├── Cloud
    └── Cloud.md
├── DevOps e Automações de Esteira
    └── DevOps.md
├── DevSecOps
    └── DevSecOps.md
├── Mobile
    └── Mobile.md
├── Modelagem de Ameaças
    └── Modelagens.md
├── OWASP
    └── OWASP.md
├── Pentests e Ferramentas
    └── Pentests.md
├── Programação e Code Review
    └── Programação.md
├── README.md
└── Soft Skills
    └── SoftSkills.md


/Cloud/Cloud.md:
--------------------------------------------------------------------------------
 1 | ##### 💡 Clique na sessão desejada para se aprofundar no tema. Todas as sugestões de curso/conteúdo a seguir são gratuitas, exceto marcadas com 💰
 2 | 
 3 | # Cloud
 4 | Ter conhecimentos em cloud é crucial, pois permite a implementação eficiente de práticas de segurança em ambientes dinâmicos. Na nuvem, as aplicações podem ser escaladas rapidamente, exigindo uma abordagem ágil para integração de segurança. Além disso, o entendimento das ferramentas e serviços em nuvem é essencial para automatizar processos. Não é necessário que você conheça todas as especifidades dos diversos cloud service providers: entendendo a fundo os conceitos e sabendo implementar em um deles, você terá facilidade parase virar em outros :-)
 5 | #### 💡 Muitos cloud providers oferecem um "free tier", um período gratuito de acesso e uso das ferramentas. Aproveite-o para estudar!
 6 | 
 7 | Para aprender sobre esse tema:
 8 | - [AWS Skills Centers (en)](https://aws.amazon.com/pt/training/skills-centers/?nc2=sb_ep_asc)
 9 | - [AWS Certifications Path](https://d1.awsstatic.com/training-and-certification/docs/AWS_certification_paths.pdf)
10 | - [Recursos da AWS freeCodeCamp](https://www.freecodecamp.org/news/tag/aws/)
11 | - [Capacitação em Nuvem Grupo Boticário (pt-br)](https://aws-boticario.ontidwit.com/#/)
12 | - [Microsoft Azure Virtual Training Days (en)](https://events.microsoft.com/pt-br/mvtd-azure?language=English&clientTimeZone=1&startTime=08:00&endTime=17:00)
13 | - [Cloud Architecture Security - OWASP (en)](https://cheatsheetseries.owasp.org/cheatsheets/Secure_Cloud_Architecture_Cheat_Sheet.html)
14 | 


--------------------------------------------------------------------------------
/DevOps e Automações de Esteira/DevOps.md:
--------------------------------------------------------------------------------
 1 | ##### 💡 Todas as sugestões de curso/conteúdo a seguir são gratuitas, exceto as marcadas com 💰
 2 | 
 3 | # 🔗 DevOps e Automações de Esteira
 4 | Saber DevOps e automação de esteira em Application Security é crucial para garantir a integridade e segurança de aplicações. A integração contínua e entrega contínua (CI/CD) proporcionadas pelo DevOps permitem atualizações frequentes, enquanto a automação da esteira de segurança identifica e corrige vulnerabilidades de forma eficiente. Isso reduz o tempo de resposta a ameaças, fortalecendo a postura de segurança da aplicação. É comum que o time de AppSec Seja responsável por subir e manter ferramentas e automações de segurança. Então, essa skill é primordial.
