260213 - Reunião GitLab 2

Bom dia, senhores.

>> Bom dia.

>> Bom dia.

>> Pedi só mais um minutinho pro restante

do pessoal entrar, que tá aqui com o

convidado.

e

o nosso arquiteto também que vai fazer a

apresentação do lado da Gitlab.

Ainda não, só entrar na sala.

Oi.

>> Ela tem, ela tem outro convite. É porque

ela entrou, ela assumiu depois que a

gente já tinha marcado coisa e tal. E

ontem à noite que eu lembrei, mas aí na

próxima eu aí ela ela eu chamo ela.

>> Bom dia. Bom dia, pessoal. Bom dia.

>> Bom dia, pessoal. Tudo bom?

>> Olá. Fala

aéreo.

>> Tudo bem, Léo? Beleza.

>> Tranquilo. E com vocês?

>> Bom demais, Léo. Tô com a internet meio

ruim, cara. Eh, se por acaso eu caí,

como é mais técnico, né? De qualquer

jeito, o Guilherme tá aí junto, né, com

vocês. Tá bom.

>> Tá bom.

Vou tentando acompanhar aqui, mas a

internet tá muito ruim.

>> Tô esperando o Pedro chegar também da

Guit para poder demonstrar.

>> Só mais uns minutinhos. Eu não sei se do

lado da UFMS tá todo mundo aí.

>> É isso que eu ia perguntar agora.

>> Tá bom. A espera mais uns minutinhos.

É o Penha. Quem que é? Quem que é o

Jefers?

>> É o Penha.

>> Chamar ele lá.

>> Não é o mesmo, né?

Foi nem meio.

Foi nem meio.

>> Bom dia.

>> Bom dia.

>> Bom dia.

Opá. Bom dia, pessoal.

>> Bom dia.

>> Bom dia. Bom dia.

>> Volta só mais uma pessoa, né? Espera. Tá

tranquilo.

>> Entra aí, pãozinho. Só falta você. Eu

>> pãozinho.

>> Quem é o pãozinho?

>> Pãozinho.

>> Seu pãozinho

>> é pãozinho do César.

Fala Pedu. Beleza.

Não.

Legal.

Bom, pessoal, acho que podemos começar,

né? Podemos.

>> Eh, bom, Gerson, obrigado. Acho que a

gente teve um contato, né, alguns dias

atrás.

>> Isso.

>> Eh, e a ideia aqui, pessoal, bom, eu e o

Pedro somos da própria Gitlab, né, do

fabricante. O Guilherme tá aqui

representando a Rive junto com o Hélio e

a ideia que são parceiros nossos aqui no

no Brasil, né? E eu sou responsável pelo

governo na parte comercial. Então, a

gente teve um primeiro contato com

Jefferson e com Egon, né, Jeferson?

Eh, apresentando um pouco do da nossa

solução. Vocês são são clientes aí da

versão community, né? E a ideia é

mostrar para vocês um pouquinho do nosso

licenciamento. Nós temos aqui a a versão

Ultimate, que é a mais completa, que ela

ela vai com toda as fitur de segurança,

eh, com com IA também, né? Então, a

ideia é apresentar para vocês o que pode

ter de melhor, né, no ambiente de vocês

e para vocês avaliarem se faz sentido,

né, essa essa evolução, esse

crescimento. E a ideia que é ser bem um

bate-papo bem dinâmico também. Então,

vocês podem interromper, o Pedro vai

fazer uma uma apresentação mais técnica

e eu acho que é interessante é ficar bem

bem dinâmico mesmo. Podem ir tirando

dúvidas e espero que vocês gostem, né?

Não é isso, Pedro?

>> É isso aí.

Mais algum cumplimento, Léo?

>> Não, não, pode ficar à vontade. Eu não

sei se o Jefferson quer falar alguma

coisa, quer

>> perfeito.

>> Comentar, já que a gente teve, imagina.

>> Tá tranquilo. Tem na próxima reunião que

a gente for fazer, nós vamos acrescentar

mais uma pessoa que é a professora

Mariana, que assumiu a diretoria de IA.

