AppSec to Go

Você incorpora a modelagem de ameaças em seu processo de desenvolvimento? Essa prática crucial não apenas mitiga os riscos associados à sua aplicação, mas também proporciona uma defesa robusta contra ameaças reais. Compreender e aplicar essa prática não é apenas uma habilidade adicional, mas uma responsabilidade essencial para todo desenvolvedor comprometido com a segurança.Não perca a oportunidade de aprofundar seus conhecimentos! Ouça agora o novo episódio do AppSec Drops e aprenda com especialistas da área, Rodrigo Maues, Security Officer e Tiago Zaniquelli, Tech Lead da Conviso.

Você reconhece a importância das soluções de ASPM (Application Security Posture Management)? Adquirir uma solução de ASPM oferece inúmeros benefícios, mas entender as estratégias de implementação é fundamental para otimizar sua aplicação dentro do seu ambiente específico.No novo episódio do AppSec To Go, Wagner Elias, CEO da Conviso, e Daniel Arenas, CTO da Conviso, exploram esse tema crucial, oferecendo insights sobre o panorama atual do mercado de AppSec e o que podemos antecipar nos próximos anos. Ouça agora mesmo! Te convidamos também, para participar da nossa comunidade DevSecOps no Discord: https://discord.com/invite/7KDTNvGUPN Redes Sociais da Conviso: Blog: https://blog.convisoappsec.com/ Linkedin: https://www.linkedin.com/company/convisoappsec/ Instagram: https://www.instagram.com/convisoappsec/ Twitter: https://twitter.com/conviso

Embora os treinamentos no processo de desenvolvimento sejam amplamente debatidos em AppSec, há muito mais na construção de uma cultura sólida em AppSec. Envolve conscientização, educação contínua e uma implantação eficaz. Junte-se a nós no mais recente episódio do AppSec Drops, onde Rodrigo Maues, Security Officer, se une a Luiz Henrique Custódio, especialista em Segurança da Informação, para explorar a importância dos treinamentos no desenvolvimento. Não perca essa oportunidade de entender mais sobre o tema com especialistas da área, ouça agora!

Como se tornar um especialista em pentest e qual o caminho devo seguir até este objetivo? Nesse novo episódio do AppSec Drops, Gabriel Galdino (Developer Advocate) convida dois especialista da área, Beniwendel Freitas e Gabriel Luiz, para explorar os passos essenciais que você precisa seguir para mergulhar na área de penetration testing da cibersegurança, além de discutir desafios e perspectivas nesse ramo! Ouça agora! Redes Sociais da Conviso: Blog: https://blog.convisoappsec.com/ Linkedin: https://www.linkedin.com/company/convisoappsec/ Instagram: https://www.instagram.com/convisoappsec/ Twitter: https://twitter.com/conviso

OWASP é uma das principais referências quando se trata de AppSec e suas diretrizes. Descubra como a OWASP e seus recursos podem fortalecer seus processos de desenvolvimento. Junte-se a nós enquanto mergulhamos no assunto e exploramos seus capítulos e projetos cruciais, projetados especificamente para apoiar os desenvolvedores em seu objetivo de criar aplicações mais seguras. Neste episódio especial, convidamos Gabriel Galdino, Developer Advocate da Conviso, e Cleber Soares, líder do capítulo OWASP em Belém. Ouça agora! Redes Sociais da Conviso: Blog: https://blog.convisoappsec.com/ Linkedin: https://www.linkedin.com/company/convisoappsec/ Instagram: https://www.instagram.com/convisoappsec/ Twitter: https://twitter.com/conviso

O Clojure é uma linguagem que até é bastante conhecida, mas pouco abordada. Por isso, convidamos Arthur Fücher, que atua como Developer Advocate do Nubank e é um Agile Dev, para falar sobre o tema com nosso Developer Advocate, Gabriel Galdino. Saiba mais sobre como é a experiência de desenvolver com essa linguagem. Ouça agora! Redes Sociais da Conviso: Blog: https://blog.convisoappsec.com/ Linkedin: https://www.linkedin.com/company/convisoappsec/ Instagram: https://www.instagram.com/convisoappsec/ Twitter: https://twitter.com/conviso

A segurança dos dados é essencial em todas as etapas do processo, desde a aplicação até o armazenamento e transporte. Para garantir essa segurança, a criptografia é uma técnica fundamental. Por isso, é crucial que os desenvolvedores tenham conhecimentos básicos sobre o assunto. Neste episódio do AppSec To Go, convidamos a Engenheira de Segurança da Informação e Criptografia, Talita Rodrigues, compartilhando seus insights e conhecimentos sobre o assunto. Ouça agora! Redes Sociais da Conviso: Blog: https://blog.convisoappsec.com/ Linkedin: https://www.linkedin.com/company/convisoappsec/ Instagram: https://www.instagram.com/convisoappsec/ Twitter: https://twitter.com/conviso

