<?xml version="1.0" encoding="utf-8" standalone="yes"?><rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>Governança De Segurança on BR Defense Center</title><link>https://brdefense.center/tags/governan%C3%A7a-de-seguran%C3%A7a/</link><description>Recent content in Governança De Segurança on BR Defense Center</description><generator>Hugo</generator><language>pt-br</language><lastBuildDate>Tue, 07 Jul 2026 14:49:06 -0300</lastBuildDate><atom:link href="https://brdefense.center/tags/governan%C3%A7a-de-seguran%C3%A7a/index.xml" rel="self" type="application/rss+xml"/><item><title>Pipeline verde não é governado vulnerabilidades em CICD</title><link>https://brdefense.center/news/pipeline-verde-nao-e-governado-vulnerabilidades-em/</link><pubDate>Tue, 07 Jul 2026 14:49:06 -0300</pubDate><guid>https://brdefense.center/news/pipeline-verde-nao-e-governado-vulnerabilidades-em/</guid><description>&lt;p>Em junho de 2026, a Novee Security revelou uma nova classe de vulnerabilidades em pipelines de CI/CD, chamada Cordyceps, que afeta repositórios de alto impacto em ecossistemas como npm, PyPI, crates.io e Go. A pesquisa analisou cerca de 30.000 repositórios e identificou 654 vulnerabilidades, das quais mais de 300 eram totalmente exploráveis. O problema reside na forma como os workflows do GitHub Actions são configurados, permitindo que um atacante, com apenas uma conta gratuita do GitHub, execute código malicioso em contextos privilegiados. A vulnerabilidade se origina da interação entre workflows, onde um código aparentemente seguro pode ser manipulado para executar comandos não autorizados. Exemplos de exploração incluem o repositório Azure Sentinel da Microsoft, onde um simples comentário em um pull request permitiu o roubo de uma chave de aplicativo do GitHub, e o repositório do Google Cloud, onde um pull request poderia conceder acesso de proprietário a um projeto. A análise destaca a necessidade urgente de governança e revisão de segurança em pipelines, especialmente com o aumento da automação e do uso de ferramentas de IA, que podem replicar padrões inseguros em larga escala.&lt;/p></description></item></channel></rss>