GOATX
voltar para roadmap
DEVSECOPS

DevSecOps & AppSec — por onde começar

Mercado pagando 2-3x salário de pentester pra quem une dev + segurança. Foco: integrar segurança no pipeline sem travar o time de produto.

pré-requisitos

  • Programar (Python, Go ou Node) — não só rodar script
  • Git de verdade (rebase, branch strategy, hooks)
  • Docker + 1 cloud (AWS, GCP ou Azure)

labs para praticar

trilha passo a passo

  1. 1

    1. Threat modeling no design

    STRIDE, attack trees, data flow diagrams. Antes de UMA linha de código. Ferramenta: Microsoft Threat Modeling Tool (free) ou pytm.

    OWASP Threat Modeling
  2. 2

    2. SAST no pre-commit + CI

    semgrep (gratuito, regras ótimas), CodeQL (GitHub free pra OSS), Snyk Code. Roda em pre-commit hook + obriga em PR. Falso positivo é inevitável — ajuste regras.

    semgrep registry
  3. 3

    3. Dependency scanning (SCA)

    Trivy, Grype, Dependabot, Renovate. Falha CI em CVE high+. Renovate auto-PR pra patch. Cuidado com transitive deps — Log4Shell estava em dep de dep.

  4. 4

    4. Secrets scanning

    gitleaks no pre-commit + CI + scan retroativo do histórico. trufflehog para encontrar key vivas. Quem comitou .env, rotaciona ANTES de remover do git.

    gitleaks
  5. 5

    5. Container & IaC security

    Trivy/Grype scan de imagem, Hadolint pra Dockerfile, Checkov/tfsec pra Terraform. Distroless > Alpine > Ubuntu. Não rode como root, ponto.

    Checkov Trivy
  6. 6

    6. DAST e fuzz no CI

    ZAP baseline scan, nuclei contra staging, schemathesis pra OpenAPI. Para libs: cargo-fuzz, AFL++, OSS-Fuzz (Google paga pra projetos open).

  7. 7

    7. Runtime — observabilidade de segurança

    Falco em K8s pra detecção de syscall anômala, OSSEC/Wazuh em VM, eBPF tracing (Tetragon, Cilium). Logs centralizados (Loki/ELK) com regras Sigma.

  8. 8

    8. SLSA, SBOM e supply chain

    SBOM com syft/cyclonedx em todo build. Sigstore/cosign pra assinar imagens. SLSA Level 3 como meta. Pós-SolarWinds o mercado paga MUITO bem por isso.

    SLSA Sigstore

dicas de quem já passou pela trilha

  • Comece com semgrep + gitleaks + trivy. 3 ferramentas grátis bloqueiam 70% dos incidentes que viram manchete.
  • Não bloqueie deploy por LOW. Time vai começar a desabilitar tudo. Bloqueie só HIGH+ e crie SLA pra MEDIUM.
  • Toda CI roda em container. Esse container precisa ser scaneado também — supply chain attack mora aí.
  • Threat model em quadro branco vale mais que ferramenta cara. 1h de discussão acha bug que SAST não acha.
  • Segurança que atrasa deploy vira ''aquele cara que reclama''. Automatize 100% do que puder, traga o humano só pra exceção.

ferramentas essenciais

semgrep

SAST poliglota, regras open + customizáveis

trivy

Scan de imagem, IaC e SBOM em uma ferramenta

gitleaks

Detecta secrets em diff e histórico Git

Falco

Runtime security em K8s baseado em eBPF

cosign

Assinatura keyless de container images

Renovate

Auto-PR pra patch de dependências

DefectDojo

Plataforma de gestão de vulnerabilidades

livros recomendados

  • Securing DevOps (Julien Vehent)
  • Container Security (Liz Rice) — gratuito da O''Reilly
  • Practical Cloud Security (Chris Dotson)