Como estabelecer uma colaboração eficaz entre profissionais de segurança e desenvolvedores em prol da segurança de aplicações? Até onde pode chegar o desentendimento entre essas duas equipes? Para construir uma cultura de desenvolvimento seguro dentro das empresas, é essencial compreender que ambas as equipes trabalham juntas em um conjunto de práticas, processos e ferramentas. E para discutir esse importante tema do novo episódio do AppSec To Go, convidamos Giovana Assis França, AppSec Manager do Nubank. Ouça agora! Redes Sociais da Conviso: Blog: https://blog.convisoappsec.com/ Linkedin: https://www.linkedin.com/company/convisoappsec/ Instagram: https://www.instagram.com/convisoappsec/ Twitter: https://twitter.com/conviso

Conheça os principais riscos associados a segurança no CI/CD. Processos e sistemas de CI/CD consistem em uma série de etapas a serem realizadas para a disponibilização de uma nova versão de um software. Neste novo episódio do AppSec Drops, Gabriel Galdino chama à mesa Matheus Cezar, Cyber Security Analist e Haone Nakano, administrador de segurança da informação, para abordarem o tema.

Qual o papel do desenvolvedor no processo de modelagem de ameaças? Modelagem de ameaças é buscar identificar cenários que possam permitir a um atacante comprometer ou mesmo causar algum dano a nossa aplicação. Se temos esta visão de cenários, é possível que possamos identificar requisitos de segurança que possam mitigar ou mesmo eliminar estes riscos. É sobre isso que Gabriel Galdino, Developer Advocate e Izabela Matos, Analista de Segurança da Conviso, conversam nesse novo episódio do AppSec To Go!   Redes Sociais da Conviso: Blog: https://blog.convisoappsec.com/ Linkedin: https://www.linkedin.com/company/convisoappsec/ Instagram: https://www.instagram.com/convisoappsec/ Twitter: https://twitter.com/conviso

"Já estamos no futuro", é o que Luiz Henrique Custódio afirma quando entram no tema deste episódio do AppSec Drops sobre a proliferação de dispositivos IoT.  Por outro lado, a segurança em torno dessas tecnologias tem se tornado uma preocupação. Mas o que se tem discutido sobre drones em termos de segurança cibernética? É possível pensar em AppSec quando se fala em IoT? Ouça agora! Te convidamos também, para participar da nossa comunidade DevSecOps no Discord:  https://discord.com/invite/7KDTNvGUPN

Mais um podcast sobre cultura de segurança, e uma pergunta popular prevalece: desenvolvedor, você se considera responsável pela segurança? Uma cultura de segurança significa que todos envolvidos no desenvolvimento de uma aplicação deve entender a importância, se preocupar e buscar iniciativas para manter suas aplicações seguras.  E para este bate-papo, convidamos Alexandre Augusto, que possui uma ampla experiência no tema e hoje é gerente de Segurança da Informação na Tata Consultancy Services. Ouça agora o novo episódio do AppSec To Go, com Gabriel Galdino e Alexandre Augusto.   Redes Sociais da Conviso:   Blog: https://blog.convisoappsec.com/ Linkedin: https://www.linkedin.com/company/convisoappsec/ Instagram: https://www.instagram.com/convisoappsec/ Twitter: https://twitter.com/conviso

Privacy By Design - tem o objetivo de regulamentar o desenvolvimento e a criação de produtos e serviços que contenham medidas de privacidade desde a sua concepção e por padrão nos processos de tecnologia. De certa forma, essa preocupação já existe como um padrão quando falamos em processos de Desenvolvimento Seguro, em que buscamos fomentar a ideia de desenvolver um produto seguro desde o início da esteira de desenvolvimento com base no Shift-Left.Mas, como implementá-los? Ou melhor, como incorporar o conceito de Privacy by Design em um Programa de AppSec? Ouça agora o novo episódio do AppSec To Go, com Gabriel Galdino e Gabriel Ferreira Redes Sociais da Conviso:  Blog: https://blog.convisoappsec.com/ Linkedin: https://www.linkedin.com/company/convisoappsec/ Instagram: https://www.instagram.com/convisoappsec/ Twitter: https://twitter.com/conviso

