Case · DevSecOps em escala

DevSecOps em um estate de ~1.900 projetos, sem travar a engenharia

De detecção esparsa a segurança contínua — em escala e sob compliance.

Um programa de fidelidade de alcance nacional, com operação de pagamentos regulada por PCI DSS, precisava levar segurança a um estate de aproximadamente 1.900 projetos GitLab distribuídos em cerca de 100 subgrupos — com um time de segurança enxuto. Em um DevSecOps Quickstart de 11 meses, a Excelium instituiu detecção contínua em cinco categorias, uma capacidade de remediação ativa e a governança que faltava, sem interromper a entrega.

26,3 milVulnerabilidades detectadas2,4× o histórico · 5 categorias de scan
7.362Vulnerabilidades resolvidas8,9× tudo que fora resolvido antes
R$ 1,78 miEconomia estimadacusto de severidade bloqueada em produção
100%Projetos novos cobertosscanners habilitados por padrão

O desafio

Detecção esparsa e pontos cegos

O SAST rodava de forma parcial e Secret Detection, Container Scanning e DAST eram capacidades essencialmente inexistentes — vulnerabilidades chegavam à produção sem barreira.

Escala sem governança uniforme

Cerca de 1.900 projetos em ~100 subgrupos, sem padrão de proteção de branch, aprovação de merge request ou cobertura de scanners consistente entre times.

Compliance de pagamentos

Ambiente sujeito a PCI DSS, ISO 27001, SOC 2 e NIST CSF — exigindo evidência auditável e políticas que bloqueiem o que é crítico, não apenas relatórios.

Time de segurança enxuto

Uma operação pequena para centenas de projetos: qualquer solução precisava ser automatizada e internalizável pela própria engenharia, não dependente de esforço manual.

A abordagem

Scanners nativos do GitLab em escala

Habilitação de SAST, Dependency, Secret Detection, Container Scanning e DAST no pipeline, com templates reutilizáveis para cobrir o estate sem configuração projeto a projeto.

Framework de compliance com política ativa

Um framework de compliance customizado com scan diário e Scan Result Policy bloqueando severidades CRITICAL e HIGH — segurança como gate, não como aviso.

Remediação assistida em ondas

Duas grandes ondas de limpeza conduzidas junto ao time, priorizando por severidade e criticidade de projeto, com plano de fechamento pré-entrega.

Governança e shift-left

Proteção de branch, regras de aprovação de MR e CODEOWNERS institucionalizados, movendo a detecção para antes do merge — vulnerabilidade barrada antes de chegar à main.

Resultados

26.298Detectadas (únicas)

2,4× tudo que fora identificado nos meses anteriores, cobrindo SAST, dependências, segredos, containers e DAST.

7.362Resolvidas no projeto

8,9× o total de 827 resoluções acumuladas nos 8 meses anteriores à contratação — remediação ativa, em duas ondas.

+2.721%Secret Detection

De 196 para 5.530 detecções — credenciais expostas em código, antes praticamente invisíveis.

+6.720%Container Scanning

De 10 para 682 detecções em imagens, Dockerfiles e base layers — pilar novo em produção.

DASTHabilitado pela 1ª vez

Análise dinâmica ligada no ambiente pela primeira vez — marco de encerramento do escopo.

953 / ~1.900Projetos com scanners

Cobertura institucionalizada; 10 de 10 projetos criados nos últimos 30 dias já entraram cobertos.

970Branch protection

50,9% do estate com proteção de branch institucionalizada, com regras de aprovação e CODEOWNERS.

R$ 1,78 miEconomia estimada

Comparativo com × sem framework de compliance, pelo custo de severidade bloqueada antes de produção.

O que ficou

Visibilidade

De detecção esparsa a observabilidade ativa: cinco categorias de scan cobrindo o estate, com 2,4× mais vulnerabilidades únicas identificadas que todo o histórico anterior.

Remediação

Uma capacidade de resposta estabelecida — de 827 resoluções históricas para 7.362 durante o projeto, em duas ondas de limpeza assistida.

Pilares novos em produção

Secret Detection, Container Scanning e DAST — inexistentes no início — operacionais em escala ao fim do Quickstart.

Adoção pela engenharia

100% dos projetos novos entram com scanners por padrão: sinal de que a baseline de segurança foi internalizada, não imposta.

Base para a fase 2

Frentes de hardening já mapeadas — governança de branch e regras de aprovação no restante do estate — com escopo e templates prontos.

Identidade do cliente preservada por confidencialidade. Números auditados a partir do relatório de entrega do projeto.

Quer um resultado assim na sua engenharia?

Agende um diagnóstico gratuito de 30 minutos: mapeamos onde a segurança e a entrega travam — e por onde começar.