O maior risco não está
no seu código.
Está no caminho até a produção.
Dependências, pipelines e infraestrutura cloud formam uma cadeia inteira de ataque que a maioria dos times ignora. Até o incidente acontecer. Em 2 dias, você aprende a dominar cada elo dessa cadeia.
↑ Simulação real executada durante o Lab 01 do treinamento
O problema já está dentro do seu ambiente
Se você opera CI/CD em produção, você já é um alvo. A questão não é se vão tentar. É se você vai perceber antes ou depois do estrago.
Pentest não cobre a entrega
Sua aplicação pode ter Pentest 100% aprovado e o código pode ser impecável. Mas se uma dependência NPM executar payload no postinstall ou o GitHub Actions vazar credenciais da AWS, nada disso protege você.
A cadeia virou o novo vetor
Atacantes modernos não tentam mais derrubar firewalls. Eles envenenam uma dependência, comprometem um runner ou exploram uma política IAM com wildcard. O vetor mudou. A maioria dos times não.
Do código até a nuvem em segundos
Um pacote comprometido pode executar código no build, extrair credenciais do runner, mover lateralmente para a AWS, escalar privilégios no IAM e acessar o Secrets Manager. Tudo isso antes de qualquer alerta.
Defender exige entender o ataque
Não dá para proteger o que você não sabe como explorar. Por isso o treinamento começa pelo ataque real. Você opera o exploit nas três camadas antes de construir a defesa em cima delas.
Cada incidente da nossa timeline começou numa camada diferente: dependência, pipeline ou infraestrutura cloud. Este treinamento cobre as três camadas. Um atacante não respeita fronteiras entre elas.
Esses ataques aconteceram de verdade
Cada empresa afetada tinha um time técnico competente. O que elas não tinham era visibilidade sobre toda a cadeia: dependências, entrega e infraestrutura cloud.
💬 “O ambiente da sua empresa está configurado da mesma forma que os que foram comprometidos abaixo?”
GitHub Breach
Impacto Registrado
3.800 repos exfiltrados
Comprometimento massivo via GitHub Actions runners mal configurados
Megalodon
Impacto Registrado
5.561 repos em 6 horas
Backdoor inserido via reusable workflow templates comprometidos
TanStack
Impacto Registrado
84 versões envenenadas
Dependency confusion em packages amplamente utilizados
Axios Compromise
Impacto Registrado
RCE via postinstall
Código malicioso executado automaticamente via lifecycle scripts do npm
Pipeline Takeover
Impacto Registrado
Cadeia completa comprometida
Exfiltração de credenciais via variáveis de ambiente em runners CI/CD
Todos esses ataques serão dissecados ao vivo durante o treinamento. Você vai entender como aconteceram e como teria detectado.
Não Quero Ser a Próxima VítimaO Alvo Número Um
Este treinamento NÃO é exclusivo para profissionais de segurança. Se você cria, entrega ou mantém software em produção, você é a principal porta de entrada para os ataques modernos.
Desenvolvedores Backend & Full-stack
Que usam NPM, publicam ou consomem pacotes e precisam entender os riscos da cadeia de dependências da sua aplicação
Profissionais de Segurança
Que querem dominar ataque e defesa em toda a cadeia: dependências, entrega e infraestrutura cloud
DevOps & SRE
Que operam pipelines CI/CD em produção e são responsáveis pela integridade dos artefatos e das credenciais de deploy
Arquitetos de Infraestrutura
Responsáveis por ambientes AWS/GCP/Azure integrados com repositórios, onde IAM mal configurado vira porta de entrada
Times de Produto em Crescimento
Que adicionam dependências, escalam infraestrutura e precisam de segurança sem travar a velocidade de entrega
Tech Leads
Que precisam de visão sistêmica para implementar governança segura em toda a cadeia de software, do código à nuvem
Requisitos Mínimos _
O Arsenal DevSecOps
Uma trilha desenhada para transformar você em um arquiteto de segurança de pipelines.