Ao usar dependências de software, o desenvolvedor entrega seus projetos com mais agilidade. No entanto, essas dependências podem introduzir riscos à aplicação que são negligenciados durante esse processo. Nesse novo epsódio do AppSec To Go, Gabriel Galdino discute com Ricardo Zandonai, o papel da gestão de dependências de software para o desenvolvimento seguro. Ouça já!   Redes Sociais da Conviso: Blog: https://blog.convisoappsec.com/ Linkedin: https://www.linkedin.com/company/convisoappsec/ Instagram: https://www.instagram.com/convisoappsec/ Twitter: https://twitter.com/conviso

Segurança de contêiner é o processo de utilização de ferramentas e definição de políticas afim de garantir que os contêineres estejam protegidos contra ameaças e possam então, operar em um ambiente seguro. Mas, você já se perguntou sobre todos os pontos que englobam segurança de containers? Neste novo episódio do AppSec Drops, Gabriel Galdino chama à mesa Evandro Oliveira e Danilo Costa para debaterem sobre o tema, em uma bate-papo descontraído. Ouça agora!

O mercado de desenvolvimento de aplicativos para aparelhos móveis (mobile apps) vem crescendo consideralvemente, em contrapartida, os ataques a essas aplicações começam a receber mais atenção.Neste novo AppSec To Go, Gabriel Galdino traz à mesa Daiane Santos, Mobile Security Engineer, para discutir o tema sobre segurança mobile.Ouça agora!

Como tornar um processo de desenvolvimento ágil e seguro? Nesse novo episódio do AppSec Drops, Gabriel Galdino chama a mesa Thiago Zaniquelli e Luciene Oliveira, onde discutem sobre o assunto trazendo temáticas sobre conscientização e responsabilidade coletiva! Assista agora!

Neste episódio, Gabriel Galdino, Developer Advocate da Conviso e Heitor Gouvêa, pesquisador de segurança e Security Manager da Conviso falam sobre Usabilidade do Produto e Segurança. Afinal, como garantir a segurança tendo em vista a usabilidade?

O seu container é realmente seguro? O uso de container tem se tornado cada vez mais presente nos processos de desenvolvimento. Então, é importante entendermos como podemos garantir a segurança dos containers e, por consequência, de nossas aplicações. Nesse AppSec To Go, tivemos um bate-papo com Carol Valencia, Arquiteta de Soluções da Aqua Security e Gabriel Galdino, Developer Advocate na Conviso, sobre práticas de segurança no ambiente de containers!

Como é viver DevSecOps na prática e aos poucos conquistar essa cultura dentro do seu time?A segurança continua sendo um desafio diário em sua implementação dentro do desenvolvimento, por isso chamamos o Filipi Pires, com uma visão de Security Advocater compartilhando seus maiores desafios e experiências conosco.Ouça agora!

Fernando Mercês, do Mente Binária, é o convidado da vez para conversar com Wagner Elias e Gabriel Galdino sobre carreiras em Desenvolvimento e Segurança. Confira esse bate-papo informativo e descontraído!

Neste espaço, os especialistas da Conviso comentam, de forma técnica - ainda que descontraída -  as principais notícias mais recentes acerca do mercado de segurança de aplicações. Artigos comentados: Innovation Week - Atlassian Security Team's 20% Time Ritual

Neste espaço, os especialistas da Conviso comentam, de forma técnica - ainda que descontraída -  as principais notícias mais recentes acerca do mercado de segurança de aplicações. Artigos comentados: How we prevented subdomain takeovers and saved $000s Subdomain Takeover: Yet another Starbucks case Stopping Azure subdomain takeovers

Neste espaço, os especialistas da Conviso comentam, de forma técnica - ainda que descontraída -  as principais notícias mais recentes acerca do mercado de segurança de aplicações. Artigos comentados:  Business-friendly vulnerability management metrics Guia NCSC - Gestão de Vulnerabilidades Guia NIST

Como funciona o time de SRE em uma BigTech, como é a cultura acerca de segurança, quais são principais atribuições, fluxo de trabalho e muito mais. Neste episódio, Wagner Elias e Thiago Zaninotti conversam com o Felipe Salum, que SRE na Apple. Clique no play e vamos nessa. 

Neste espaço, os especialistas da Conviso comentam, de forma técnica - ainda que descontraída -  as principais notícias mais recentes acerca do mercado de segurança de aplicações.   Artigos mencionados: 90% of DevOps and IT Professionals Believe AppSec Responsibility Will be Shared by DevOps and Security Within Three  SAMM Agile Guidance

Neste espaço, os especialistas da Conviso comentam, de forma técnica - ainda que descontraída -  as principais notícias mais recentes acerca do mercado de segurança de aplicações. Neste episódio, Wagner Elias e Thiago Zaninotti falam sobre a diferença entre realizar análises SAST e DAST em suas aplicações e como isso impacta financeiramente o negócio. Artigo mencionado: Measuring the Cost of Software Vulnerabilities

Neste espaço, os especialistas da Conviso comentam, de forma técnica - ainda que descontraída -  as principais notícias mais recentes acerca do mercado de segurança de aplicações. Neste episódio, Wagner Elias e Thiago Zaninotti falam sobre a gestão de secrets.