 5 | Aprenda sobre como automatizar seu processo em:
 6 | - [Como criar uma pipeline CI/CD com GitHub Actions - Fabrício Veronez](https://www.youtube.com/watch?v=TKwXC5qSjkE&t=3868s)
 7 | - [Descomplicando DOcker - LinuxTips](https://www.youtube.com/playlist?list=PLf-O3X2-mxDk1MnJsejJwqcrDC5kDtXEb)
 8 | - [Implementing Secure CI/CD Pipelines (en)](https://www.youtube.com/playlist?list=PLjNII-Jkdjfz5EXWlGMBRk63PC8uJsHMo)
 9 | - [DevSecOps Guides (en)](https://devsecopsguides.com/)
10 | - [Construindo uma pipeline segura na AWS (SCA, SAST e DAST) (pt-br)](https://aws.amazon.com/pt/blogs/aws-brasil/construindo-um-pipeline-de-ci-cd-aws-devsecops-de-ponta-a-ponta-com-ferramentas-de-codigo-aberto-sca-sast-e-dast/)
11 | 
12 | A seguir, algumas ferramentas que podem te apoiar. Ao escolher ferramentas de revisão de código, certifique-se de que elas tem suporte para sua linguagem/stack:
13 | 
14 | ## SAST
15 | - [Source Code Analysis Tools - OWASP (en)](https://owasp.org/www-community/Source_Code_Analysis_Tools)
16 | 
17 | ## DAST
18 | - [Dynamic Application Security Testing - OWASP (en)](https://owasp.org/www-project-devsecops-guideline/latest/02b-Dynamic-Application-Security-Testing)
19 | 
20 | ## SCA
21 | - [Component Analysis (en)](https://owasp.org/www-community/Component_Analysis)
22 | 
23 | ## IAST
24 | - [Interactive Application Security Testing - OWASP (en)](https://owasp.org/www-project-devsecops-guideline/latest/02c-Interactive-Application-Security-Testing)
25 | 
26 | ## Secret Scanning
27 | - [Secrets Management - OWASP (en)](https://owasp.org/www-project-devsecops-guideline/latest/01a-Secrets-Management)
28 | 
29 | ## IaC security scanning
30 | - [Container Vulnerability Scanning (en)](https://owasp.org/www-project-devsecops-guideline/latest/02f-Container-Vulnerability-Scanning)
31 | 


--------------------------------------------------------------------------------
/DevSecOps/DevSecOps.md:
--------------------------------------------------------------------------------
 1 | #### 💡 Todas as sugestões de curso/conteúdo a seguir são gratuitas, exceto as marcadas com 💰
 2 | 
 3 | # 🔗 DevSecOps
 4 | Embora muitas empresas usem DevOps e DevSecOps para nomear cargos, esses são processos que vão muito além das ferramentas de automação: passam por treinamento das pessoas, evolução da cultura e maturidade de segurança da empresa e todas as ações que aproximam a Segurança de Aplicações do famoso shift-left.
 5 | Pensando em processos, maturidade e treinamentos, podem te auxiliar:
 6 | - [Security Champions Playbook (pt-br)](https://github.com/c0rdis/security-champions-playbook/tree/master/Security%20Playbook_PTBR)
 7 | - [OWASP SAMM (en)](https://owaspsamm.org)
 8 | - [Security Champions: Elevando a Maturidade de Segurança - Helena Carreço "Molocohorror"](https://www.youtube.com/watch?v=tJ7kqOtyuxQ&t=8131s)
 9 | - [OWASP DevSecOps Guideline (en)](https://owasp.org/www-project-devsecops-guideline/)
10 | - 💰 [Livro - Explicando Application Security](https://cassiodeveloper.com.br/livro/)


--------------------------------------------------------------------------------
/Mobile/Mobile.md:
--------------------------------------------------------------------------------
 1 | 
 2 | ##### 💡 Todas as sugestões de curso/conteúdo a seguir são gratuitas, exceto marcadas com 💰
 3 | 
 4 | # Mobile
 5 | Embora seja opcional quando se está por migrar ou em início de carreira, a avaliação de riscos em mobile se torna um diferencial gigantesco a medida que você evoluir! Alguns recursos quepodem te ajudar a evoluir nesse item são:
 6 | - [Android Application Security Series](https://manifestsecurity.com/android-application-security/)
 7 | - [Android Applications Reversing 101](https://www.evilsocket.net/2017/04/27/Android-Applications-Reversing-101/#.WQND0G3TTOM.reddit)
 8 | - [Engenharia Reversa de Apps Android](https://www.youtube.com/watch?v=eHdDS2e_qf0&list=PL4zZ9lJ-RCbfv6f6Jc8cJ4ljKqENkTfi7)
 9 | - 💰 [Android Hacker's Handbook](https://www.amazon.com/Android-Hackers-Handbook-Joshua-Drake/dp/111860864X)
10 | - 💰 [eMAPT](https://security.ine.com/certifications/emapt-certification/)
11 | 
12 | #### 💰  Optar Java como a sua principal linguagem reduzirá muito a dificuldade em aprender sobre essa parte!
13 | 
14 | 


--------------------------------------------------------------------------------
/Modelagem de Ameaças/Modelagens.md:
--------------------------------------------------------------------------------
 1 | ##### 💡 Todas as sugestões de curso/conteúdo a seguir são gratuitas, exceto as marcadas com 💰
 2 | 
 3 | # Modelagem de Ameaças
 4 | A modelagem de ameaças no contexto do Application Security é essencial para antecipar e abordar potenciais vulnerabilidades nos sistemas. Ao identificar ameaças antes que se tornem ataques reais, os profissionais de segurança podem desenvolver estratégias preventivas, fortalecendo a segurança das aplicações. Essa abordagem proativa não apenas melhora a resiliência dos sistemas, mas também promove uma cultura de segurança desde as fases iniciais do desenvolvimento de aplicativos. 