Fundamentos & Superfície
Primeiro Dia
- 01Evolução da ameaça: Compreendendo os vetores modernos em Supply Chain
- 02Anatomia de infraestruturas de CI/CD e pontos cegos de arquitetura
- 03Mapeamento de dependências, resolução de pacotes e lockfiles
- 04Gestão de identidade e permissões em ambientes Cloud-Native
- 05Modelagem de ameaças e identificação de riscos sistêmicos em pipelines
Exploração & Defesa
Segundo Dia
Carga Horária de Alto Rendimento
3 Labs Práticos em AWS
Um ambiente AWS real. Uma fintech comprometida. Você no controle.
Uma fintech fictícia (Axionbyte Solutions) teve seu ambiente comprometido via Reusable Workflow envenenado. O token OIDC foi exfiltrado pelo runner e usado para escalar privilégios no IAM. O Blast Radius se espalhou por toda a infraestrutura antes de qualquer alerta disparar.
Cadeia de Ataque
Reusable Workflow
ponto de entrada
GitHub Actions
runner comprometido
OIDC Token
exfiltrado
AWS IAM
privilege escalation
Blast Radius · Infraestrutura Afetada
AWS ECR
CRITimagens envenenadas
Secrets Manager
CRITchaves PIX exfiltradas
IAM Roles
CRITprivilege escalation
S3 Buckets
dados de clientes expostos
EC2 / Lambda
execução remota de código
VPC Privada
movimentação lateral
VPN Gateway
acesso interno exposto
GitHub Repos
3 repositórios comprometidos
CI/CD Pipelines
artefatos adulterados
Seus papéis durante o treinamento
Blue Team
Forensics & detecção
Red Team
Exploração & cadeia
Cloud Sec
IAM hardening & OIDC
CI/CD & Cloud Forensics
Analise logs de pipeline do GitHub Actions, correlacione com eventos do AWS CloudTrail, identifique chamadas maliciosas e mapeie o Blast Radius.
Supply Chain Analysis
Inspecione histórico de commits, analise Reusable Workflows comprometidos, identifique Poisoned Pipeline Execution via curl | bash disfarçado.
IAM & OIDC Hardening
Audite política IAM insegura com wildcards, reescreva com Least Privilege, modifique Trust Policy OIDC e valide com Terraform.
Arsenal Tecnológico
Não vamos usar simuladores genéricos. Vamos operar as exatas mesmas ferramentas que rodam na infraestrutura das maiores empresas de tecnologia do mundo.
Quem Vai Te Guiar
20+ Anos
de Experiência
Higor Diego
Arquiteto Corporativo & DevSecOps
Em 20 anos protegendo infraestruturas de bancos, fintechs e varejistas de grande porte, vi os mesmos erros de pipeline causarem incidentes devastadores repetidamente. Cada ataque da nossa timeline aconteceu em ambientes que eu já auditei antes. Criei este treinamento para que você não precise aprender isso da forma mais cara. Na hora do incidente.
Fundador
Hack in Cariri
Maior evento de segurança do interior do NE
Palestrante
Desde 2006
Conferências nacionais de segurança e tecnologia
Consultor
Enterprise
Projetos em bancos, fintechs, varejo e aviação
Pesquisador
CVEs & Ofensiva
Pesquisa ativa em vulnerabilidades e supply chain
Garanta sua Vaga
Um único incidente de pipeline pode custar muito mais do que o investimento neste treinamento. Vagas limitadas para garantir acompanhamento próximo.
Quando
04 e 05 de Julho
Sábado e Domingo
Formato
Google Meet
Ao vivo · não é gravação
Comunidade
Grupo WhatsApp
Turma + professor + network
Cancelamento
Até 7 dias antes
Reembolso total, sem burocracia
Masterclass Completa
Imersão Digital · Sábado e Domingo, sem tirar folga
Aula ao vivo · não é gravação
Interação direta com o instrutor e correção em tempo real. Cancelamento com reembolso total disponível até 7 dias antes do início.
Investimento
à vista
ou 10x de R$ 99,70
Receba a ementa completa em PDF
Veja exatamente o que será ensinado: módulos, labs práticos e pré-requisitos. Antes de decidir.
- O que será ensinado em cada um dos 6 módulos
- Descrição dos 3 labs práticos do curso
- Pré-requisitos técnicos para participar
Ainda com alguma dúvida?
Tudo o que você precisa saber antes de garantir sua vaga no treinamento.