Detecção esparsa e pontos cegos
O SAST rodava de forma parcial e Secret Detection, Container Scanning e DAST eram capacidades essencialmente inexistentes — vulnerabilidades chegavam à produção sem barreira.
Case · DevSecOps em escala
De detecção esparsa a segurança contínua — em escala e sob compliance.
Um programa de fidelidade de alcance nacional, com operação de pagamentos regulada por PCI DSS, precisava levar segurança a um estate de aproximadamente 1.900 projetos GitLab distribuídos em cerca de 100 subgrupos — com um time de segurança enxuto. Em um DevSecOps Quickstart de 11 meses, a Excelium instituiu detecção contínua em cinco categorias, uma capacidade de remediação ativa e a governança que faltava, sem interromper a entrega.
O SAST rodava de forma parcial e Secret Detection, Container Scanning e DAST eram capacidades essencialmente inexistentes — vulnerabilidades chegavam à produção sem barreira.
Cerca de 1.900 projetos em ~100 subgrupos, sem padrão de proteção de branch, aprovação de merge request ou cobertura de scanners consistente entre times.
Ambiente sujeito a PCI DSS, ISO 27001, SOC 2 e NIST CSF — exigindo evidência auditável e políticas que bloqueiem o que é crítico, não apenas relatórios.
Uma operação pequena para centenas de projetos: qualquer solução precisava ser automatizada e internalizável pela própria engenharia, não dependente de esforço manual.
Habilitação de SAST, Dependency, Secret Detection, Container Scanning e DAST no pipeline, com templates reutilizáveis para cobrir o estate sem configuração projeto a projeto.
Um framework de compliance customizado com scan diário e Scan Result Policy bloqueando severidades CRITICAL e HIGH — segurança como gate, não como aviso.
Duas grandes ondas de limpeza conduzidas junto ao time, priorizando por severidade e criticidade de projeto, com plano de fechamento pré-entrega.
Proteção de branch, regras de aprovação de MR e CODEOWNERS institucionalizados, movendo a detecção para antes do merge — vulnerabilidade barrada antes de chegar à main.
2,4× tudo que fora identificado nos meses anteriores, cobrindo SAST, dependências, segredos, containers e DAST.
8,9× o total de 827 resoluções acumuladas nos 8 meses anteriores à contratação — remediação ativa, em duas ondas.
De 196 para 5.530 detecções — credenciais expostas em código, antes praticamente invisíveis.
De 10 para 682 detecções em imagens, Dockerfiles e base layers — pilar novo em produção.
Análise dinâmica ligada no ambiente pela primeira vez — marco de encerramento do escopo.
Cobertura institucionalizada; 10 de 10 projetos criados nos últimos 30 dias já entraram cobertos.
50,9% do estate com proteção de branch institucionalizada, com regras de aprovação e CODEOWNERS.
Comparativo com × sem framework de compliance, pelo custo de severidade bloqueada antes de produção.
De detecção esparsa a observabilidade ativa: cinco categorias de scan cobrindo o estate, com 2,4× mais vulnerabilidades únicas identificadas que todo o histórico anterior.
Uma capacidade de resposta estabelecida — de 827 resoluções históricas para 7.362 durante o projeto, em duas ondas de limpeza assistida.
Secret Detection, Container Scanning e DAST — inexistentes no início — operacionais em escala ao fim do Quickstart.
100% dos projetos novos entram com scanners por padrão: sinal de que a baseline de segurança foi internalizada, não imposta.
Frentes de hardening já mapeadas — governança de branch e regras de aprovação no restante do estate — com escopo e templates prontos.
Identidade do cliente preservada por confidencialidade. Números auditados a partir do relatório de entrega do projeto.
Agende um diagnóstico gratuito de 30 minutos: mapeamos onde a segurança e a entrega travam — e por onde começar.