<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom" xmlns:dc="http://purl.org/dc/elements/1.1/">
  <channel>
    <title>DEV Community: Matheus Armando</title>
    <description>The latest articles on DEV Community by Matheus Armando (@matheusarmando).</description>
    <link>https://dev.to/matheusarmando</link>
    <image>
      <url>https://media2.dev.to/dynamic/image/width=90,height=90,fit=cover,gravity=auto,format=auto/https:%2F%2Fdev-to-uploads.s3.us-east-2.amazonaws.com%2Fuploads%2Fuser%2Fprofile_image%2F2245668%2F0c06b7dc-1b25-4776-8dd1-e2926b6f0a16.jpeg</url>
      <title>DEV Community: Matheus Armando</title>
      <link>https://dev.to/matheusarmando</link>
    </image>
    <atom:link rel="self" type="application/rss+xml" href="https://dev.to/feed/matheusarmando"/>
    <language>en</language>
    <item>
      <title># Compila e Reza? — Segurança e Qualidade na Prática: O Papel do SAST, DAST e Testes Automatizados no Ciclo de Vida do Software Moderno</title>
      <dc:creator>Matheus Armando</dc:creator>
      <pubDate>Mon, 06 Jul 2026 02:16:16 +0000</pubDate>
      <link>https://dev.to/matheusarmando/-compila-e-reza-seguranca-e-qualidade-na-pratica-o-papel-do-sast-dast-e-testes-automatizados-omm</link>
      <guid>https://dev.to/matheusarmando/-compila-e-reza-seguranca-e-qualidade-na-pratica-o-papel-do-sast-dast-e-testes-automatizados-omm</guid>
      <description>&lt;p&gt;&lt;strong&gt;DevSecOps · Qualidade · Segurança&lt;/strong&gt;&lt;/p&gt;

&lt;p&gt;Se o seu processo de release é "deu build, sobe", este artigo é para você. Principalmente se você não gostou de ler essa frase.&lt;/p&gt;

&lt;p&gt;Julho de 2025 🏷 DevSecOps · SAST · DAST · CI/CD · Testes&lt;/p&gt;

&lt;p&gt;Você acaba de ser contratado como Consultor de Qualidade e Segurança em uma startup que cresce 30% ao mês. O produto está em produção, o time faz deploy toda semana, e a rotina é sempre a mesma: sobe o código, cruza os dedos, torce para não cair. &lt;strong&gt;Compila e reza.&lt;/strong&gt; Enquanto isso, os alertas chegam antes do café: mais um bug crítico, mais um vazamento de dados. A pressão por features novas não diminui — aumenta. Este artigo é o documento que você entregaria no seu primeiro mês, sem rodeios.&lt;/p&gt;

&lt;h2&gt;
  
  
  1. Fundamentação: O que são SAST e DAST — e por que "rezar" não é estratégia
&lt;/h2&gt;

&lt;p&gt;Antes de instalar qualquer ferramenta, é preciso entender exatamente o que cada uma faz — e, mais importante, o que ela &lt;strong&gt;não faz&lt;/strong&gt;. SAST e DAST não são a mesma coisa e não são opcionais uma em relação à outra. Tratá-las como intercambiáveis é o primeiro erro de quem está tentando parar de apagar incêndio.&lt;/p&gt;

&lt;h3&gt;
  
  
  SAST — Static Application Security Testing
&lt;/h3&gt;

&lt;p&gt;&lt;strong&gt;SAST&lt;/strong&gt; analisa o código-fonte, bytecode ou binário &lt;em&gt;sem executar a aplicação&lt;/em&gt;. Ele lê o texto do seu código e procura padrões que denunciam vulnerabilidades conhecidas: SQL Injection hardcoded, senha em plain text, uso inseguro de função criptográfica, input sem sanitização. Ferramentas de referência: &lt;strong&gt;SonarQube&lt;/strong&gt;, &lt;strong&gt;Semgrep&lt;/strong&gt;, &lt;strong&gt;Snyk Code&lt;/strong&gt;, &lt;strong&gt;CodeQL&lt;/strong&gt;.&lt;/p&gt;