Eh,

como ela assumiu depois daquela daquela

nossa conversa, né, a gente acabou

esquecendo dela e hoje de manhã ainda

conversei com o Egon, eu convidei ela,

só que ela já tinha compromisso, ela não

pode participar, mas aí tá tá o Anderson

e a equipe dele, né, que é o pessoal do

dev, o Juliano tem o pé na infra hoje,

hoje ele é o pai do Não, você ainda é

não transferiu para mim ainda é seu do

Cubern. Tem o Jackson também que é que

tá na na equipe da CI e tá toda da

equipe assim, pessoal, pessoal de infra,

o pessoal de segurança,

né, para que eu gostei muito e aí o bom

como não pode tá também tinha outro

compromisso hoje, aí falou não, toca lá,

né, e vamos depois nós vamos ver como é

que nós vamos fazer para pagar essa

conta. Mas vamos vamos primeiro encantar

todo mundo, né? Vender o peixe e como

pagar e depois a gente resolve.

>> Isso é a parte mais fácil, não tem

problema.

>> Espero que seja proveitoso e que vocês

não esqueçam aí, né, eh, depois do

carnaval, de tudo que a gente comentar,

mas se for preciso, a gente faz de novo,

tá?

Seria legal se vocês pudessem gravar,

colocar para gravar para depois a gente

capturar telas, mandar, compartilhar com

fazer um documento.

>> Claro. Eh, quem acho que é o

organizador, não sei se é o Hélio.

>> É o Hélio.

>> O Gui, vê se você consegue gravar aí.

Não, não tô conseguindo. É só você

mesmo. Acabei de ver aqui.

Tem que mudar o

>> É, acho que tem como mudar o o role de

alguém, né? Para

>> Não, eu botei você. Eu botei você, cara.

Eu botei você porque minha internet tá

ruim.

>> Aham. Isso

>> eu não sei se se tiver problema com a

com a internet ele vai parar de gravar.

Acho que não, né?

>> Porque ele fica no servidor.

>> É, vamos ver. Vamos, vamos tocando aí.

>> Vamos lá. Beleza, pessoal.

>> Boa. Antes da gente começar, né, o

Jeferson comentou, né, hoje a gente tem

pessoal de Infrac.

Eh, eu queria saber um pouquinho mais

quem são essas pessoas, né? Quem tá mais

responsável por infra, quem está mais

por sex, comentou o Juliano ali, mais a

parte de cabets, né? Se puderem só

explicar um pouquinho mais, se possível.

Começa você, Anderson. Sua equipe tá

da área de dev, então eu tô diretor de

software.

>> Uhum.

>> E comigo tá o Juliano. Juliano e o

Juvenal. Então,

>> também é um pouco aí debotes.

Juliano.

>> Uhum. tem mexido mais com comernetes,

mas

na área de débit

>> Uhum.

>> E o Juvenal também é é de Devops

e E acho que é isso.

>> Legal.

Aí aqui da nossa equipe, a gente tem o

pessoal da infra que é o o Silon, né,

que que cuida dos dos da infra da da

Nutanic, do Hyperv, da do Proximox,

>> tem o Jackson, que é da parte de Fel,

mas também manja também manja do

Cubernets, também manja do do Gitlab,

usa muito, ensina muito a gente, dá

muita aula pra gente. Aqui tem o Pedro

que trabalha aqui também no na parte de

de devops doer. A gente tem o vamos

começar agora a questão do dos

treinamentos de de cubernetes e

>> Uhum. ampliar mais o Gregório também que

veio, ele é antigão na UFMS, mas eh na

aqui agora, nessa versão nova, ele

voltou agora para cá e

>> a gente vai vai alocar ele na nesse time

de devots também.

>> Aí tem o pessoal da segurança que é o

Eduardo,

o Kelv e o Rafael Penha, né? São os do

time de segurança,

>> né? que que já trabalha um pouco com

isso daí.

>> Perfeito.

>> Ah, e o Rodrigo, que é o antigo chefe do

setor, né, que agora ele volta, volta

pro time, mas ele foi para pras

fileiras, né?

>> Uhum.

>> Ele não tava lá o convite para ele, mas

ele já entrou e tá e ele, o Juliano, os

J, os três J, né? O Juliano, Juvenal e o

Jackson.

>> O Rodrigo sabem tudo lá do do bit lado.

>> Legal. Ah, o Rodrigo então ele não é de

se é isso. Ele é

>> ele é de tudo.

>> Ah, de tudo. Legal. Top.

Perfeito. Perfeito. Ótimo.

>> Ah, vocês estão pondo fé demais em mim,

viu?

Isso não é bom não.

>> Fechado. Não, legal. Essa pergunta

>> como que é a zoeira de ontem. Eu faço

uma coisa por vez só.

>> A gente já sabe para quem direciona as

perguntas então aqui, né?

>> Não, não, não.

>> Foi só uma zoeira ontem só e e chega já.

>> Ah, legal. Só para poder conhecer um

pouquinho melhor.