Bem vindos a mais um episódio do AppSec Drops. Neste espaço, nossos especialistas comentam de forma técnica - ainda que descontraída -  as principais notícias mais recentes acerca do mercado de appsec. Neste episódio, o host Thiago Zaninotti conversa com Heitor Gouvea e o Omayr Zanata, que são Tech Leads na Conviso. Confira!

Desta vez, Wagner Elias e Thiago Zaninotti recebem Heitor Gouvêa, nosso Technical Leader, para um breve bate papo em que repercutem um artigo de autoria de Alex Birsen.

Segurança de Aplicações é apontada como uma das carreiras mais promissoras para os próximos anos. Mas quais são os passos que um profissional de Infosec que almeje ingressar neste mercado deve tomar para isso? Quais os skills necessários? Neste episódio, Wagner Elias conversa com o Luan Souza, que é Information Security Analyst, para dar dicas dicas imperdíveis. Aperte o play!

Para o primeiro episódio de nossa segunda temporada, trouxemos um tema que consideramos muito relevante: Quality Assurance e Sergurança de Aplicações. Para isso, convidamos o Everton Arantes, que é CEO e fundador da Prime Control e um grande influenciador no mercado de Transformação Digital. Aperta o play!

A Conviso apresenta o AppSec Drops, uma série dentro do AppSec to Go onde Wagner Elias, CEO da Conviso, e Thiago Zaninotti, nosso Diretor de Produto, comentam as notícias mais recentes sobre o mercado de segurança de aplicações. Não perca!

Quando olhamos para a segurança do container, temos que imaginar algumas fronteiras de proteção. Desta forma, temos que proteger o host do container, bem como proteger o container de outros containers. Como em muitos aspectos de segurança de aplicações, nosso primeiro pensamento é termos a segurança pensada em camadas, e com isso, reforçar e melhor utilizar cada uma delas. Então, devemos pensar em como combinar múltiplos controles de segurança para mitigar as possíveis fragilidades e, assim, proteger nosso ativo.

Com o mercado de desenvolvimento de aplicativos para aparelhos móveis (os famosos “mobile apps”) crescendo consideravelmente, os ataques a aplicações mobile também começaram a receber mais atenção, conforme já foi abordado em nosso artigo sobre o cenário de segurança mobile em 2020.

Quando pensamos em uma cadeia de suprimentos, logo nos vem à mente uma empresa da área industrial e sua fábrica recebendo suas matérias primas. Esse pensamento não está incorreto, mas temos que lembrar que o termo “cadeia de suprimentos” diz respeito à entrega de insumos para a produção de algum bem ou serviço. A cadeia de suprimento em produção de software é muitas vezes negligenciada justamente pela ideia de que, por se tratar de um bem ou serviço digital, não contaria com a entrega de insumos. Mas se você parar para analisar, perceberá que existem sim muitas semelhanças entre as duas formas de cadeias de suprimentos. Precisamos entender que a produção de software também é um processo de criação de um bem ou serviço, e como tal, tem as suas necessidades durante o processo de produção ou construção.

Segurança de aplicações é um tema bastante amplo e geralmente minimizado a testes. Buscando fornecer mais informação sobre o tema e abordá-lo de maneira estruturada, irei escrever uma série de artigos falando sobre todas as práticas do Framework OWASP SAMM. Toda semana lançaremos um artigo detalhando uma prática. No total, teremos 16 artigos, contando com essa introdução.

Certa vez o escritor Peter Drucker disse: “Aquilo que não é medido, não é melhorado”. Ele tem razão – o que não conseguimos entender, não conseguimos melhorar ou mesmo saber se está ou não funcionando. Quando aplicamos este mesmo pensamento aos processos de desenvolvimento seguro, percebemos que poucas empresas entendem realmente o que está se passando em seu processo. Quando muito, elas têm uma noção do número de vulnerabilidades em seus códigos, mas isso é o sintoma, e não a causa. Então, é inevitável que dentro de todo este cenário não nos depararmos com a pergunta: “Então, como medir as coisas em um processo de desenvolvimento seguro?” Neste artigo, vamos tentar colocar alguns pontos que entendemos que podem ser de grande importância para nos mostrar possíveis causas para nossos pontos de falha dentro do processo. No entanto, este artigo não tem como pretensão se tornar uma lista dos pontos que devem ser usados –  queremos apenas iniciar uma discussão, mostrar que precisamos falar sobre esse tema.

