06 - Desafios do DAST
No episódio de hoje do DevSecOps Podcast, mergulhamos no mundo dinâmico da segurança de aplicações com Tiago Mendo, o visionário fundador da Probely. Tiago compartilha conosco sua jornada desde a concepção da Probely até sua posição como líder na oferta de soluções DAST (Dynamic Application Security Testing) como um serviço. Ao longo da conversa, exploramos os desafios exclusivos enfrentados pelas equipes de desenvolvimento e segurança ao adotar e integrar testes DAST em seus pipelines de DevOps. Tiago compartilha insights valiosos sobre como a Probely está abordando esses desafios, oferecendo uma perspectiva única sobre como a automação e a mão de obra especializada estão transformando o teste de segurança de aplicações. Dos obstáculos técnicos à resistência organizacional, este episódio oferece uma visão aprofundada dos desafios e das melhores práticas para implementar com sucesso testes DAST em sua estratégia de segurança de software. Junte-se a nós enquanto desmistificamos o DAST e exploramos o futuro emocionante da segurança de aplicações na era do DevSecOps.
Vídeo
Conteúdo gerado por IA
Resumo
O podcast apresentou uma discussão entre os palestrantes Cássio, Beno e Thiago sobre eventos de segurança e testes automatizados. Eles abordaram a saturação de eventos de segurança, a importância da configuração correta das ferramentas de teste e a necessidade de combinar testes automatizados com ajustes manuais. A questão dos falsos positivos e negativos foi destacada, assim como a importância de testar tanto a API quanto a interface do usuário. A interação entre diferentes ferramentas de segurança foi enfatizada como essencial para obter resultados eficazes. A discussão abordou a complexidade dos testes automatizados e a necessidade de complementaridade entre as ferramentas. A importância de manter a qualidade e a comunicação entre as ferramentas foi ressaltada, assim como a necessidade de abordar diferentes aspectos dos testes de segurança. O episódio terminou com a promessa de continuar a discussão no próximo episódio.
Capítulos / Cortes
- 12:16 - Desafios de falsos positivos
- 18:19 - Clientes e testes automatizados
- 24:41 - Configuração e resultados de ST
- 30:10 - Superfície de ataque e testes
- 37:03 - Combinação de testes manuais
- 43:34 - Complementaridade de ferramentas
Lições aprendidas
- Qual é o tema principal discutido no podcast? O tema principal discutido no podcast é a segurança de dados e testes de segurança.
- Por que os participantes mencionam a saturação de eventos de segurança? Os participantes mencionam a saturação de eventos de segurança devido à quantidade de eventos e à falta de diferenciação entre eles.
- Por que é importante entender a cobertura de testes ao implementar uma ferramenta de segurança? É importante entender a cobertura de testes ao implementar uma ferramenta de segurança para garantir a eficácia e identificar possíveis falsos positivos e negativos.
- Qual é a dificuldade em automatizar testes de segurança em relação à comunicação com o servidor? A dificuldade em automatizar testes de segurança em relação à comunicação com o servidor está na necessidade de ajustes manuais para garantir a sequência correta de testes.
- Por que os participantes destacam a importância de ter várias ferramentas de segurança complementares? Os participantes destacam a importância de ter várias ferramentas de segurança complementares para obter resultados mais eficazes e abrangentes na proteção de dados.
Show notes
Créditos do Podcast
Elenco
CTO - Cássio B. Pereira.
Application Security Leader - Ben-Hur Santos Ott.
Application Security Leader - Gabriel Prevelate.
Sales Engineer - Marcos Santos.
Application Security Manager - Rodrigo Balbino.
Apoio:
Gold Application Security - Gold Application Security.
Nova8 Cyber Security - Nova8.
Digitalwolk - Digital Wolk.
Checkmarx - Checkmarx
AppSec.jobs - AppSec.jobs
Conteúdo:
Idealização - Cássio B. Pereira links.
Trilha sonora - Motel Rock - Hanu Dixit link
