DevSecOps Podcast

Neste episódio do DevSecOps Podcast, fomos direto no ponto: SCA não é sinônimo de caçar CVE em biblioteca open source. Durante anos, muita empresa reduziu Software Composition Analysis a “rodar ferramenta e ver se tem vulnerabilidade no npm ou no Maven”. Só que o jogo ficou mais complexo. Hoje falamos de dependências transitivas invisíveis, pacotes abandonados, licenças incompatíveis, ataques à cadeia de suprimentos e componentes proprietários que ninguém inventaria no SBOM porque “não é open source”. Spoiler: risco não pergunta licença. Discutimos:Por que SCA precisa olhar além do GitHub e entender o ecossistema inteiro da aplicaçãoO papel real do SBOM e onde ele falha na práticaSupply chain attacks e o que mudou depois de casos como Log4ShellDependências internas, pacotes privados e artefatos binários esquecidosLicenciamento como risco jurídico, não só técnicoComo integrar SCA de forma estratégica no pipeline e não virar mais um relatório ignoradoSe AppSec é armadura, SCA é o exame de sangue do software. E não adianta medir só colesterol quando o problema pode estar no fígado. Esse episódio é para quem já rodou ferramenta, já viu dashboard bonito e percebeu que ainda assim algo está faltando. Porque está mesmo.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

IA é ferramenta. Poderosa. Rápida. Escalável. E completamente indiferente ao que é certo ou errado. Neste episódio do DevSecOps Podcast, mergulhamos nos perigos reais da Inteligência Artificial além do hype e além do medo irracional. Falamos sobre modelos que aprendem vieses humanos, automação de desinformação em escala industrial, geração de código vulnerável com confiança absurda e a falsa sensação de segurança quando “a IA revisou”. IA não é ética. Não é moral. Não é consciente. É estatística com GPU. Discutimos também o impacto prático no desenvolvimento de software e na segurança de aplicações. Devs usando copilots sem validar saída. Times confiando em respostas geradas como se fossem verdade revelada. Ataques potencializados por modelos generativos. Engenharia social turbinada. Deepfakes cada vez mais convincentes. A IA amplia o melhor e o pior de nós. No fim, a pergunta não é se a IA é perigosa. Toda tecnologia poderosa é. A pergunta é: estamos usando com criticidade ou com preguiça intelectual? Porque quando a máquina erra, ela erra em escala. E quando o humano delega o pensamento, ele terceiriza a responsabilidade. E responsabilidade, meu amigo, não dá para fazer deploy automático.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Nesse episódio a conversa foi direta e sem anestesia. Falamos sobre como empresas e profissionais de AppSec realmente evoluíram nos últimos anos, o que mudou de verdade e o que é só discurso bonito em slide corporativo. Spoiler: muita coisa avançou, mas muita gente ainda está brigando com problemas que já deveriam estar resolvidos há uma década. Também discutimos o descompasso clássico do mercado. Enquanto algumas organizações já deveriam estar olhando para o próximo nível de maturidade, automação real, decisões baseadas em risco e integração profunda com engenharia, outras ainda estão “começando AppSec” do zero. E aí vem a pergunta incômoda: isso é falta de tempo, de prioridade, de competência ou de coragem? Um episódio para quem quer entender onde estamos, onde deveríamos estar e por que maturidade em AppSec não é checklist, não é ferramenta e definitivamente não é cargo no LinkedIn.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio do DevSecOps Podcast, usamos a armadura do Homem de Ferro como desculpa elegante para falar de coisa séria: como montar um programa de AppSec que funciona no mundo real. Aqui não tem magia, tem engenharia. Assim como Tony Stark não começa salvando o mundo no Mark L, um programa de AppSec não nasce maduro. Falamos de fundamentos, evolução incremental, decisões técnicas difíceis e da diferença brutal entre ter ferramentas… e ter capacidade real. Jarvis vira métrica, sensores viram telemetria, armaduras viram processos. Tudo com pé no chão e código na mesa. Você vai ouvir sobre:por onde começar sem travar o timecomo alinhar AppSec com negócio, produto e Devmaturidade progressiva, não big bang corporativoporque cultura pesa mais que ferramentae o erro clássico de tentar “comprar” segurançaSe o seu AppSec hoje parece mais cosplay do que armadura funcional, esse episódio é pra você. Menos marketing, mais engenharia. Segurança que voa porque foi bem montada, não porque alguém prometeu.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio do DevSecOps Podcast, Cássio Batista Pereira explora o monitoramento de aplicações através da analogia com o Homem de Ferro. Ele discute o quaão crítico é ter um monitoramento inteligente e ativo para identificar o quanto antes uma ameaça ou mesmo um incidente, apresentando um ciclo de vida simples de log que inclui geração, centralização e visualização. O episódio enfatiza que é trabalhoso mas não impossível de centralizar informações sobre sua aplicação em um único lugar.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio, colocamos a armadura do Tony Stark e abrimos o HUD para olhar a segurança de software por outro ângulo: modelagem de ameaças. Sem enrolação, discutimos como pensar como o herói e antecipar ataques antes que eles aconteçam é a verdadeira fonte de poder no desenvolvimento seguro. De STRIDE a cenários reais, mostramos como transformar sua aplicação em uma Mark 50: elegante, eficiente e preparada para pancadaria digital. Exploramos exemplos práticos, padrões mentais e decisões arquiteturais que separam o código blindado do código “vamos torcer para não explodir”. É AppSec com estilo, estratégia e um toque Stark de ironia. Se você quer elevar seu nível de defesa sem travar a inovação, este episódio é o seu laboratório.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio, recebemos um desenvolvedor. Sim, um dev de verdade, código na veia . Para encarar a conversa que muita empresa ignora e muita carreira demora para descobrir: dominar AppSec não é “um plus”, é o diferencial competitivo. Falamos sobre o impacto real de segurança no dia a dia do desenvolvimento, como pensar como atacante muda a forma de construir software, e por que devs que entendem AppSec aceleram times, evitam retrabalho e se tornam profissionais praticamente à prova de recessão. Uma conversa franca, prática e sem romantização: o futuro do desenvolvimento pertence a quem escreve código que não vira manchete. Comportamentos, mindset e skills que transformam um dev comum em um profissional completo. Ao final, fica claro: aprender AppSec não é sobre a empresa, é sobre você apostar na própria carreira.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