&lt;p&gt;Pense em SAST como um revisor obcecado por segurança que lê cada linha antes de qualquer coisa ir ao ar. Ele não precisa ver o sistema rodando — só precisa do código na tela.&lt;/p&gt;

&lt;blockquote&gt;
&lt;p&gt;** Origem do termo**&lt;br&gt;
A OWASP classifica SAST como técnica de "white-box testing": o analisador tem acesso total ao código-fonte, à estrutura interna e à lógica da aplicação. É o oposto direto do DAST, que opera como "black-box".&lt;/p&gt;
&lt;/blockquote&gt;

&lt;h3&gt;
  
  
  DAST — Dynamic Application Security Testing
&lt;/h3&gt;

&lt;p&gt;&lt;strong&gt;DAST&lt;/strong&gt; ataca a aplicação em execução, simulando o comportamento de um agente externo malicioso — como um pentester faria de verdade. Ele não lê uma linha de código: manda requisição HTTP, tenta injeção, manipula token, explora endpoint não documentado e observa a resposta. Ferramentas de referência: &lt;strong&gt;OWASP ZAP&lt;/strong&gt; (open-source), &lt;strong&gt;Burp Suite&lt;/strong&gt;, &lt;strong&gt;Acunetix&lt;/strong&gt;.&lt;/p&gt;

&lt;p&gt;Se SAST é o revisor de texto, DAST é o invasor simulado testando cada fechadura da casa, uma por uma.&lt;/p&gt;

&lt;div class="table-wrapper-paragraph"&gt;&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;Dimensão&lt;/th&gt;
&lt;th&gt;SAST&lt;/th&gt;
&lt;th&gt;DAST&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;&lt;strong&gt;Perspectiva&lt;/strong&gt;&lt;/td&gt;
&lt;td&gt;White-box (com acesso ao código)&lt;/td&gt;
&lt;td&gt;Black-box (sem acesso ao código)&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;strong&gt;Quando executa&lt;/strong&gt;&lt;/td&gt;
&lt;td&gt;Antes do build / no commit&lt;/td&gt;
&lt;td&gt;Após o deploy em ambiente de teste&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;strong&gt;O que detecta&lt;/strong&gt;&lt;/td&gt;
&lt;td&gt;Vulnerabilidades no código, más práticas, segredos expostos&lt;/td&gt;
&lt;td&gt;Vulnerabilidades em runtime: XSS, CSRF, falhas de autenticação, headers inseguros&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;strong&gt;Ponto cego&lt;/strong&gt;&lt;/td&gt;
&lt;td&gt;Não detecta problemas de configuração de infraestrutura&lt;/td&gt;
&lt;td&gt;Não detecta vulnerabilidades em código não exposto pela interface&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;strong&gt;Velocidade&lt;/strong&gt;&lt;/td&gt;
&lt;td&gt;Segundos a poucos minutos por scan incremental&lt;/td&gt;
&lt;td&gt;Minutos a horas (varredura completa)&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;strong&gt;Exemplos de ferramentas&lt;/strong&gt;&lt;/td&gt;
&lt;td&gt;SonarQube, Semgrep, Snyk Code, CodeQL&lt;/td&gt;
&lt;td&gt;OWASP ZAP, Burp Suite, Acunetix&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;&lt;/div&gt;

&lt;h3&gt;
  
  
  Onde cada um entra na esteira de CI/CD
&lt;/h3&gt;

&lt;p&gt;A pergunta que importa não é "o que cada ferramenta faz", é &lt;em&gt;em que momento&lt;/em&gt; ela entra. Rodar DAST sem um ambiente de staging dedicado, por exemplo, gera ruído em escala industrial e pode até derrubar produção sem querer. A topologia recomendada para uma startup em crescimento:&lt;/p&gt;

&lt;p&gt;&lt;strong&gt;// CI/CD pipeline — visão de segurança&lt;/strong&gt;&lt;/p&gt;