 5 | Para aprender sobre modelagem, veja:
 6 | - [Modelagem de Ameaças - Conviso](https://www.youtube.com/watch?v=UWDqnhJsafY)
 7 | - [Modelando ameaças na prática - Cássio Batista](https://www.youtube.com/watch?v=ZiFw84hv5SQ)
 8 | - [Workshop Modelagem de Ameaças - Edu Santos e Rafael Lachi](https://www.youtube.com/watch?v=wt-Nzz_waXk)
 9 | - [OWASP Threat Modeling Process](https://owasp.org/www-community/Threat_Modeling_Process)
10 | - [OWASP Threat Dragon](https://owasp.org/www-project-threat-dragon/)
11 | - [IriusRisk DeRisker Training Program](https://www.iriusrisk.com/derisker-training-and-certification)
12 | - [Threat Modeling Security Fundamentals - Microsoft](https://learn.microsoft.com/en-us/training/paths/tm-threat-modeling-fundamentals/)
13 | - [Maturing Your Threat Modeling Skills - Semgrep](https://www.youtube.com/watch?v=2zxYPwpPVis)
14 | 
15 | # Os primeiros passos sobre a modelagem
16 | 
17 | A modelagem de ameaças é um processo utilizado na área de segurança da informação para identificar e entender potenciais ameaças e vulnerabilidades que um sistema, aplicativo ou projeto. Abstrato eu diria, não é mesmo? Entenda que além de segurança deve ser capaz de falar sobre o negócio assim como suas peculiaridades, desde o que um caminho feliz de usuário esperado até as possíveis tentativas de explorações, cenários maliciosos, tudo que será ofensor para sua atuação.
18 | 
19 | ## Olhando o todo
20 | 
21 | Ao falarmos de Shift Left, é muito bonita a ideia de antecipar problemas, reduzir custo e valores empregados no conceito, mas como? 
22 | Vamos partir do presuposto que você sabe e conhece sobre arquitetura de sistema, Api REST, afins. Caso não saiba, vou colocar alguns links de apoio. 
23 | 
24 | Primeiramente é importante entender em um "papel de pão" a construção de um sistema, quem se comunica com o que? Como? Para que? Então estipulei um roteiro de perguntas básicas para que internalize sobre o contexto e seja capaz de a partir delas criar várias e várias outras sobre o produto.
25 | 
26 | 1. Poderia me informar um resumo da finalidade da aplicação?
27 | 2. Será exposto na internet ou somente interno?
28 | 3. Quem consumirá a aplicação? Serviços internos, Usuários comuns, Usuários internos? 
29 | 4. Qual tipo de dado está em trânsito? Dados de cartão? Informações pessoais? Informação de sistema? Transações?
30 | 5. Haverá o armazenamento de dados? Onde?
31 | 
32 | A partir desses pontos você consegue visualizar e até rascunhar uma arquitetura de dutos e filtros onde será possível tanto estruturar quem ou o quê realiza a ação e qual ação para uma finalidade específica. Complexo? Vamos destrinchar um exemplo básico.
33 | 
34 | 
35 | ## Sobre a Aplicação
36 | 
37 | 1. **Finalidade da Aplicação**
38 |    - A aplicação permite que terceiros de outras empresas registrem informações de atendimento a clientes por um site, durante atendimentos em campo. Isso ajuda a verificar se os atendimentos estão sendo resolvidos no local ou se há reincidências.
39 | 
40 | 2. **Acesso e Exposição**
41 |    - A aplicação estará disponível na internet para terceiros, porém, nossa equipe terá acesso para monitoramento.
42 | 
43 | 3. **Consumidores da Aplicação**
44 |    - Os principais consumidores serão usuários terceiros de uma empresa contratada (Empresa X) e usuários internos da nossa organização.
45 | 
46 | 4. **Dados em Trânsito e Armazenamento**
47 |    - Os dados transitados incluem informações pessoais de clientes (nome, telefone, endereço do atendimento, resumo do problema e resolução), além de dados dos técnicos responsáveis. Todos serão armazenados em nosso banco de dados na nuvem.
48 | 
49 | 5. **Serviços Disponíveis**
50 |    - Teremos um BFF (Backend For Frontend) e um microsserviço. O BFF receberá informações, enquanto o microsserviço será responsável por publicá-las no banco de dados.
51 | 
52 | ## Arquitetura de dutos e filtros
53 | 
54 | Se baseando somente no que é comentado temos:
55 | 
56 | ![Desenho da Arquiteutra de Rascunho](https://github.com/PedroKetzer/roadmap-appsecbr/assets/37319386/6d91a609-1b47-4c96-aa51-c274bfabfb3c)
57 | 
58 | 
59 | ## Levantamento de problemas
60 | 
61 | A partir desse início você conseguiria visualizar alguns problemas, como por exemplo:
62 | Como que vai ser realizada a exposição desse BFF?
