Quando uma CVE é publicada, a vulnerabilidade já existe há algum tempo. O intervalo entre a descoberta e o registro público, o disclosure gap, é um período em que scanners não apontam nada, SLAs não são ativados e o ambiente parece limpo. Neste artigo, o Heitor Gouvêa documenta quatro casos reais de responsible disclosure e o que esse gap significa na prática para quem gerencia risco.

Imagens de container tradicionais carregam centenas de pacotes desnecessários, gerando CVEs que bloqueiam pipelines e consomem horas de triagem. Esse ruído impacta diretamente as quatro métricas DORA. Neste artigo, exploramos como imagens minimalistas com CVEs próximas de zero reduzem essa fricção e tornam os times de engenharia mais eficientes.

Esta é a terceira publicação da série técnica sobre as decisões de engenharia por trás das imagens do Quor. No artigo anterior, exploramos como compilar diretamente do código fonte elimina dependências de cadeias de distribuição e permite controle preciso sobre o que entra na imagem. Neste artigo, chegamos a uma camada diferente do problema: mesmo após reduzir drasticamente o número de pacotes e CVEs, ainda resta uma pergunta que nenhum scanner responde por padrão: essa vulnerabilidade é explorável nesta imagem, neste contexto? A resposta para essa pergunta é o VEX.

1 em cada 4 transações de M&A já foi atingida por um incidente cibernético durante ou logo após o fechamento, e a due diligence tradicional ainda não cobre os pontos certos.

Esta é a segunda publicação da série técnica sobre as decisões de engenharia por trás das imagens do Quor. No artigo anterior, exploramos como a escolha da imagem base, Alpine e distroless, reduz estruturalmente a superfície de ataque. Mas reduzir a quantidade de pacotes não é suficiente. Mesmo com poucos pacotes, cada um deles carrega um risco que a maioria das equipes de segurança não vê: o tempo entre um fix ser mergeado no upstream e aquela correção efetivamente chegar à sua imagem. Este artigo trata exatamente desse gap e de como compilar diretamente do código fonte elimina ele por completo.

Esta é a primeira publicação de uma série técnica sobre as decisões de engenharia por trás das imagens do Quor. Cada artigo vai explorar uma camada específica da nossa abordagem para entregar imagens de container com CVEs próximas de zero. Começamos pelo mais fundamental: a escolha da imagem base.

Saber o que compõe um container não é suficiente para confiar nele. Neste artigo, Heitor explora como SBOM, VEX, SLSA e atestados criptográficos trabalham juntos para transformar confiança implícita em confiança verificável, e como aplicar isso na prática com ferramentas como cosign e políticas de admissão no Kubernetes.

No dia 9 de março estivemos no 5º Cybersecurity Forum, organizado pela TI Inside, um dos veículos de tecnologia mais relevantes do Brasil e que, mais uma vez, reuniu o evento com muita competência e cuidado. Do espaço às conexões que aconteceram ali, a curadoria fez diferença. Saímos de lá com conversas boas, algumas confirmações e com uma percepção ainda mais clara sobre o momento que o mercado está vivendo.

Syft is one of the most widely adopted SBOM generation tools, used by Docker, Grafana, Helm, OpenTelemetry, and hundreds of other projects. Our Security Researcher, Heitor Gouvêa, identified a decompression bomb vulnerability in Syft: a malicious file of ~200KB can expand to hundreds of gigabytes during a scan, exhausting disk space and taking down entire CI/CD pipelines. The vulnerability was reported in February, confirmed by the Anchore team, and patched yesterday.

A discussão sobre SBOM (Software Bill of Materials) deixou de ser um tema periférico em segurança para se tornar parte central da engenharia moderna de software.

Setembro de 2025. A Getup chegou à Conferência Gartner CIO & IT Executive em São Paulo com algo novo para mostrar e uma boa dose de expectativa sobre como seria recebida.

A demanda chega com uma pergunta simples de auditoria, geralmente ligada a SOC 2 ou PCI DSS: o que mudou, quando mudou e em qual artefato.

A CVE-2026-24512 descreve uma falha de injeção de configuração no ingress-nginx, o impacto informado oficialmente inclui execução de código no contexto do controlador e exposição de secrets acessíveis por ele.

O “imposto” da gestão de CVEs não aparece como uma linha do orçamento. Ele se manifesta em capacidade consumida, janelas de mudança e previsibilidade perdida. Este post propõe um baseline simples e mostra como a calculadora do Quor ajuda a qualificar a conversa de ROI.

Imaginamos o Quor tirando seu time de engenharia no amigo secreto e listamos o que ele empacotou como presente.

A IA aumenta a velocidade no desenvolvimento de software; o SOC opera no limite para absorver sinais e decisões. A convergência entre Product Security e SecOps reduz ruído, risco e exposição

O Decreto nº12.573 oficializa a Estratégia Nacional de Cibersegurança. Entenda os pilares da E-Ciber, seus impactos para serviços essenciais e os desafios que ainda permanecem abertos.

Reunimos em um único glossário os termos que mais aparecem nas conversas sobre segurança em Kubernetes.

Condições de Corrida em Montagens de runC levam a Container Escape e Bypass de Policies Linux

Como explorar, detectar e bloquear com NetworkPolicies e Admission Policies

Por que essa CVE de CVSS 10 merece sua atenção agora!

O fim das imagens públicas gratuitas não significa o fim da inovação. Pelo contrário, representa uma maturidade necessária.

Porque líderes de produto devem tratar segurança como parte do planejamento e não como uma exceção da engenharia.

O impacto financeiro de uma estratégia bem aplicada.

Como anda a segurança de suas imagens de containers

O aumento do uso de containers e o consequente desafio da gestão de vulnerabilidades (CVEs).

Descubra como a Getup está resolvendo o problema das vulnerabilidades em contêineres, reduzindo CVEs em até 90% e tornando a segurança mais eficiente e sem impactar a produtividade.