&lt;ul&gt;
&lt;li&gt;
&lt;strong&gt;Fase 1: Commit / PR&lt;/strong&gt; → SAST + Secret Scan&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;Fase 2: Build &amp;amp; Unit Tests&lt;/strong&gt; → SCA (dependências)&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;Fase 3: Staging Deploy&lt;/strong&gt; → DAST + E2E&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;Fase 4: Gate de Qualidade&lt;/strong&gt; → Quality Gate&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;Fase 5: Produção&lt;/strong&gt; → RASP / WAF&lt;/li&gt;
&lt;/ul&gt;

&lt;p&gt;O SAST na fase de commit barra vulnerabilidade óbvia antes de entrar na branch principal — o custo de correção aqui é praticamente zero. O &lt;strong&gt;SCA (Software Composition Analysis)&lt;/strong&gt;, uma variante do SAST focada em dependências de terceiros (npm, PyPI, Maven), entra junto ao build para caçar pacote com CVE conhecida. O DAST só faz sentido em staging, onde a aplicação roda de verdade sem colocar usuário real em risco.&lt;/p&gt;

&lt;p&gt;Reparem: em nenhum ponto desse pipeline existe a fase "cruzar os dedos". Isso não é acidente.&lt;/p&gt;

&lt;h2&gt;
  
  
  2. Sinergia: Testes automatizados como primeira linha de defesa
&lt;/h2&gt;

&lt;p&gt;Existe um equívoco recorrente em times que adotam segurança tarde demais: achar que SAST e DAST substituem uma suíte de testes sólida. Não substituem. Se o código chega quebrado para o scanner de segurança, a ferramenta vai apontar problema demais para priorizar — e o time afoga em alerta antes mesmo de começar a corrigir o que importa.&lt;/p&gt;

&lt;p&gt;A analogia certa é a de uma fortaleza: você não começa pela catapulta (DAST). Começa pelo fosso (testes unitários), depois pelas muralhas (testes de integração), e só então posiciona sentinelas nas torres (SAST). A catapulta simulada (DAST) entra por último, para validar se a fortaleza resiste a um ataque real.&lt;/p&gt;

&lt;h3&gt;
  
  
  A pirâmide de testes como fundação de segurança
&lt;/h3&gt;

&lt;ul&gt;
&lt;li&gt;&lt;p&gt;&lt;strong&gt;Testes Unitários — a base&lt;/strong&gt;&lt;br&gt;
Validam a lógica de cada função isoladamente. Do ponto de vista de segurança, garantem que funções de validação, sanitização e autenticação se comportam exatamente como esperado. Um teste que confirma que &lt;code&gt;sanitizeInput()&lt;/code&gt; rejeita &lt;code&gt;&amp;lt;script&amp;gt;&lt;/code&gt; é a defesa mais barata que existe contra XSS.&lt;br&gt;
&lt;em&gt;(rápido · barato · granular)&lt;/em&gt;&lt;/p&gt;&lt;/li&gt;
&lt;li&gt;&lt;p&gt;&lt;strong&gt;Testes de Integração — as muralhas&lt;/strong&gt;&lt;br&gt;
Verificam como componentes interagem — API com banco, serviço de autenticação com módulo de sessões. Expõem falha de segurança que só aparece na fronteira entre sistemas: token que não expira, permissão que vaza entre contextos, dado sensível trafegando sem criptografia entre microserviços.&lt;br&gt;
&lt;em&gt;(médio · contextual · sistêmico)&lt;/em&gt;&lt;/p&gt;&lt;/li&gt;
&lt;li&gt;&lt;p&gt;&lt;strong&gt;Testes E2E — a experiência do usuário malicioso&lt;/strong&gt;&lt;br&gt;
Simulam fluxos completos do ponto de vista de quem usa (ou abusa d)o sistema. É aqui que se testa o fluxo inteiro de reset de senha, sessões concorrentes, ou se um usuário comum chega ao painel admin só manipulando a URL. Playwright e Cypress com cenários de segurança cobrem o que teste unitário nunca alcançaria.&lt;br&gt;
&lt;em&gt;(lento · abrangente · realista)&lt;/em&gt;&lt;/p&gt;&lt;/li&gt;
&lt;li&gt;&lt;p&gt;&lt;strong&gt;SAST / DAST — as sentinelas especializadas&lt;/strong&gt;&lt;br&gt;
Entram depois, quando o código já passou pelo crivo lógico e funcional. Aí sim focam no que fazem de melhor: identificar padrão de vulnerabilidade que humano nenhum notaria — algoritmo criptográfico obsoleto, endpoint sem rate limiting.&lt;br&gt;
&lt;em&gt;(especializado · complementar)&lt;/em&gt;&lt;/p&gt;&lt;/li&gt;
&lt;/ul&gt;