63 | Como vai ser a governança desses usuários se a gente vai ter pessoas internas e externas? Quem ou o que vai criar usuários?
64 | Esse serviço vai registrar informações em um banco de dados, são dados pessoais, então como é a LGPD sobre isso? Por quanto tempo vão guardar essa informação? O cliente autorizou?!
65 | Como vai ser feita a publicação desse atendimento? Vão ter que correlacionar a uma origem de chamado? 
66 | Eles vão mandar arquivo ou vai ser um formulário? 
67 | Se querem vincular as reincidências, haverá o consumo da informação no banco de dados, por quem? 
68 | Se só o atendente vai interagir no site por que usuários internos precisam acessar?
69 | 
70 | Inúmeras dúvidas surgem e podem ser resolvidas posteriormente, mas e se o time precisa de um direcionamento mínimo para entender o que podem ou não realizar? Ou se ainda não há nada pronto, porque no modelo de Shift Left tem uma antecipação que problemas então deve ser capaz de levantar pontos antecedendo a conclusão até de um desenho de arquitetura, ou não necessariamente?
71 | 
72 | Depende.
73 | Depende do tamanho da empresa, do tamanho do time, da maturidade do time sobre a própria empresa e como funciona, enfim, muitas variáveis. Por isso o AppSec (ou outro nome que a empresa possa endereçar essa atividade) precisa compreender muito bem do negócio, do ecossistema corporativo e suas peculiaridades, assim como arquitetura e ferramentas disponíveis para sua atuação.
74 | 
75 | ## Levantando ameaças
76 | 
77 | Ameaças poderíamos, em uma visão superficial, reduzir a 3 tipos de possibilidades, tais como:
78 | 
79 | ![Ameaças da Arquiteutra de Rascunho](https://github.com/PedroKetzer/roadmap-appsecbr/assets/37319386/f5a94642-995c-4e17-8484-93f06ede0284)
80 | 
81 | 
82 | 
83 | --
84 | Próximo: [Próximos passos em construção e serão linkados aqui]
85 | 


--------------------------------------------------------------------------------
/OWASP/OWASP.md:
--------------------------------------------------------------------------------
 1 | ##### 💡 Todas as sugestões de curso/conteúdo a seguir são gratuitas, exceto marcadas com 💰
 2 | 
 3 | # OWASP 
 4 | A partir de hoje, a OWASP é a sua melhor amiga. Se você não sabe quem é a OWASP e também não usou o Google até aqui, confira [aqui](https://owasp.org/about/). A seguir, alguns dos principais projetos da OWASP. Observe que a OWASP tem [mais de 300 projetos](https://owasp.org/projects/), e essa lista foi construída com base em experiência, podendo variar de empresa pra empresa. 
 5 | 
 6 | ### OWASP Top 10
 7 | O maior projeto que você precisa acompanhar é o [Top 10](https://owasp.org/www-project-top-ten/). A OWASP Top 10 é uma coleção das 10 principais ameaças de seguranças identificadas pela organização. Atualizada de tempos em tempos, consiste de oito principais levantadas por meio de análise de dados, considerando "prevalência" ao invés de quantidade de testes, e duas orquestradas pela comunidade. Observe que, quando falamos de "Top 10 OWASP", geralmente nos referimos ao Top 10 de vulnerabilidades WEB. No entanto, a OWASP disponibiliza um [Top 10 Mobile](https://owasp.org/www-project-mobile-top-10/), [API](https://owasp.org/API-Security/editions/2023/en/0x11-t10/), LLM, entre outros. É muito importante identificar o que faz mais sentido no contexto da sua empresa!
 8 | 
 9 | #### 💡 Além dessa extrema relevância, o Top 10 é de longe o tópico mais perguntado nas entrevistas para a senioridade júnior/sandy: geralmente pedem o conceito de uma ou mais vulnerabilidades, como identificar ela no código, como ela pode ser explorada e qual seria a correção sugerida! 
