Recebemos a Michelle Mesquita para uma conversa sem rodeios sobre o que separa segurança “de compliance” de segurança de produto. Ao longo de quase uma hora, destrinchamos como tirar AppSec do território do scanner ocasional e colocá-lo no ciclo de vida do software — desde o desenho da arquitetura até a operação.
Por que “AppSec ≠ scanner”
AppSec eficaz nasce do design, não do pós‑release. Discutimos como decidir o que proteger (ativos e superfícies de ataque), contra o quê (ameaças plausíveis) e com quais controles (técnicos e de processo). Quando a estratégia vem antes da ferramenta, SAST/DAST/SCA deixam de ser fábrica de falso positivo e passam a confirmar hipóteses de risco desenhadas em conjunto por engenharia e segurança.
Modelagem de ameaças na prática
Nada de mural com post‑its eternos. A abordagem que defendemos é iterativa, orientada por histórias de usuário e cenários de abuso. Resultado: um backlog de riscos claro, com donos, critérios de aceitação e contramedidas testáveis. Quando isso acontece, métricas deixam de ser “bugs de segurança” e passam a refletir redução de exposição.
Ferramentas que jogam a favor
SAST / DAST / SCA: encaixados em CI/CD com políticas reprodutíveis, thresholds por criticidade e rotas de exceção para casos justificáveis.
Observabilidade e runtime hardening: logs utilizáveis, correlação por request, proteção de APIs e baseline de comportamento.
Automação para cortar triagem manual repetitiva e direcionar a análise humana para o que realmente importa.
Pessoas > processos > ferramentas
Falamos de carreiras, influência e comunicação: sem repertório para negociar trade‑offs, AppSec vira time de “não pode”. Uma alternativa concreta é estruturar Security Champions, distribuindo conhecimento e encurtando o ciclo de feedback onde o código nasce.
IA com pés no chão
Sem fetiche: usamos IA para reduzir ruído (deduplicação, agrupamento por causa‑raiz, geração de diffs comentados) e para acelerar contexto (explicações de CVEs e recomendações específicas ao stack). O ganho real aparece quando a IA está embutida no fluxo do desenvolvedor, não em mais um dashboard paralelo.
O que você leva do episódio
Estratégia antes da ferramenta: defina riscos e hipóteses, depois escolha os scanners.
Modelagem de ameaças enxuta: conectada a épicos/histórias e validada por testes.
Pipelines opinativos: qualidade de segurança como gate com critérios claros e auditáveis.
Feedback útil para devs: poucos achados, bem contextualizados, com correção guiada.
Cultura e escalabilidade: champions, playbooks e métricas que falem a linguagem do produto.
Referências citadas e úteis
Perfil da convidada: LinkedIn da Michelle Mesquita
OWASP: Top 10, ASVS, Cheat Sheets e capítulos locais
Quor.dev : boas práticas e ferramentas para bases de containers e supply chain
Obs.: no episódio citamos o domínio quor.dev
Para continuar a conversa
Se a sua organização está presa no ciclo “varredura → planilha → esquecimento”, este episódio pode ser o empurrão para recomeçar. Comece pequeno: um serviço crítico, uma sessão de modelagem de ameaças, um pipeline com gates mínimos e um champion motivado. A partir daí, itere no que gerou mais redução de risco por esforço investido.
Conte para a gente como você aplica AppSec no dia a dia. Quais controles mais pagaram a conta? O que a IA já resolveu — e o que ainda te dá dor de cabeça? Vamos aprender juntos.
🎧 Ouça também o Kubicast no Spotify, e compartilhe com toda a turma que está espalhando PDF com CVEs por ai!