Falar sobre infraestrutura imutável requer que voltemos um pouco no tempo e comecemos explicando como eram, e em alguns casos ainda são, as infraestruturas que dão suporte à grande maioria das aplicações. Há alguns anos, toda a infraestrutura de uma aplicação muitas vezes era compartilhada. Ou seja: uma aplicação era hospedada em servidores que mantinham não somente uma, mas várias aplicações. Desta forma, qualquer mudança nesta estrutura era feita por meio de seus administradores, que remotamente acessavam estes servidores para realizar as mudanças necessárias.

Alguns anos atrás, a equipe da Conviso percebeu que precisava encontrar uma maneira de organizar as atividades realizadas com clientes. Era necessário colocar as análises feitas em projetos de forma a centralizar todas as informações e dar suporte a um processo estruturado de gestão de vulnerabilidades. Então, em 2008 criamos uma primeira versão do produto que hoje é chamado AppSec Flow. Em sua concepção, ele foi idealizado como uma plataforma focada em DevSecOps Pipeline, e vem evoluindo desde então.

A segurança de software envolve muitas atividades e preocupações diferentes. Sem uma estratégia clara, você pode estar gastando muito esforço para aumentar a segurança, enquanto na verdade seus esforços podem ser desalinhados, desproporcionais ou até contraproducentes. O objetivo da prática de Estratégia e Métricas (SM) é criar um plano eficiente e eficaz para atingir seus objetivos de segurança de software em sua organização.

Antes de entrarmos na prática sobre a implementação, vamos entender a diferença entre políticas e padrões: Políticas: Políticas são declarações formais produzidas e apoiadas pela gerência sênior. Eles podem ser de toda a organização, específicos de problemas ou específicos de sistema. Padrões: Padrões são ações ou regras obrigatórias que dão suporte e orientação às políticas formais.

O mercado de AppSec vem conquistando grande visibilidade nos últimos anos. Como consequência disso, temos visto o surgimento de novas ferramentas e plataformas que buscam trazer um maior controle para os gestores.

Em geral, há dois erros principais que muitas empresas cometem ao definir sua estratégia de cibersegurança: Investir em ferramentas que não atendem o problema de AppSec de forma específica; Não ter um plataforma que possa centralizar todas as informações que são importantes para a segurança do software.

O terceiro episódio do podcast da Conviso aborda o tema AppSec no processo de transformação digital. Desta vez, o host é Nícolas Schmaltz, líder do time de Consulting & Training. Para enriquecer o bate-papo, o convidado da vez é Guilherme Silva, especialista em Segurança da Informação.

Você sabe como investir em treinamentos de AppSec pode auxiliar a sua empresa a atingir maturidade no Desenvolvimento Seguro de Aplicações? Neste episódio, abordamos os benefícios a longo prazo deste investimento para a sua empresa, que vão muito além de estar em compliance com as normas vigentes. Além disso, falamos também sobre os erros mais comuns em treinamentos em AppSec e como evitá-los.

Para o nosso primeiro episódio o nosso convidado é o Wagner Elias que é CEO da Conviso. Esperamos que você goste e em breve teremos outros convidados para debatermos sobre o assunto. 

Em nossa rotina na Conviso, muitos novos clientes chegam até nós com um mesmo problema: já investiram tempo e dinheiro em uma série de ferramentas de cibersegurança, mas ainda sentem que elas não realizam o trabalho de forma completa. Em alguns casos, as ferramentas adquiridas exigem uma usabilidade que destoa de um processo de desenvolvimento eficiente. Há também aqueles que relatam dificuldades em manter um padrão de garantia de qualidade em atividades cotidianas.

É cada vez mais comum vermos que as empresas estão direcionando suas soluções para aplicações web, digitalizando os negócios e comprovando aquilo que deixou de ser uma tendência para se tornar uma exigência do mercado. Trata-se de um grande salto para que todos possam ter acesso a serviços e produtos que muitas vezes seriam dificilmente encontrados fora da internet. No entanto, temos que lembrar que nossas aplicações estarão expostas, e desta forma, suscetíveis a acessos prejudiciais.

Não vamos tratar neste momento de temas como problemas de vulnerabilidades, problemas de escalabilidades, ou mesmo ferramentas. Não que isso não seja importante, mas a ideia deste artigo é focar em alguns pontos que muitas vezes são deixados de lado, mas que continuam influenciando fortemente na segurança de aplicações.