SecOps é aquele território onde infraestrutura, segurança e caos se encontram para ver quem cai primeiro. Nesse episódio, sentamos com Rafael Frizani — um SRE que já viu mais servidores pegando fogo do que gostaria de admitir — para destrinchar os desafios reais de segurança em ambientes modernos. Falamos de incidentes que começam pequenos e viram bola de neve, pipelines que precisam ser blindados sem travar o time, automações que salvam o dia (e o sono) e a eterna briga entre velocidade e controle. O papo ficou prático, cheio de histórias de guerra e com aquela pitada de filosofia operacional que só quem vive o front conhece. Se você trabalha com infraestrutura, DevOps, SecOps ou simplesmente quer entender como proteger sistemas que nunca dormem, este episódio encaixa como luva. É para ouvir e já sair repensando seus clusters, seus alertas e talvez sua vida.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio, recebemos o pesquisador C4ng4c3ir0, um verdadeiro veterano do mundo dos Bug Bounties e atualmente #.1 no Ranking Brasileiro. Ele abriu o jogo sobre como é a rotina de quem caça vulnerabilidades, os desafios de lidar com triagens demoradas e programas mal estruturados, e o que separa um bom caçador de um simples “report spammer”. Discutimos o equilíbrio entre reconhecimento, ética e técnica, e como as empresas podem aprender com quem vive na linha de frente da segurança.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

O lançamento do Aardvark marcou mais um passo na integração entre Application Security e Inteligência Artificial. Mas o que isso realmente significa para o futuro da segurança de software? Neste episódio, exploramos como soluções baseadas em IA estão transformando a forma como detectamos, priorizamos e corrigimos vulnerabilidades — e o que muda no papel do profissional de AppSec diante dessa automação crescente. Conversamos sobre riscos, oportunidades e limites éticos dessa evolução: da triagem automatizada à geração de código seguro, passando por frameworks que prometem “segurança autônoma”. No fim, a pergunta permanece: estamos prontos para confiar à IA a defesa das nossas aplicações?Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Neste episódio, exploramos o que realmente faz um programa de Bug Bounty funcionar — além dos prêmios em dinheiro. Conversamos sobre como alinhar a iniciativa às demandas de Application Security, desde o desenho das políticas até o processo de triagem dos relatórios recebidos. Discutimos como priorizar vulnerabilidades, evitar ruído e transformar descobertas da comunidade em melhorias reais de segurança. Um papo direto sobre maturidade, cultura e eficiência em programas de Bug Bounty.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

