QUOR BLOG
Security and open source:
What we're learning along the way.
Security and open source:
What we're learning along the way.
All
Product
Research
Event
RESEARCH
Quando uma CVE é publicada, a vulnerabilidade já existe há algum tempo. O intervalo entre a descoberta e o registro público, o disclosure gap, é um período em que scanners não apontam nada, SLAs não são ativados e o ambiente parece limpo. Neste artigo, o Heitor Gouvêa documenta quatro casos reais de responsible disclosure e o que esse gap significa na prática para quem gerencia risco.
Security Researcher
Heitor Gouvêa
RESEARCH
Imagens de container tradicionais carregam centenas de pacotes desnecessários, gerando CVEs que bloqueiam pipelines e consomem horas de triagem. Esse ruído impacta diretamente as quatro métricas DORA. Neste artigo, exploramos como imagens minimalistas com CVEs próximas de zero reduzem essa fricção e tornam os times de engenharia mais eficientes.
Security Researcher
Heitor Gouvêa
PRODUCT
Esta é a terceira publicação da série técnica sobre as decisões de engenharia por trás das imagens do Quor. No artigo anterior, exploramos como compilar diretamente do código fonte elimina dependências de cadeias de distribuição e permite controle preciso sobre o que entra na imagem. Neste artigo, chegamos a uma camada diferente do problema: mesmo após reduzir drasticamente o número de pacotes e CVEs, ainda resta uma pergunta que nenhum scanner responde por padrão: essa vulnerabilidade é explorável nesta imagem, neste contexto? A resposta para essa pergunta é o VEX.
Security Researcher
Heitor Gouvêa
PRODUCT
1 em cada 4 transações de M&A já foi atingida por um incidente cibernético durante ou logo após o fechamento, e a due diligence tradicional ainda não cobre os pontos certos.
CEO
Diogo Goebel
PRODUCT
Esta é a segunda publicação da série técnica sobre as decisões de engenharia por trás das imagens do Quor. No artigo anterior, exploramos como a escolha da imagem base, Alpine e distroless, reduz estruturalmente a superfície de ataque. Mas reduzir a quantidade de pacotes não é suficiente. Mesmo com poucos pacotes, cada um deles carrega um risco que a maioria das equipes de segurança não vê: o tempo entre um fix ser mergeado no upstream e aquela correção efetivamente chegar à sua imagem. Este artigo trata exatamente desse gap e de como compilar diretamente do código fonte elimina ele por completo.
Security Researcher
Heitor Gouvêa
PRODUCT
Esta é a primeira publicação de uma série técnica sobre as decisões de engenharia por trás das imagens do Quor. Cada artigo vai explorar uma camada específica da nossa abordagem para entregar imagens de container com CVEs próximas de zero. Começamos pelo mais fundamental: a escolha da imagem base.
Security Researcher
Heitor Gouvêa
PRODUCT
Saber o que compõe um container não é suficiente para confiar nele. Neste artigo, Heitor explora como SBOM, VEX, SLSA e atestados criptográficos trabalham juntos para transformar confiança implícita em confiança verificável, e como aplicar isso na prática com ferramentas como cosign e políticas de admissão no Kubernetes.
Security Researcher
Heitor Gouvêa
EVENT
No dia 9 de março estivemos no 5º Cybersecurity Forum, organizado pela TI Inside, um dos veículos de tecnologia mais relevantes do Brasil e que, mais uma vez, reuniu o evento com muita competência e cuidado. Do espaço às conexões que aconteceram ali, a curadoria fez diferença. Saímos de lá com conversas boas, algumas confirmações e com uma percepção ainda mais clara sobre o momento que o mercado está vivendo.
Head of Product
Camila Bedretchuk
RESEARCH
Syft is one of the most widely adopted SBOM generation tools, used by Docker, Grafana, Helm, OpenTelemetry, and hundreds of other projects. Our Security Researcher, Heitor Gouvêa, identified a decompression bomb vulnerability in Syft: a malicious file of ~200KB can expand to hundreds of gigabytes during a scan, exhausting disk space and taking down entire CI/CD pipelines. The vulnerability was reported in February, confirmed by the Anchore team, and patched yesterday.
Security Researcher
Heitor Gouvêa
RESEARCH
The discussion about SBOM (Software Bill of Materials) has shifted from being a peripheral topic in security to becoming a central part of modern software engineering.
Security Researcher
Heitor Gouvêa
EVENT
September 2025. Getup arrived at the Gartner CIO & IT Executive Conference in São Paulo with something new to show and a good dose of anticipation about how it would be received.
Head of Product
Camila Bedretchuk
PRODUCT
The demand comes with a simple audit question, usually related to SOC 2 or PCI DSS: what changed, when it changed, and in which artifact.