10 | 
11 | ### ASVS/MASVS
12 | O ASVS (Application Security Verification Standard) é um conjunto de requisitos e controles de segurança usado para avaliar e verificar a segurança de aplicações. Ele fornece uma estrutura detalhada para garantir que as aplicações estejam protegidas contra ameaças comuns. Já o MASVS (Mobile Application Security Verification Standard), é uma extensão do ASVS especificamente projetada para avaliar a segurança de aplicativos móveis. Ele estabelece diretrizes e requisitos específicos para garantir a robustez da segurança em plataformas móveis, abordando ameaças únicas associadas a aplicativos para dispositivos móveis. Esses dois projetos, são instrumentos valiosos para desenvolvedores e AppSecs, apoiando como checklists para levantamento de requisitos de segurança e apoio na Modelagem de Ameaças:
13 | - [ASVS - Application Security Verification Standard](https://owasp.org/www-project-application-security-verification-standard/#)
14 | - [MASVS - Mobile Application Security Verification Standard ](https://github.com/OWASP/owasp-masvs/releases/latest/download/OWASP_MASVS.pdf)
15 | 
16 | ### Cheatsheets
17 | O OWASP Cheatsheets é um recurso que consiste em documentos de referência rápida contendo orientações práticas e conselhos para abordar desafios específicos de segurança em desenvolvimento de software. Esses cheatsheets são projetados para auxiliar a implementar boas práticas de segurança durante o ciclo de vida do desenvolvimento de software e abrangem uma variedade de tópicos, desde codificação segura até mitigação de ameaças específicas, fornecendo informações detalhadas e acionáveis para melhorar a segurança de aplicações. Esse projeto costuma ser uma mão na roda ao lidar com desenvolvedores com menos experiência em segurança, com traz exemplos de código em linguagens específicas, com soluções práticas que elespodem reutilizar.
18 | - [OWASP CheatsheetSeries](https://cheatsheetseries.owasp.org/index.html)
19 | 
20 | ### OWASP Testing Guide
21 | 
22 | #### [WSTG - Web Security Testing Guide](https://owasp.org/www-project-web-security-testing-guide/)
23 | O projeto OWASP WSTG produz o principal recurso de testes de segurança para desenvolvedores de aplicações web e profissionais de segurança. O WSTG é um guia completo para testar a segurança de aplicações e serviços na web. Criado pelos esforços colaborativos de profissionais de segurança cibernética e voluntários dedicados, o WSTG fornece uma estrutura de melhores práticas utilizadas por pentesters e organizações em todo o mundo.
24 | #### [MASTG - Mobile Security Testing Guide](https://mas.owasp.org/MASTG/)
25 | O OWASP Mobile Application Security Testing Guide (MASTG) é um manual abrangente para testes de segurança de aplicativos mobile e engenharia reversa. Descreve processos técnicos para verificação dos controles listados no OWASP MASVS.
26 | 


--------------------------------------------------------------------------------
/Pentests e Ferramentas/Pentests.md:
--------------------------------------------------------------------------------
 1 | ##### 💡 Todas as sugestões de curso/conteúdo a seguir são gratuitas, exceto marcadas com 💰
 2 | 
 3 | # Pentests e Ferramentas
 4 | Sendo uma área relativamente nova, as responsabilidades do profissional de AppSec podem variar entre as empresas (conheça mais sobre as diferentes formas de fazer AppSec [nessa palestra da Gi Assis "gihyperia"](https://www.youtube.com/watch?v=UCmX5mo0b1U&list=PLUJRxfaTTjKwjkyLiWtxPh5gADtbG5Oo1&index=3&t=527s)). Dito isso, em muitas empresas será comum que a atividade de pentest também seja uma atividade de AppSec. Então, é essencial que você manje de descoberta de vulnerabilidades, como complemento aos seus conhecimentos em code review e uso de ferramentas de análise de código. Nessa frente, a ferramenta que mais usada, será o 💰 [BurpSuite](https://portswigger.net/burp). É altamente recomendado fazer o [curso gratuito oferecido por eles](https://portswigger.net/web-security) e **opcionalmente** tirar a cert deles, se tu tiver um troquinho sobrando aí (hoje gira mais ou menos em torno de 100 dólares).