A era quântica deixou de ser ficção científica e já começa a mexer com a segurança digital de empresas no mundo todo. No novo episódio, recebemos Leonardo Carissimi, líder de Cibersegurança e Privacidade da Capgemini Brasil, para falar sobre criptografia pós-quântica e criptoagilidade, trazendo dados e insights do estudo global “Futuro Criptografado”. Conversamos sobre como organizações brasileiras e globais estão se preparando para o “Dia Q”, quando computadores quânticos poderão quebrar a criptografia atual, e quais tendências devem moldar a cibersegurança em 2025 e além. Descubra por que 70% das empresas já planejam adotar soluções de segurança quântica, como diretrizes regulatórias estão guiando essa transição e o que você precisa saber para enfrentar os próximos desafios digitais.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

No episódio de hoje recebemos Leticia Pereira, especialista em CSIRT e Resposta a Incidentes, para discutir como equipes de Computer Security Incident Response Team podem se beneficiar de práticas de Application Security. Exploramos como integrar a visão de AppSec no dia a dia do CSIRT, quais informações os times de desenvolvimento podem fornecer para enriquecer a resposta a incidentes e como essa colaboração fortalece a resiliência organizacional frente a ataques.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Na parte 5 da série sobre como montar um programa de AppSec, discutimos dois pontos críticos para transformar a estratégia em realidade: orçamento e execução. Exploramos como estruturar a alocação de recursos, justificar investimentos em segurança de aplicações e, principalmente, como aplicar um plano de 100 dias para dar os primeiros passos sólidos rumo a um programa efetivo e sustentável.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

“A Nuvem é o Limite”, exploramos o equilíbrio entre segurança e custos na computação em nuvem. Discutimos os principais riscos, práticas recomendadas para proteger dados e aplicações, e como tomar decisões estratégicas que mantenham o ambiente seguro sem estourar o orçamento. Uma conversa prática e objetiva para quem quer extrair o máximo da nuvem com responsabilidade e eficiência. Com um convidado super especial, o bom filho, a casa torna!Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

No episódio de hoje do DevSecOps Podcast, recebemos a enigmática e afiada Mulher das Cobras para uma conversa sem rodeios sobre Cultura de Segurança no Desenvolvimento de Software. Discutimos como segurança vai muito além de ferramentas e checklists — é comportamento, mentalidade e hábito. Falamos de erros comuns, sabotagens internas e o papel (ignorado) da liderança técnica. Uma aula de cultura, com veneno na medida certa.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

No episódio de hoje, sentamos com o lendário C4ng4c3ir0, um verdadeiro fora da lei... do bem. Ele compartilha sua jornada como Bug Hunter, desde os primeiros bounties até os altos lucros descobrindo falhas em grandes empresas. Falamos sobre técnica, ética, dinheiro e, claro, como transformar vulnerabilidades em oportunidade (e em boletos pagos). Quer entender como alguém ganha dinheiro apontando os erros dos outros? Então dá o play. Esse episódio vai abrir sua mente — ou seu sistema, se não tiver seguro. 💸🔐Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Let’s be honest: most AppSec programs suck at scale. Endless false positives, broken dev pipelines, and security teams drowning in dashboards. In this episode, we call it out with the CEO of Smithy Security. We talk about why traditional approaches don’t work, how Smithy flips the script, and what it really means to build security that devs don’t hate. Buckle up – this one pulls no punches.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

Hoje alunos, seguidores e ouvintes juntaram-se ao elenco para falar como é importante o ensino informal na nossa área.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.

No quarto episódio da série sobre Programas de AppSec, o foco é o treinamento. Discutimos como estruturar iniciativas de capacitação para desenvolvimento seguro, abordando desde treinamentos obrigatórios até programas contínuos como Security Champions. O elenco explora o que realmente funciona na prática, como medir efetividade, engajar devs sem sobrecarregar e evitar os erros mais comuns ao tentar “evangelizar” segurança por meio da educação. Um papo direto sobre como transformar conhecimento em mudança de comportamento.Become a supporter of this podcast: https://www.spreaker.com/podcast/devsecops-podcast--4179006/support.Apoio: Nova8, Snyk, Conviso, Gold Security, Digitalwolk e PurpleBird Security.