&lt;h3&gt;
  
  
  Cobertura de código não é métrica de vaidade
&lt;/h3&gt;

&lt;p&gt;Time imaturo em qualidade trata cobertura de código como número bonito para o slide de retrospectiva. Time maduro entende cobertura como &lt;strong&gt;declaração de risco&lt;/strong&gt;: cada linha sem teste é uma linha onde pode existir uma vulnerabilidade que nenhum scanner vai detectar com confiança, porque nem o comportamento esperado está documentado.&lt;/p&gt;

&lt;blockquote&gt;
&lt;p&gt;"A security tool can only find bugs in code that humans understand. Tests document what the code is supposed to do — without that context, automated tools are guessing."&lt;br&gt;
— Gene Kim et al., &lt;em&gt;The DevOps Handbook&lt;/em&gt;, 2nd edition&lt;/p&gt;
&lt;/blockquote&gt;

&lt;p&gt;A recomendação prática não é perseguir 100% de cobertura no dia 1 (isso paralisa o time) — é definir &lt;strong&gt;coverage gates por domínio crítico&lt;/strong&gt;: autenticação e autorização com cobertura mínima de 90%; pagamentos e dados pessoais, o mesmo patamar. O resto cresce de forma iterativa.&lt;/p&gt;

&lt;h3&gt;
  
  
  O custo real de corrigir bugs tarde
&lt;/h3&gt;

&lt;p&gt;O IBM Systems Sciences Institute publicou um dado que virou referência: o custo de corrigir um defeito cresce exponencialmente conforme avança no ciclo de desenvolvimento. Bug pego em teste unitário custa uma fração do mesmo bug pego em produção.&lt;/p&gt;

&lt;div class="table-wrapper-paragraph"&gt;&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;Fase de Descoberta&lt;/th&gt;
&lt;th&gt;Custo Relativo de Correção&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;Teste unitário&lt;/td&gt;
&lt;td&gt;1×&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Teste integração&lt;/td&gt;
&lt;td&gt;2-5×&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;SAST no CI&lt;/td&gt;
&lt;td&gt;5-10×&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Teste E2E / DAST&lt;/td&gt;
&lt;td&gt;10-20×&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;Produção&lt;/td&gt;
&lt;td&gt;50-100×&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;&lt;/div&gt;

&lt;p&gt;&lt;em&gt;Custo relativo de correção por fase de descoberta (baseado em IBM Systems Sciences Institute / NIST)&lt;/em&gt;&lt;/p&gt;

&lt;h2&gt;
  
  
  3. Análise Crítica: Velocidade comercial vs. segurança — e por que "depois a gente arruma" é a pior frase do dicionário de startup
&lt;/h2&gt;

&lt;p&gt;Chegamos à parte que consultor evita escrever porque não tem resposta confortável. Startup em hipercrescimento sofre pressão real para entregar. Produto quer feature. Investidor quer crescimento. Cliente corporativo quer a integração prometida para o demo da próxima semana.&lt;/p&gt;

&lt;p&gt;E o tech lead olha para o pipeline com SAST e DAST configurados e pensa: &lt;em&gt;"e esses 200 falsos positivos que o SonarQube jogou na minha cara ontem?"&lt;/em&gt;&lt;/p&gt;

&lt;h3&gt;
  
  
  O problema real dos falsos positivos
&lt;/h3&gt;

