Esse repositório foi criado com o intuito de espalhar a palavra do DevSecOps educar e direcionar aspirantes do mundo de segurança a um lugar que seja diferente da famosa escolha entre o azul (blue team) e o vermelho (red team), sendo esse lugar o mundo maravilhoso (e puxado) de Application Security: uma área relativamente nova, mas em constante expansão, com suas peculiaridades únicas. Também é uma maneira que encontrei de retribuir o que a comunidade fez por mim, porque não cheguei onde estou sozinho e muitas pessoas me orientaram e direcionaram para que eu pudesse ser um pouco melhor a cada dia.
Qualquer profissional de AppSec é bem vindo(a) para contribuir e acrescentar insights!
Pode ser que você já tenha chegado com a resposta na sua cabeça, mas há quem possa estar indeciso(a): A área de AppSec (ao menos no BR, na minha visão) engloba aqueles profissionais que não querem viver apenas do pentest. Claro, a ideia de Red Team é fantástica e atrai muita gente na área (provavelmente a série do Mr.Robot trouxe mais gente pra área do que qualquer profissional e curso existente), mas de certa forma é uma opinão bem frequente no meio de AppSec que é difícil encontrar empresas que levam o conceito de Red Team ao pé da letra. Além disso, para aqueles que aprenderam programação ou até mesmo foram devs, terão uma transição facilitada e utilizarão esse conhecimento muito mais dentro de AppSec. Isso não quer dizer que em outras áreas não precisamos programar, não é isso, mas quem gosta ou já se profissionalizou por meio de código e nutre interesse pela parte de segurança, se sentirá em casa como AppSec (obviamente, cada um terá uma experiência diferente sobre isso).
💡 TL;DR - Se você não quer ser Red Team e quer fazer pentests, já foi dev mas quer ser de segurança, AppSec é pra você! Em muitas empresas, AppSecs também fazem pentest :D
Entende-se que, se você chegou até esse repo, na maioria dos casos é porque você já sabe que AppSec é um nicho e você já sabe as bases de SegInfo, talvez com exceção da programação. Não sabe? Não tem certeza? Volte algumas casas e estude os conteúdos de iniciante desse roadmap. É essencial porque muitos conteúdos aqui só farão sentido se você tiver as bases já estabelecidas. Você também pode complementar com esse repo aqui
💡 Clique na sessão desejada para se aprofundar no tema. Todas as sugestões de curso/conteúdo a seguir são gratuitas, exceto marcadas com 💰
🔗 OWASP
🔗 Cloud
🔗 Mobile
- Ben-Hur do Guia de AppSec, ele também tem um canal no youtube com dicas
- Cássio Developer do DevSecOps PodCast
- Carlos "CrowSec", que além do Web Hacking na Prática tem um canal no Youtube com o mesmo nome
- Daiane "wh0isdxk" Santos do MobileHackingBr
- Edu Santos do canal WarmSec
Com isso, você já deve estar bem munido(a) para começar a sua carreira e tentar a sorte nas vagas! Não se iluda que é um caminho fácil e que acaba somente com os conteúdos recomendados aqui. Não é, tem muito mais conteúdo que você precisará. Mas, é uma jornada recompensadora, desde o dia 1 (:
Qualquer coisa, sinta-se livre pra mandar uma mensagem para tirar dúvidas. Te desejo todo o sucesso do mundo na sua jornada o/