Trilha AppSec v2 · foco em Application Security

24 semanas para se tornar o dev que entende segurança.

Plano para dev fullstack júnior, 10 horas por semana, com material principal em português quando disponível. A exploração continua presente, mas agora serve à revisão, ao design e à automação — não domina a trilha.

24semanas
10hcarga semanal
8módulos com checkpoint
1projeto final completo
Escopo e autorização: pratique em laboratórios, sistemas próprios ou ambientes com autorização explícita. Para qualquer sistema da empresa, obtenha aprovação e escopo por escrito. Esta trilha não substitui orientação jurídica.
0%Próxima: S01

O que mudou nesta versão

A versão anterior tinha uma boa progressão prática, mas concentrava AppSec organizacional nas últimas semanas e tratava o OWASP Top 10 como currículo principal. Esta versão usa o Top 10 como mapa de conscientização e combina ASVS, WSTG, SSDF, SAMM, revisão de código e automação.

Menos “faça todos os labs”

Cada semana define uma seleção realista. Tópicos grandes, como XSS e autenticação, não cabem integralmente em 10 horas.

AppSec desde o início

Relatório, requisitos, testes negativos, revisão de código e aplicação no próprio projeto aparecem ao longo de toda a trilha.

Bug bounty virou opcional

A prática aberta fica perto do final e não é tratada como fonte previsível de renda ou requisito para uma vaga.

Mais evidência profissional

Cada semana produz um artefato: teste, checklist, modelo de ameaça, regra, pipeline, relatório ou decisão de risco.

Inglês com progressão

Leia com tradução automática, mantenha glossário e volte ao texto original. Não espere “ficar bom em inglês” para começar.

Progresso funciona offline

As marcações são salvas em localStorage e podem ser exportadas como JSON.

Ritmo padrão de cada semana

Use a divisão como ponto de partida, não como regra rígida. Quando um tema travar, estenda a semana em vez de correr superficialmente.

2–3h

conceitos e leitura

3–4h

laboratórios

2–3h

seu próprio código

1h

entrega e retrospectiva

Trilha completa

Abra uma semana para ver conceitos, leituras essenciais e opcionais, laboratório, aplicação no seu código, entrega e critério de saída.

Cobertura do OWASP Top 10:2025

As categorias estão distribuídas pelo contexto técnico e de processo, em vez de obrigar uma categoria isolada por semana.

Rotina de inglês técnico

O objetivo não é estudar inglês separado da segurança, mas construir vocabulário enquanto usa fontes primárias.

15 minutos por sessão

Anote 3–5 termos recorrentes e uma frase de exemplo: sink, threat, tampering, claim, advisory, mitigation.

Tradução em duas etapas

Primeiro leia com tradução do navegador; depois releia títulos, código, tabelas e conclusões no original.

Não traduza comandos

Ferramentas, headers, nomes de vulnerabilidade e mensagens de erro devem permanecer em inglês no seu glossário.

Escrita gradual

Relatórios começam em português. A partir da semana 12, escreva também resumo e título em inglês.