Prova 1 – Técnica (0–60)Challenge 1 – Technical (0–60)

Código, pipeline, arquitetura e vulnerabilidades reais. Entrega prática: patch, análise ou diagrama objetivo.Code, pipeline, architecture, real vulnerabilities. Practical output: patch, analysis, or a tight diagram.

• Detecção correta (0–25)Correct detection (0–25)Achou o problema real.Found the real issue.
• Qualidade da solução (0–15)Fix quality (0–15)Corrigiu sem criar outro incêndio.Fixed without creating a new fire.
• Impacto em produção (0–10)Production impact (0–10)Performance, DX, reversibilidade.Perf, DX, reversibility.
• Tempo e eficiência (0–10)Time & efficiency (0–10)Foco vence ansiedade.Focus beats panic.

Prova 2 – Estratégica (0–40)Challenge 2 – Strategy (0–40)

Priorização, comunicação e decisão sob pressão. Aqui o “depende” morre.Prioritization, communication, decisions under pressure. “It depends” dies here.

• Priorização de risco (0–15)Risk prioritization (0–15)Impacto + explorabilidade.Impact + exploitability.
• Tomada de decisão (0–10)Decision-making (0–10)Escolheu e bancou.Picked a call and owned it.
• Comunicação clara (0–10)Clear communication (0–10)Sem sigla jogada.No acronym soup.
• Consistência (0–5)Consistency (0–5)Sem contradição entre provas.No contradictions across challenges.

EpisódiosEpisodes

• EP1: Bem-vindo à ProduçãoCode review no escuro + priorização
• EP2: O SAST Está Mentindoruído vs sinal + defesa do scan
• EP3: Inferno das DependênciasSCA crítico + aceite de risco
• EP4: Modelagem de Ameaças Sob PressãoSTRIDE relâmpago + top 3 ameaças
• EP5: CI/CD em Chamaspipeline + bloquear ou liberar
• EP6: Infraestrutura Também é CódigoIaC vulnerável + risco em cloud
• EP7: Segredos por Todo Ladoexposição de segredos + incidente
• EP8: Autenticação é Fácil. Autorização Não.falhas de autorização + least privilege
• EP9: AppSec vs Realidade DevPR malicioso + conflito com o time
• EP10: O Incidenteresposta + postmortem sem caça às bruxas
• FINAL: Protegendo a Empresaestratégia completa + defesa para o board

• EP1: Welcome to ProductionBlind code review + prioritization
• EP2: SAST Is Lyingsignal vs noise + defend scanning
• EP3: Dependency Hellcritical SCA + risk acceptance
• EP4: Threat Modeling Under PressureLightning STRIDE + top 3 threats
• EP5: CI/CD on Firepipeline + block or ship
• EP6: Infrastructure Is Code Toovulnerable IaC + cloud risk
• EP7: Secrets Everywheresecrets + incident
• EP8: Auth Is Hardauthorization + least privilege
• EP9: AppSec vs Dev Realitymalicious PR + conflict
• EP10: The Incidentresponse + postmortem
• FINAL: Secure the Companyfull strategy + board defense

Penalidades e bônusPenalties & bonuses

Regra simples: transparência total. Simple rule: full transparency.

• −10 ignorar vulnerabilidade crítica evidente−10 ignore an obvious critical vulnNão viu? Não passa.Didn’t see it? You don’t pass.
• −10 solução que cria nova falha grave−10 fix introduces severe bugPatch ruim é incêndio novo.Bad patch is a new fire.
• −5 copiar solução sem entender−5 copy without understandingIsso aqui treina cérebro, não Ctrl+C.This trains brains, not Ctrl+C.
• −5 não entregar no tempo−5 no delivery on timeProdução não espera.Production won’t wait.
• +5 bônus raro por insight real+5 rare bonus for real insightElegância, simplificação, prevenção futura.Elegance, simplification, future prevention.

Quem entraWho joins

• Júnior → início de plenoJunior → early mid-levelA ideia é evoluir durante a jornada.The point is growth during the journey.
• Dev, QA, DevOps, SecurityDev, QA, DevOps, SecurityMistura intencional. AppSec é interdisciplinar.Intentional mix. AppSec is interdisciplinary.
• Sabe ler código + usar GitCan read code + use GitO resto a gente treina no fogo.The rest gets trained in the fire.

InscriçãoApplication

Envie uma mini-bio, seu background e nos convença que você deve participar. A gente retorna com próximos passos.Submit a short bio, background, and (optional) GitHub/portfolio. We’ll follow up with next steps.