APPSEC, MOTHERFUCKER
Manifesto
Somos uma comunidade de profissionais de Application Security, desenvolvedores e engenheiros que estão de saco cheio de teatro de segurança, planilha inútil, auditoria de fachada e ferramenta cara rodando scan que ninguém corrige.
Estamos cansados de ver time de AppSec tratado como o time do NÃO, enquanto o código vai pra produção com credencial hardcoded, log vazando dado sensível e deploy feito na base do “depois a gente arruma”.
Estamos cansados de: checklist gigante que ninguém lê, policy que não chega no código, pipeline vermelho ignorado, risk acceptance usado como triturador de bom senso, e apresentação bonita em comitê enquanto o sistema continua um queijo suíço.
Queremos parar de fingir que segurança é PowerPoint, compliance & buzzword bingo e voltar a focar no que interessa: escrever, revisar e operar software seguro, porra.
Nós não estamos aqui para servir à burocracia. Estamos aqui para garantir que o que roda em produção não vai expor cliente, empresa e carreira por pura preguiça ou vaidade técnica.
Estamos cansados de empresas dizendo que “fazem segurança” enquanto tratam AppSec como burocracia e custo.
AppSec não é teatro, não é slide bonito, não é selinho de cadeado. É engenharia, risco real e responsabilidade diária.
Nossos Valores
Eles dizem que valorizam uma coisa, mas na prática correm atrás de outra. Nós escolhemos fazer o que realmente importa: AppSec, Motherfucker.
| Dizem que valorizam | Na prática valorizam | Nós fazemos de verdade |
|---|---|---|
| “Shift-left” | Shift blame pro desenvolvedor quando tudo dá errado | Segurança desde o design, na codificação e no pipeline, com apoio real ao dev |
| “Security by design” | Arquitetura de slide e diagrama que ninguém mantém | Ameaças modeladas, decisões registradas e controles implementados no código |
| “DevSecOps” | Mais uma ferramenta plugada no CI pra imprimir relatório gigante | Automação que impede merda em produção e ajuda a corrigir rápido |
| “Culture of security” | Treinamento chato anual só pra cumprir auditoria | Times aprendendo com incidentes reais, labs, CTF, code review e feedback honesto |
| “Risk-based approach” | Planilha colorida pra justificar o que já foi decidido politicamente | Priorizar o que realmente impacta dados, dinheiro e gente de carne e osso |
| “Least privilege” | Admin global pra todo mundo porque é mais “prático” | Acesso mínimo, auditado e revisto, mesmo quando é desconfortável |
| “Secure logging & monitoring” | Logando senha em texto plano e ninguém olhando alerta nenhum | Logs úteis, sem dado sensível, com alerta que alguém realmente responde |
| “Compliance” | Passar na auditoria e pendurar o selo bonito no site | Conformidade como consequência de segurança bem feita, não o contrário |
Acreditamos que a coluna da direita é a única que importa.
O resto é desculpa bonita pra não encarar o trabalho sujo de
proteger software de verdade.
Se isso faz sentido, você já é um AppSec, Motherfucker.
Una-se a nós
Não precisa de título pomposo, só de responsabilidade: ler código, entender arquitetura, conversar com dev sem arrogância e não aceitar “depois a gente vê” como resposta padrão.
Comece pequeno: revisa um fluxo crítico, corta um log perigoso, arruma um controle de acesso, automatiza um teste, documenta uma decisão de segurança. Todo dia um pequeno passo.