Head of Product
Camila Bedretchuk
RESEARCH
CVE-2026-24512 describes a configuration injection vulnerability in ingress-nginx, the officially reported impact includes code execution in the context of the controller and exposure of secrets accessible by it.
Security Researcher
Heitor Gouvêa
RESEARCH
The "tax" of CVE management does not appear as a line in the budget. It manifests in consumed capacity, windows of change, and lost predictability. This post proposes a simple baseline and shows how Quor's calculator helps to qualify the ROI conversation.
Head of Product
Camila Bedretchuk
PRODUCT
We imagine Quor taking his engineering team to the Secret Santa and we listed what he packed as a gift.
Head of Product
Camila Bedretchuk
PRODUCT
AI increases the speed of software development; the SOC operates at the limit to absorb signals and decisions. The convergence between Product Security and SecOps reduces noise, risk, and exposure.
Head of Product
Camila Bedretchuk
RESEARCH
Decree No. 12,573 formalizes the National Cybersecurity Strategy. Understand the pillars of E-Cyber, its impacts on essential services, and the challenges that still remain open.
CEO
Diogo Goebel
PRODUCT
We have gathered in a single glossary the terms that most often appear in conversations about security in Kubernetes.
Head of Product
Camila Bedretchuk
RESEARCH
Running conditions in runC mounts lead to Container Escape and Bypass of Linux Policies
CTO
John Brito
RESEARCH
How to explore, detect, and block with NetworkPolicies and Admission Policies
CTO
John Brito
RESEARCH
Why this CVE with a CVSS score of 10 deserves your attention now!
CTO
John Brito
RESEARCH
The end of free public images does not mean the end of innovation. On the contrary, it represents a necessary maturity.
CTO
John Brito
RESEARCH
Because product leaders should treat security as part of planning and not as an exception in engineering.
Head of Product
Camila Bedretchuk
RESEARCH
The financial impact of a well-applied strategy.
CTO
John Brito
RESEARCH
How is the security of your container images?
CTO
John Brito
RESEARCH
The increase in the use of containers and the consequent challenge of managing vulnerabilities (CVEs).
CEO
Diogo Goebel
RESEARCH
Discover how Getup is addressing the problem of vulnerabilities in containers, reducing CVEs by up to 90% and making security more efficient without impacting productivity.
CEO
Diogo Goebel
All
Product
Research
Event
RESEARCH
Quando uma CVE é publicada, a vulnerabilidade já existe há algum tempo. O intervalo entre a descoberta e o registro público, o disclosure gap, é um período em que scanners não apontam nada, SLAs não são ativados e o ambiente parece limpo. Neste artigo, o Heitor Gouvêa documenta quatro casos reais de responsible disclosure e o que esse gap significa na prática para quem gerencia risco.
Security Researcher
Heitor Gouvêa
RESEARCH
Imagens de container tradicionais carregam centenas de pacotes desnecessários, gerando CVEs que bloqueiam pipelines e consomem horas de triagem. Esse ruído impacta diretamente as quatro métricas DORA. Neste artigo, exploramos como imagens minimalistas com CVEs próximas de zero reduzem essa fricção e tornam os times de engenharia mais eficientes.
Security Researcher
Heitor Gouvêa
PRODUCT
Esta é a terceira publicação da série técnica sobre as decisões de engenharia por trás das imagens do Quor. No artigo anterior, exploramos como compilar diretamente do código fonte elimina dependências de cadeias de distribuição e permite controle preciso sobre o que entra na imagem. Neste artigo, chegamos a uma camada diferente do problema: mesmo após reduzir drasticamente o número de pacotes e CVEs, ainda resta uma pergunta que nenhum scanner responde por padrão: essa vulnerabilidade é explorável nesta imagem, neste contexto? A resposta para essa pergunta é o VEX.
Security Researcher
Heitor Gouvêa
PRODUCT
1 em cada 4 transações de M&A já foi atingida por um incidente cibernético durante ou logo após o fechamento, e a due diligence tradicional ainda não cobre os pontos certos.
CEO
Diogo Goebel
PRODUCT
Esta é a segunda publicação da série técnica sobre as decisões de engenharia por trás das imagens do Quor. No artigo anterior, exploramos como a escolha da imagem base, Alpine e distroless, reduz estruturalmente a superfície de ataque. Mas reduzir a quantidade de pacotes não é suficiente. Mesmo com poucos pacotes, cada um deles carrega um risco que a maioria das equipes de segurança não vê: o tempo entre um fix ser mergeado no upstream e aquela correção efetivamente chegar à sua imagem. Este artigo trata exatamente desse gap e de como compilar diretamente do código fonte elimina ele por completo.