&lt;p&gt;Ferramenta de SAST é notoriamente ruidosa, sobretudo nas primeiras semanas. O SonarQube vai marcar &lt;code&gt;MD5&lt;/code&gt; usado para gerar hash de avatar como "Critical Security Hotspot" — mesmo sabendo que esse uso específico não exige resistência a colisão. O Semgrep vai reclamar de um padrão de SQL que na verdade passa por ORM com parametrização automática.&lt;/p&gt;

&lt;p&gt;O problema não é o falso positivo isolado. É a &lt;strong&gt;fadiga de alerta&lt;/strong&gt;: quando o time começa a ignorar tudo porque tem ruído demais, ele ignora junto o alerta real. É o efeito manada — só que o lobo, dessa vez, existe.&lt;/p&gt;

&lt;blockquote&gt;
&lt;p&gt;** Antipadrão perigoso**&lt;br&gt;
Configurar o SAST para "quebrar o build" em qualquer alerta, sem antes triar e calibrar as regras, é o jeito mais rápido de fazer o time desabilitar a ferramenta em silêncio. Comece em modo aviso (warning), não bloqueio (blocking).&lt;/p&gt;
&lt;/blockquote&gt;

&lt;h3&gt;
  
  
  A abordagem pragmática: segurança incremental, não segurança perfeita
&lt;/h3&gt;

&lt;p&gt;A resposta ao dilema velocidade-vs-segurança não é binária. Não é "resolve tudo antes do deploy" nem "deixa pra depois". É risco gerenciado com dívida técnica explícita — e documentada, não escondida debaixo do tapete.&lt;/p&gt;

&lt;p&gt;Na prática, três movimentos:&lt;/p&gt;

&lt;p&gt;&lt;strong&gt;1. Estabeleça um baseline e evolua a partir dele.&lt;/strong&gt; Na primeira semana com SAST, rode o scan mas não bloqueie nada. Classifique o que existe, separe falso positivo de vulnerabilidade legítima, crie supressão justificada para o ruído. Daí em diante, só alerta novo (introduzido em PR novo) bloqueia pipeline. Isso evita herdar a dívida técnica histórica inteira como barreira ao progresso.&lt;/p&gt;

&lt;p&gt;&lt;strong&gt;2. Implemente um Security Champions Program.&lt;/strong&gt; Um engenheiro por squad como referência de segurança — não especialista, apenas alguém que mantém a conversa viva — tem impacto maior que qualquer ferramenta isolada. Modelo documentado pela OWASP, distribui responsabilidade sem criar gargalo central.&lt;/p&gt;

&lt;p&gt;&lt;strong&gt;3. Defina o que é release-blocker.&lt;/strong&gt; Nem toda vulnerabilidade pesa igual. CVSS 9+ em produção? Para tudo. SQL Injection em endpoint autenticado interno? Sprint dedicado. Hash fraco em funcionalidade de baixo risco? Backlog com prazo. Essa categorização explícita é o que permite ao time seguir entregando sem fingir que segurança não existe.&lt;/p&gt;

&lt;h3&gt;
  
  
  Existe cenário onde vale a pena pular essas etapas?
&lt;/h3&gt;

&lt;blockquote&gt;
&lt;p&gt;&lt;strong&gt;// Nossa posição&lt;/strong&gt;&lt;br&gt;
A resposta curta: &lt;strong&gt;tecnicamente, não. Estrategicamente, às vezes — por um prazo curto e sob condição clara.&lt;/strong&gt;&lt;br&gt;
Do ponto de vista técnico, nunca é aceitável "pular" segurança. Você não elimina o risco, só adia o momento em que ele explode. Vulnerabilidade não descoberta em staging que chega à produção não some por isso. Ela espera.&lt;br&gt;
Do ponto de vista estratégico, existe um único cenário em que uma startup pode operar &lt;em&gt;temporariamente&lt;/em&gt; sem DAST completo: quando ainda não há staging estável, o produto não trata dado sensível e não há usuário externo exposto. Isso raramente dura mais de 60 dias numa startup que está crescendo de verdade.&lt;br&gt;
O que &lt;strong&gt;nunca&lt;/strong&gt; é negociável, em nenhum estágio: rodar em produção sem varredura mínima de dependências (SCA) e sem teste unitário nos módulos de autenticação. O custo de um incidente de vazamento — LGPD, reputação, churn — supera em ordens de grandeza qualquer ganho de velocidade obtido ao pular essas checagens.&lt;br&gt;
"Agora a gente cresce, depois a gente arruma" é a frase que abre praticamente todo post-mortem de incidente de segurança que já foi publicado.&lt;/p&gt;
&lt;/blockquote&gt;