E hoje do ambiente que vocês usam, né, o

Léo comentou, vocês utilizam a versão

community, né, do Gitlab. Algumas

pessoas aí já t, pelo que você comentou,

já tem experiência aí e bastante

experiência em GitLab, em algumas áreas,

né? E parte de pipeline, de esteira,

vocês usam alguma ferramenta, usam o

próprio Gitlab para se também? Como que

hoje vocês fazem isso?

a gente usa

>> Uhum.

Tá, deixa eu só aqui,

beleza? E no restante do ciclo

desenvolvimento, quando a gente fala de

planejamento de projeto, parte de

segurança, hoje com planejamento de

projeto, que eu digo assim, criação de

eixos, né, tarefas pros debs, na gitlab

como edition você tem, né, uma feature

um pouco mais básica, mas tem de

gerenciamento. Vocês utilizam essa

própria feature da Gitlab mesmo,

utilizam uma ferramenta apartada, um

gira click.

Você

vai fazer uma criança feliz.

A gente tá usando o Redm e também o

pessoal que usa o project. A gente até

deu uma analisada, mas o que tem na

versão ali, talvez até atenderia a

gente, mas como tem toda a gestão de

portfólio, de projeto, as coisas mais

específicas, a gente

>> acaba usando o Mine

>> legal. Qual que é o outro que você

falou? Desculpa, é Open Open Project.

>> Open Project também.

Tá perfeito.

>> Acho pessoal da infra tá usando openo.

>> Ah, legal.

Parte de sec, né? Hoje vocês utilizam

algo relacionado a segurança, parte de

SAS, né? Análise de código fonte com

sonar cube ou alguma coisa do tipo

ou hoje não tem essa parte de SEC?

Sonar.

Tem alguma coisa de segurança que o K

iniciou lá? Acho que o Juliano também.

tava tava vendo algumas coisas paraa

análise de das

vulnerabilidade

das dependências.

>> Uhum.

>> A gente

e a gente tinha iniciado usar a

ferramenta o para mandar esses dados lá.

Beleza. Kévio também quiser falar alguma

coisa que aí

chegar essa parte de ele tava do nosso

lado aqui.

>> Fica tranquilo.

>> A gente tá começando a usar o

SART agora nas pipelines.

>> Uhum.

>> E a gente para componente de terceiros a

gente usa o dependency track,

>> tá?

E a gente vai come tá começando a usar

também na pipeline e secret scan.

>> Ah, perfeito. Eh, desculpa, qual que é o

nome da da ferramenta? Ah, dependence

tracker, né? Você falou

>> dependence track.

>> Tá legal. Vocês vão ver que muito que eu

tô perguntando aqui é porque a gente

como como gitlab comum um todo, a gente

entrega todas as partes, né? A KitLab é

uma plataforma de device ops. Então

quando a gente sai do community, começa

aí por Prim Ultimate,

muito dessas questões hoje que vocês

utilizam com outras ferramentas, caso

faça sentido, a GitLab consolida, tá?

Então eu vou mostrar para vocês o que

que a gente tem e o que que pode ser

consolidado aí e trago como algo nativo.

Ã, e o que você tá usando também o ciclo

de detection, né? O ciclo de scan, você

comentou, né? pipes.

>> A gente tá começando a usar o

gitliaks.

>> Ah, perfeito.

Ótimo. Beleza. Tem mais alguma

informação que vocês acham importante,

compartilhar do ambiente de vocês?

Podemos começar aqui a apresentação do

lado do Gitlab.

Alguma dor específica?

São outras dores aí.

>> Então, fechou. Qualquer coisa é igual

falou, é um bate-papo, tá? Podem me

interromper a hora que for necessário.

Então, eu vou passar um único slide aqui

rápido, só para dar um overview do

GitLab como um todo e depois eu vou

abrir a própria ferramenta pra gente

poder dar uma navegada, tá bom?

Então acho que vocês estão vendo minha

tela. Deixa eu só mudar aqui para eu

poder ver a câmera de vocês no outro

monitor.

Deixa eu abrir aqui.

Vocês estão vendo, né?

>> Beleza.

>> Perfeito. Nesse slide aqui, né? O único

slide que eu pretendo mostrar pra gente

poder não ficar em PPT.