Security Researcher
Heitor Gouvêa
PRODUCT
Esta é a primeira publicação de uma série técnica sobre as decisões de engenharia por trás das imagens do Quor. Cada artigo vai explorar uma camada específica da nossa abordagem para entregar imagens de container com CVEs próximas de zero. Começamos pelo mais fundamental: a escolha da imagem base.
Security Researcher
Heitor Gouvêa
PRODUCT
Saber o que compõe um container não é suficiente para confiar nele. Neste artigo, Heitor explora como SBOM, VEX, SLSA e atestados criptográficos trabalham juntos para transformar confiança implícita em confiança verificável, e como aplicar isso na prática com ferramentas como cosign e políticas de admissão no Kubernetes.
Security Researcher
Heitor Gouvêa
EVENT
No dia 9 de março estivemos no 5º Cybersecurity Forum, organizado pela TI Inside, um dos veículos de tecnologia mais relevantes do Brasil e que, mais uma vez, reuniu o evento com muita competência e cuidado. Do espaço às conexões que aconteceram ali, a curadoria fez diferença. Saímos de lá com conversas boas, algumas confirmações e com uma percepção ainda mais clara sobre o momento que o mercado está vivendo.
Head of Product
Camila Bedretchuk
RESEARCH
Syft is one of the most widely adopted SBOM generation tools, used by Docker, Grafana, Helm, OpenTelemetry, and hundreds of other projects. Our Security Researcher, Heitor Gouvêa, identified a decompression bomb vulnerability in Syft: a malicious file of ~200KB can expand to hundreds of gigabytes during a scan, exhausting disk space and taking down entire CI/CD pipelines. The vulnerability was reported in February, confirmed by the Anchore team, and patched yesterday.
Security Researcher
Heitor Gouvêa
RESEARCH
The discussion about SBOM (Software Bill of Materials) has shifted from being a peripheral topic in security to becoming a central part of modern software engineering.
Security Researcher
Heitor Gouvêa
EVENT
September 2025. Getup arrived at the Gartner CIO & IT Executive Conference in São Paulo with something new to show and a good dose of anticipation about how it would be received.
Head of Product
Camila Bedretchuk
PRODUCT
The demand comes with a simple audit question, usually related to SOC 2 or PCI DSS: what changed, when it changed, and in which artifact.
Head of Product
Camila Bedretchuk
RESEARCH
CVE-2026-24512 describes a configuration injection vulnerability in ingress-nginx, the officially reported impact includes code execution in the context of the controller and exposure of secrets accessible by it.
Security Researcher
Heitor Gouvêa
RESEARCH
The "tax" of CVE management does not appear as a line in the budget. It manifests in consumed capacity, windows of change, and lost predictability. This post proposes a simple baseline and shows how Quor's calculator helps to qualify the ROI conversation.
Head of Product
Camila Bedretchuk
PRODUCT
We imagine Quor taking his engineering team to the Secret Santa and we listed what he packed as a gift.
Head of Product
Camila Bedretchuk
PRODUCT
AI increases the speed of software development; the SOC operates at the limit to absorb signals and decisions. The convergence between Product Security and SecOps reduces noise, risk, and exposure.
Head of Product
Camila Bedretchuk
RESEARCH
Decree No. 12,573 formalizes the National Cybersecurity Strategy. Understand the pillars of E-Cyber, its impacts on essential services, and the challenges that still remain open.
CEO
Diogo Goebel
PRODUCT
We have gathered in a single glossary the terms that most often appear in conversations about security in Kubernetes.
Head of Product
Camila Bedretchuk
RESEARCH
Running conditions in runC mounts lead to Container Escape and Bypass of Linux Policies
CTO
John Brito
RESEARCH
How to explore, detect, and block with NetworkPolicies and Admission Policies
CTO
John Brito
RESEARCH
Why this CVE with a CVSS score of 10 deserves your attention now!
CTO
John Brito
RESEARCH
The end of free public images does not mean the end of innovation. On the contrary, it represents a necessary maturity.
CTO
John Brito
RESEARCH
Because product leaders should treat security as part of planning and not as an exception in engineering.
Head of Product
Camila Bedretchuk
RESEARCH
The financial impact of a well-applied strategy.
CTO
John Brito
RESEARCH
How is the security of your container images?
CTO
John Brito
RESEARCH
The increase in the use of containers and the consequent challenge of managing vulnerabilities (CVEs).
CEO
Diogo Goebel
RESEARCH
Discover how Getup is addressing the problem of vulnerabilities in containers, reducing CVEs by up to 90% and making security more efficient without impacting productivity.
CEO
Diogo Goebel
Get started now by reducing up to 90% of CVEs before production.
Reduce your attack surface and the cost of remediation.
Preventive security, applied continuously.