&lt;h3&gt;
  
  
  O que as referências dizem sobre isso
&lt;/h3&gt;

&lt;p&gt;O NIST SP 800-218 (Secure Software Development Framework), de 2022, estabelece que segurança deve estar integrada em cada fase do desenvolvimento, com ênfase em automação de teste de segurança como prática padrão — não opcional, não luxo de empresa grande.&lt;/p&gt;

&lt;p&gt;A Snyk's State of Open Source Security de 2023 mostrou que 44% das empresas sofreram incidente de segurança ligado diretamente a uma dependência de código aberto vulnerável que &lt;em&gt;já era conhecida&lt;/em&gt; no momento do deploy — mas sem SCA configurado para pegar. O problema não era falta de tecnologia. Era ausência de processo.&lt;/p&gt;

&lt;blockquote&gt;
&lt;p&gt;"Security is not a feature. It is a quality attribute. And like performance or reliability, it cannot be bolted on after the fact."&lt;br&gt;
— OWASP DevSecOps Guideline, 2023&lt;/p&gt;
&lt;/blockquote&gt;

&lt;h3&gt;
  
  
  Um roadmap para a startup deste caso
&lt;/h3&gt;

&lt;p&gt;Para a startup que contratou este consultor, a recomendação não é implantar tudo de uma vez. É sequenciar por impacto de risco:&lt;/p&gt;

&lt;div class="table-wrapper-paragraph"&gt;&lt;table&gt;
&lt;thead&gt;
&lt;tr&gt;
&lt;th&gt;Horizonte&lt;/th&gt;
&lt;th&gt;Ação&lt;/th&gt;
&lt;th&gt;Impacto esperado&lt;/th&gt;
&lt;/tr&gt;
&lt;/thead&gt;
&lt;tbody&gt;
&lt;tr&gt;
&lt;td&gt;&lt;strong&gt;Semanas 1-2&lt;/strong&gt;&lt;/td&gt;
&lt;td&gt;Snyk ou Dependabot no repositório principal (SCA)&lt;/td&gt;
&lt;td&gt;Elimina dependência com CVE crítica de imediato&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;strong&gt;Semanas 2-4&lt;/strong&gt;&lt;/td&gt;
&lt;td&gt;Semgrep no CI com regras padrão de segurança (modo warning)&lt;/td&gt;
&lt;td&gt;Baseline de SAST sem bloquear deploy ainda&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;strong&gt;Mês 2&lt;/strong&gt;&lt;/td&gt;
&lt;td&gt;Cobertura mínima de testes unitários em auth/pagamentos (≥80%)&lt;/td&gt;
&lt;td&gt;Reduz bug e falso negativo nos scanners&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;strong&gt;Mês 3&lt;/strong&gt;&lt;/td&gt;
&lt;td&gt;OWASP ZAP em pipeline de staging (CI completo)&lt;/td&gt;
&lt;td&gt;DAST automatizado sem impacto em produção&lt;/td&gt;
&lt;/tr&gt;
&lt;tr&gt;
&lt;td&gt;&lt;strong&gt;Mês 4+&lt;/strong&gt;&lt;/td&gt;
&lt;td&gt;Quality Gates configurados (SAST bloqueia novo alerta crítico)&lt;/td&gt;
&lt;td&gt;Segurança como parte da definição de "done"&lt;/td&gt;
&lt;/tr&gt;
&lt;/tbody&gt;
&lt;/table&gt;&lt;/div&gt;