 5 | 
 6 | Outros cursos que podem te ajudar a desenvolver conhecimentos em descoberta de vulnerabilidades (alguns também tem prova de certificação!):
 7 | - 💰 [Web Hacking na Prática](https://app.hackingclub.com)
 8 | - 💰 [Pentest DESEC](https://desecsecurity.com/curso/novo-pentest-profissional)
 9 | - [Portswigger Academy](https://portswigger.net/web-security/all-labs)
10 | - [Introdução ao Pentest - Desec](https://desecsecurity.com/curso/introducao-pentest)
11 | 
12 | Uma boa forma de praticar exploração de vulnerabilidades é utilizar plataforma de CTF, nelas você é capaz de colocar em prática o que aprende nos cursos, e também pode consultar writeups na internet de como explorar determinadas vulnerabilidades, e expandir a capacidade de pensar fora da caixa com exemplos práticos. Abaixo algumas plataformas de CTF, ambas nas versões gratuitas e pagas:
13 | - [HTB (en)](https://www.hackthebox.com/)
14 | - [Tryhackme (en)](https://tryhackme.com/)
15 | 


--------------------------------------------------------------------------------
/Programação e Code Review/Programação.md:
--------------------------------------------------------------------------------
 1 | ##### 💡 Todas as sugestões de curso/conteúdo a seguir são gratuitas, exceto as marcadas com 💰
 2 | 
 3 | # Programação e Code Review
 4 | Acho que esse é o mais óbvio de todos: não existe Application Security (vulgo Segurança de Aplicações) sem a Aplicação xD. Quando se trata de programação dentro do mundo de AppSec, a pessoa que trabalha com isso precisa ser agnóstica quando se trata de linguagem de programação. Ao contrário do que muitas vezes ocorre no mundo Dev, não existe uma discussão de qual linguagem é "melhor ou pior": simplesmente existem as linguagens com que a sua empresa trabalha. Se a stack da sua empresa envolver Cobol, Erlang e Pascal, você precisará ser capaz de fazer code review nessas linguagens e ponto final. ~Claro que isso é uma hipérbole pra deixar clara a expectativa que terão sobre você~. Obviamente, se você entrar no emprego como Jr/Sandy ou até mesmo como Pleno, em alguns casos, te permitirão ter uma curva de aprendizado. Mas, o foco aqui é que você pode até ter uma linguagem favorita, mas, todas em que você tocar, você precisará se tornar capaz de executar um code review.
 5 | 
 6 | Tratando-se de escolher uma linguagem inicial, considere escolher uma linguagem backend de alto nível para facilitar seu primeiro contato. Esqueça frameworks e abstrações no início. Durante a sua evolução profissional como AppSec, você perceberá a necessidade de aprender ṕelo menos uma linguagem de cada um dos principais paradigmas do mercado (imperativo, orientado a objetos, funcional e orientado a eventos). Entendendo "lógica de programação" como uma forma de pensar e resolver problemas, "paradigmas" são diferentes formas de encadeamento lógico para chegar a uma solução (te tapearam quando te disseram que só existia uma forma de lógica de programação, viu? ;-) ). Se você quiser chegar ao topo da carreira técnica, é necessário que você converse de igual pra igual com um dev nesse tópico!
 7 | 
 8 | Alguns links para te apoiar nesse tema:
 9 | - [Curso Python - Gustavo Guanabara](https://www.youtube.com/watch?v=S9uPNppGsGo&list=PLHz_AreHm4dlKP6QQCekuIPky1CiwmdI6&index=1)
10 | - [Paradigmas de Programação - João Paulo Leite](https://www.youtube.com/playlist?list=PLsri1g4fxrjuf6UCYHqCmqsfXR4gofAFH)
11 | - [How to Analyze Code for Vulnerabilities - Vickie Li (en)](https://www.youtube.com/watch?v=A8CNysN-lOM)
12 | - [In Code Review We Trust! Finding Security Bugs (pt-br) - Helena Carreço](https://www.youtube.com/watch?v=gewNYKjYybA&t=5586s)
13 | - [Cybersecurity "Experts" suck at coding. It's a problem.](https://www.youtube.com/watch?v=bJk_NThPbyE)
14 | - [OWASP Code Review Guide](https://owasp.org/www-project-code-review-guide/)
15 | - [Teach YourSelf CS](https://teachyourselfcs.com/)
16 | - 💰 [CS50](https://www.harvardonline.harvard.edu/course/cs50-introduction-computer-science) - Somente o certificado é pago
17 | - 💰 [PentesterLab](https://pentesterlab.com/)
18 | - 💰 [CodeBashing](https://www.codebashing.com/)
19 | - 💰 [CodeCrafters.io](https://app.codecrafters.io/catalog) - Modelo Freemium
20 | - 💰 [Exercism.org](https://exercism.org) - Somente 'penduricalhos' (e.g modo dark) são pagos
21 | 
22 | Alguns links sobre desenvolvimento seguro:
23 | - [OWASP Secure Coding Practices-Quick Reference (en)](https://owasp.org/www-project-secure-coding-practices-quick-reference-guide/)
24 | - [SecureCodingDojo (en)](https://owasp.org/SecureCodingDojo/)
25 | - [Top 5 VS Code extensions for security (en) - Snyk Blog](https://snyk.io/pt-BR/blog/top-5-vs-code-extensions-security/)
26 | ##### 💡 Vale seguir a PentesterLab no Twitter, pois frequentemente sorteiam vouchers de 1 ano de assinatura.
