AIque já passou, já viu o find, já pode gerar pull request para mim automático.
Então, o volume não é...
Se a está falando de reduzir backlog, cara, 10 % não é backlog.
Vale a pena?
Você tem 100 vulnerabilidades, vale.
(56:54):
Até milhão não vale.
Agora, agora se eu estou falando, olha, fiz pull request, a parada já está fazendo issotempo real, tempo de pull request, vamos falar assim, ou seja, o código não foi para lugar
nenhum ainda, está sendo analisado, já chegou o problema, já melhorou o pull request, jásugeriu a correção, aí está falando de outra história, que é prevenção de uma
(57:15):
vulnerabilidade ir para algum lugar.
Redução de backlog, beleza, tem um cenário, mas...
nesse ponto de vista do fluxo que o Matheus falou, Aí é show.
Aí eu vejo mais...
Mas enfim, tema para outro episódio, senhores.
Matheus, obrigado aí mais uma vez pelo seu tempo, pela agenda.
Beyr, mais uma vez, tamo junto.
(57:36):
Muito bom ser o Marcos aqui, mas muito bom.
Pensando mandá-lo embora seriamente.
Coitado.
Coitado, Marcos.
Mas tá indo pro Brasil, inclusive.
Hoje a gente está gravando na quinta, ele vai amanhã para Brasil.
enfim.
Jovens, é isso.
Nos vemos na próxima semana, com certeza.
Eu sou o Casio Pereira.
(57:58):
E nosso deve que sabe o que é o asp, mano.
Matheus, velho.
Obrigado, galera.
Valeu.
Obrigado, gente.
Prazer estar com vocês.
Popular Podcasts
Stuff You Should Know
If you've ever wanted to know about champagne, satanism, the Stonewall Uprising, chaos theory, LSD, El Nino, true crime and Rosa Parks, then look no further. Josh and Chuck have you covered.
Dateline NBC
Current and classic episodes, featuring compelling true-crime mysteries, powerful documentaries and in-depth investigations. Follow now to get the latest episodes of Dateline NBC completely free, or subscribe to Dateline Premium for ad-free listening and exclusive bonus content: DatelinePremium.com
The Burden
The Burden is a documentary series that takes listeners into the hidden places where justice is done (and undone). It dives deep into the lives of heroes and villains. And it focuses a spotlight on those who triumph even when the odds are against them. Season 5 - The Burden: Death & Deceit in Alliance On April Fools Day 1999, 26-year-old Yvonne Layne was found murdered in her Alliance, Ohio home. David Thorne, her ex-boyfriend and father of one of her children, was instantly a suspect. Another young man admitted to the murder, and David breathed a sigh of relief, until the confessed murderer fingered David; “He paid me to do it.” David was sentenced to life without parole. Two decades later, Pulitzer winner and podcast host, Maggie Freleng (Bone Valley Season 3: Graves County, Wrongful Conviction, Suave) launched a “live” investigation into David's conviction alongside Jason Baldwin (himself wrongfully convicted as a member of the West Memphis Three). Maggie had come to believe that the entire investigation of David was botched by the tiny local police department, or worse, covered up the real killer. Was Maggie correct? Was David’s claim of innocence credible? In Death and Deceit in Alliance, Maggie recounts the case that launched her career, and ultimately, “broke” her.” The results will shock the listener and reduce Maggie to tears and self-doubt. This is not your typical wrongful conviction story. In fact, it turns the genre on its head. It asks the question: What if our champions are foolish? Season 4 - The Burden: Get the Money and Run “Trying to murder my father, this was the thing that put me on the path.” That’s Joe Loya and that path was bank robbery. Bank, bank, bank, bank, bank. In season 4 of The Burden: Get the Money and Run, we hear from Joe who was once the most prolific bank robber in Southern California, and beyond. He used disguises, body doubles, proxies. He leaped over counters, grabbed the money and ran. Even as the FBI was closing in. It was a showdown between a daring bank robber, and a patient FBI agent. Joe was no ordinary bank robber. He was bright, articulate, charismatic, and driven by a dark rage that he summoned up at will. In seven episodes, Joe tells all: the what, the how… and the why. Including why he tried to murder his father. Season 3 - The Burden: Avenger Miriam Lewin is one of Argentina’s leading journalists today. At 19 years old, she was kidnapped off the streets of Buenos Aires for her political activism and thrown into a concentration camp. Thousands of her fellow inmates were executed, tossed alive from a cargo plane into the ocean. Miriam, along with a handful of others, will survive the camp. Then as a journalist, she will wage a decades long campaign to bring her tormentors to justice. Avenger is about one woman’s triumphant battle against unbelievable odds to survive torture, claim justice for the crimes done against her and others like her, and change the future of her country. Season 2 - The Burden: Empire on Blood Empire on Blood is set in the Bronx, NY, in the early 90s, when two young drug dealers ruled an intersection known as “The Corner on Blood.” The boss, Calvin Buari, lived large. He and a protege swore they would build an empire on blood. Then the relationship frayed and the protege accused Calvin of a double homicide which he claimed he didn’t do. But did he? Award-winning journalist Steve Fishman spent seven years to answer that question. This is the story of one man’s last chance to overturn his life sentence. He may prevail, but someone’s gotta pay. The Burden: Empire on Blood is the director’s cut of the true crime classic which reached #1 on the charts when it was first released half a dozen years ago. Season 1 - The Burden In the 1990s, Detective Louis N. Scarcella was legendary. In a city overrun by violent crime, he cracked the toughest cases and put away the worst criminals. “The Hulk” was his nickname. Then the story changed. Scarcella ran into a group of convicted murderers who all say they are innocent. They turned themselves into jailhouse-lawyers and in prison founded a lway firm. When they realized Scarcella helped put many of them away, they set their sights on taking him down. And with the help of a NY Times reporter they have a chance. For years, Scarcella insisted he did nothing wrong. But that’s all he’d say. Until we tracked Scarcella to a sauna in a Russian bathhouse, where he started to talk..and talk and talk. “The guilty have gone free,” he whispered. And then agreed to take us into the belly of the beast. Welcome to The Burden.