&lt;blockquote&gt;
&lt;p&gt;** Princípio central**&lt;br&gt;
Segurança não é projeto com data de término. É prática de engenharia que cresce junto com o produto. O objetivo não é "segurança perfeita" — é tornar o custo do ataque maior que o benefício esperado pelo atacante, de forma sistemática e mensurável.&lt;/p&gt;
&lt;/blockquote&gt;

&lt;h2&gt;
  
  
  Conclusão
&lt;/h2&gt;

&lt;p&gt;SAST e DAST não são a mesma coisa; são complementares e pertencem a momentos diferentes da esteira. Teste automatizado não é o oposto de segurança — é sua precondição. E pressão por velocidade comercial não é desculpa para ignorar vulnerabilidade: é justamente o contexto em que o processo de segurança precisa ser simples, automatizado e integrado ao fluxo, não um checkpoint manual que ninguém quer rodar.&lt;/p&gt;

&lt;p&gt;A startup que sofre com bug em produção e vazamento de dado não precisa de mais ferramenta. Precisa de &lt;strong&gt;sequência, priorização e cultura&lt;/strong&gt;. SAST no commit, teste cobrindo módulo crítico, DAST em staging, e um time que entende que "seguro o suficiente para hoje" não é a mesma coisa que "inseguro para sempre".&lt;/p&gt;

&lt;p&gt;O primeiro passo não é configurar o SonarQube. É convencer o CEO de que o incidente que vai derrubar a startup não vem de um concorrente com feature melhor — vem de um campo de formulário que ninguém sanitizou, e de um deploy que foi na fé.&lt;/p&gt;

&lt;h2&gt;
  
  
  Referências
&lt;/h2&gt;

&lt;ul&gt;
&lt;li&gt;
&lt;strong&gt;OWASP Foundation.&lt;/strong&gt; DevSecOps Guideline. Disponível em: owasp.org/www-project-devsecops-guideline (2023)&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;OWASP Foundation.&lt;/strong&gt; OWASP Top Ten. Disponível em: owasp.org/www-project-top-ten (2021)&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;NIST.&lt;/strong&gt; Secure Software Development Framework (SSDF) — SP 800-218. National Institute of Standards and Technology (2022)&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;Kim, G.; Humble, J.; Debois, P.; Willis, J.; Forsgren, N.&lt;/strong&gt; The DevOps Handbook, 2nd Edition. IT Revolution Press (2021)&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;Snyk.&lt;/strong&gt; The State of Open Source Security 2023. Disponível em: snyk.io/reports (2023)&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;SonarSource.&lt;/strong&gt; SonarQube Documentation — Security Reports. Disponível em: docs.sonarqube.org (2024)&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;IBM Systems Sciences Institute.&lt;/strong&gt; Relative Cost of Fixing Defects. Referenciado em: Pressman, R. Software Engineering: A Practitioner's Approach, 8th Ed.&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;Forsgren, N.; Humble, J.; Kim, G.&lt;/strong&gt; Accelerate: The Science of Lean Software and DevOps. IT Revolution Press (2018)&lt;/li&gt;
&lt;li&gt;
&lt;strong&gt;Checkmarx.&lt;/strong&gt; The State of DevSecOps 2023. Disponível em: checkmarx.com/resources (2023)&lt;/li&gt;
&lt;/ul&gt;




&lt;p&gt;Artigo técnico-estratégico · Consultoria de Qualidade e Segurança&lt;br&gt;
Produzido como entrega acadêmica · &lt;strong&gt;Tema: DevSecOps e Engenharia de Qualidade&lt;/strong&gt;&lt;/p&gt;

&lt;p&gt;Acadêmicos:&lt;/p&gt;

&lt;ul&gt;
&lt;li&gt;Matheus Armando Piazza Chioquetta&lt;/li&gt;
&lt;li&gt;Guilherme Kruger Andrade&lt;/li&gt;
&lt;li&gt;Nathan Augusto Prates Piontkoski&lt;/li&gt;
&lt;/ul&gt;

</description>
    </item>
  </channel>
</rss>