27 | 


--------------------------------------------------------------------------------
/README.md:
--------------------------------------------------------------------------------
 1 | # Motivo da existência do repo:
 2 | Esse repositório foi criado com o intuito de ~espalhar a palavra do DevSecOps~ educar e direcionar aspirantes do mundo de segurança a um lugar que seja diferente da famosa escolha entre o azul (blue team) e o vermelho (red team), sendo esse lugar o mundo maravilhoso (e puxado) de Application Security: uma área relativamente nova, mas em constante expansão, com suas peculiaridades únicas. Também é uma maneira que encontrei de retribuir o que a comunidade fez por mim, porque não cheguei onde estou sozinho e muitas pessoas me orientaram e direcionaram para que eu pudesse ser um pouco melhor a cada dia.
 3 | 
 4 | ## Quem pode contribuir?
 5 | Qualquer profissional de AppSec é bem vindo(a) para contribuir e acrescentar insights!
 6 | 
 7 | ## Por que e pra quem é AppSec?
 8 | Pode ser que você já tenha chegado com a resposta na sua cabeça, mas há quem possa estar indeciso(a): A área de AppSec (ao menos no BR, na minha visão) engloba aqueles profissionais que não querem viver apenas do pentest. Claro, a ideia de Red Team é fantástica e atrai muita gente na área (provavelmente a série do Mr.Robot trouxe mais gente pra área do que qualquer profissional e curso existente), mas de certa forma é uma opinão bem frequente no meio de AppSec que é difícil encontrar empresas que levam o conceito de Red Team ao pé da letra. Além disso, para aqueles que aprenderam programação ou até mesmo foram devs, terão uma transição facilitada e utilizarão esse conhecimento muito mais dentro de AppSec. Isso não quer dizer que em outras áreas não precisamos programar, **não é isso**, mas quem gosta ou já se profissionalizou por meio de código e nutre interesse pela parte de segurança, se sentirá em casa como AppSec (obviamente, cada um terá uma experiência diferente sobre isso).
 9 | 
10 | ##### 💡 TL;DR - Se você não quer ser Red Team e quer fazer pentests, já foi dev mas quer ser de segurança, AppSec é pra você! Em muitas empresas, AppSecs também fazem pentest :D
11 | 
12 | ## Eu já posso começar direto por esse repo? 
13 | Entende-se que, se você chegou até esse repo, na maioria dos casos é porque você já sabe que AppSec é um nicho e você já sabe as bases de SegInfo, talvez com exceção da programação. Não sabe? Não tem certeza? Volte algumas casas e [estude os conteúdos de iniciante desse roadmap](https://meninadecybersec.notion.site/Iniciando-em-Cybersecurity-e-Seguran-a-da-Informa-o-cfe02d5ac2b74576b315083387894890). É essencial porque muitos conteúdos aqui só farão sentido se você tiver as bases já estabelecidas. Você também pode complementar com [esse repo aqui](https://github.com/arthurspk/guiadecybersecurity)
14 | 
15 | # Skills, Ferramentas e o que estudar 
16 | 
17 | ##### 💡 Clique na sessão desejada para se aprofundar no tema. Todas as sugestões de curso/conteúdo a seguir são gratuitas, exceto marcadas com 💰
18 | 
19 | ## 🔗 [Programação e Code Review](https://github.com/PedroKetzer/roadmap-appsecbr/blob/main/Programa%C3%A7%C3%A3o%20e%20Code%20Review/Programação.md)
20 | 
21 | ## 🔗 [Modelagem de Ameaças](https://github.com/PedroKetzer/roadmap-appsecbr/blob/main/Modelagem%20de%20Amea%C3%A7as/Modelagens.md)
22 | 
23 | ## 🔗 [DevOps e Automações de Esteira](https://github.com/PedroKetzer/roadmap-appsecbr/blob/main/DevOps%20e%20Automa%C3%A7%C3%B5es%20de%20Esteira/DevOps.md)
24 | 
25 | ## 🔗 [DevSecOps](https://github.com/PedroKetzer/roadmap-appsecbr/blob/main/DevSecOps/DevSecOps.md)
26 | 
27 | ## 🔗 [OWASP](https://github.com/PedroKetzer/roadmap-appsecbr/blob/main/OWASP/OWASP.md)
28 | 
29 | ## 🔗 [Cloud](https://github.com/PedroKetzer/roadmap-appsecbr/blob/main/Cloud/Cloud.md)
30 |   
31 | ## 🔗 [Pentests e Ferramentas](https://github.com/PedroKetzer/roadmap-appsecbr/blob/main/Pentests%20e%20Ferramentas/Pentests.md)
32 | 
33 | ## 🔗 [Mobile](https://github.com/PedroKetzer/roadmap-appsecbr/blob/main/Mobile/Mobile.md)
34 | 
35 | ## 🔗 [Soft Skills](https://github.com/PedroKetzer/roadmap-appsecbr/blob/main/Soft%20Skills/SoftSkills.md)
36 | 
37 | # Conteúdos extras e criadores legais de seguir:
38 | - [Ben-Hur](https://twitter.com/guiadeappsec) do [Guia de AppSec](https://www.guiadeappsec.com.br/), ele também tem um [canal no youtube](https://www.youtube.com/@GuiadeAppSec) com dicas
39 | - [Cássio Developer](https://cassiodeveloper.com.br/) do [DevSecOps PodCast](https://www.youtube.com/@CassioBatistaPereira)
40 | - [Carlos "CrowSec"](https://www.instagram.com/carlos.crowsec/), que além do [Web Hacking na Prática](https://app.hackingclub.com) tem um canal no Youtube com o [mesmo nome](https://www.youtube.com/@CarlosVieiraCrowSec)
41 | - [Daiane "wh0isdxk" Santos](https://www.instagram.com/wh0isdxk/) do [MobileHackingBr](https://www.instagram.com/mobilehackingbr/)
42 | - [Edu Santos](https://www.instagram.com/edusantos.official/) do canal [WarmSec](https://www.youtube.com/@edusantos.official)
43 | 
44 | # Criadores estrangeiros:
45 | - Tayna, mais conhecida como [She Hacks Purple](https://www.youtube.com/@SheHacksPurple)
46 | - O canal do [The Cyber Mentor](https://www.youtube.com/@TCMSecurityAcademy)
47 | - [Tib3rius](https://www.youtube.com/Tib3rius)
48 | - Ben Sadeghipour, mais conhecido como [NahamSec](https://www.youtube.com/@NahamSec)
49 | 
50 | ## Vídeos:
51 | - (EN) [Learn Application Security Testing in 2024](https://www.youtube.com/watch?v=4-E5qcHvpEk)
52 | 
53 | # Seção final e considerações
54 | Com isso, você já deve estar bem munido(a) para começar a sua carreira e tentar a sorte nas vagas! Não se iluda que é um caminho fácil e que acaba somente com os conteúdos recomendados aqui. **Não é**, tem muito mais conteúdo que você precisará. Mas, é uma jornada recompensadora, desde o dia 1 (:
55 | 
56 | Qualquer coisa, sinta-se livre pra mandar uma mensagem para tirar dúvidas. Te desejo todo o sucesso do mundo na sua jornada o/
57 | 


--------------------------------------------------------------------------------
/Soft Skills/SoftSkills.md:
--------------------------------------------------------------------------------
 1 | 
 2 | ##### 💡 Todas as sugestões de curso/conteúdo a seguir são gratuitas, exceto marcadas com 💰
 3 | 
 4 | # 🔗 Soft Skills
 5 | Soft Skills e comunicação assertiva são muito importantes para alguém de AppSec, mas **muito** mesmo, quase mais do que as hard skills! Isso é dito porque faz parte do cotidiano conversar com devs que estão nos mais variados níveis de carreira, desde o estagiário até o expert conhecido na bolha dev. Nessas horas não basta dizer: "esse código tá ruim, corrige aí". É esperado que alguém de AppSec se torne uma referência, tenha jogo de cintura, seja maleável (a vida não é binária né?) e saber conversar e explicar coisas pra pessoas que nem sempre estão propensas a concordar contigo, além de normalmente não terem background de segurança.
 6 | 
 7 | "Ah, mas vulnerabilidade é vulnerabilidade"! Sim, até você precisar explicar porquê uma vulnerabilidade que só pode ser executada em ambiente restrito é crítica e precisa ter sua correção priorizada frente a um backlog apertado, com datas de lançamento vencidas. Nessas horas são as soft skills que provalecem: correções tomam tempo da sprint do dev e com outras coisas que eles precisam entregar. Agir com empatia junto ao dev, aprender a demonstrar para pessoas não-técnicas como um risco pode se tornar perda financeira e lembrar que **segurança não aceita risco, mas apresenta com clareza a probabilidade de exploração** vão te ajudar a ter sucesso nessa frente.
 8 | 
 9 | Soft Skills também podem ser desenvolvidas. Considere os seguintes conteúdos:
10 | - [Soft skills: o que são, 10 principais exemplos e como desenvolver](https://www.gupy.io/blog/soft-skills)
11 | - 💰 [Soft skills: competências essenciais para os novos tempos - Lucedile Antunes ](https://www.amazon.com.br/Soft-skills-compet%C3%AAncias-essenciais-tempos-ebook/dp/B08KWDD7N7)
12 | - [3 dicas para ter Comunicação Assertiva no trabalho - Bianca Celoto](https://www.youtube.com/watch?v=rqE_mxXlZik)
13 | 


--------------------------------------------------------------------------------