Ele traz o fluxo inteiro da GitLab eh de

ponta a ponta, tá? Então aqui a gente

tem a plataforma de SECOPS que eu

comentei com vocês. A GitLab ela não se

porta como uma ferramenta, assim como

uma plataforma que é uma caixa de

ferramentas, né? Um conjunto de

ferramentas, tá? E aqui a gente vem

desde o plan create do projeto até a

parte de deploy. Então todo o ciclo do

desenvolvimento de software onde vai,

por isso que eu perguntei para vocês a

parte de gerenciamento de projeto, né? a

parte de repositórios ali vocês já

utilizavam no já utiliza no community, a

parte pipelines também questionei,

porque tudo isso que faz parte do ciclo

desenvolvimento software, geralmente

a gente possui no mercado em eh

ferramentas específicas para cada ponto,

né, para cada módulo. Às vezes uma

ferramenta para gerenciamento, outra

para repositório, outra para pipeline,

outra para segurança, outra para

procedir em si, né? uma só para e outra

só para procedir, só para entrega do

software. E a Gitlab ela traz isso tudo

numa caixa só, tá? Então aqui na

esquerda a gente já inicia com a parte

de planejamento.

Dentro da GitLB, a gente tem a parte

épicos, milestones, issues. Eh, o

Anderson comentou que hoje vocês

utilizam headmine, né? E eu acho que tem

alguns projetos, portfólios ali criados

bem específicos do Redmine, que vocês

daram uma analisada na Gitlab ali,

talvez não enxergaram um fit tão grande

ali para poder fazer aquele move, né?

Hoje depois o Léo pode até me

complementar, né? A gente tá em contato

com com o cliente com o mesmo cenário,

tá? Eles têm o Redmind e eles já estão

fazendo a migração eh dos mesmos

conceitos. Obviamente não é um 100%, né?

Mas utilizando o que a gente tem de

épicos, milestones e coisas do tipo para

transferir do Redmine para cá. Então é

possível, tá? é só a questão de da gente

entender realmente o que tá feito e como

a gente passa para cá, mas também nada

obrigatório, só para vocês saberem que a

gente possui a parte de gerenciamento de

projeto dentro da própria GitLab. E essa

integração nativa, depois no final eu

vou mostrar para vocês que faz uma

diferença absurda no uso da AI, tá?

Porque aí ela vai ter mais contexto de

tudo que você tá fazendo. Hoje quando

você utiliza um Rine, por exemplo, a não

ser que o Redmine disponibilize o MCP

Server, eu acredito que eles não possuem

hoje, a IA não consegue acessar as

informações do do Redmine, a não ser que

você tire um print, um copy paste ou

algo do tipo, tá? Mas então, esse aqui

seria o primeiro módulo, gerenciamento

de projeto dentro da Gate Lab. Depois

que a gente já seguindo aqui a parte de

issos, a gente vem pro que a gente chama

de marge request. Isso aqui, acredito

que vocês já estão acostumados com esse

termo, mas só explicando também, para

quem talvez não esteja, o March Request

é o mesmo P request das outras

ferramentas, né, do Bitbook, Tit Hub. A

diferença é que o P request geralmente é

feito no final. Você pega sua branch,

master, clona, cria seu novo código, seu

bug fix, seja o que for, e por último

você vai lá e faz o p request, certo?

Mas o merge de request da gitlab

geralmente é o primeiro. Como assim o

primeiro? Você clona a brand,

criou a sua brand nova, você já cria o

March request antes do seu primeiro

código. Por que que você faria isso? No

community pode ser que ele não tenha

tanta diferença por ter menos

ferramentas, tá? Mas quando a gente vai

pro premium e Ultimate, ele já faz uma

diferença absurda você criar ele desde o

início, porque desde o seu primeiro

commit a gente sobe essa essa linha, né,

para dentro do merge request. E aqui a

gente começa a vir para as ferramentas,

como por exemplo de ciclo de detection e

realtime sust, tá? Então

eh é o Kelvin, né, tinha comentado que

vocês estão iniciando o uso lá do do

gitaks na parte secret detection nas

pipelines. Por exemplo, a gente tem a

parte do secret detection diretamente na

IDE, então ele impede um push ali de um

tokenou, algo do tipo para branch

remoto, tá? Na própria ideia também o

real time sastand

código fonte de vulnerabilidades, né?

Igual o sonar cubo que vocês utilizam

hoje também diretamente na IDE. Então

você já tem esse filtro ali na IDE. E

quando você sobe isso lá para brin

remoto, você começa a rodar os ces

automatizados e a parte CD. Então CD

hoje vocês já utilizam na Gitlab, pelo

que vocês me comentaram, né? No premium

Ultimate você vai ter mais

funcionalidades para poder utilizar,

ambientes protegidos, mais

possibilidades ali de paralelização

também.

E no mesmo pipeline CD vocês possuem a a

opção na versão Ultimate de ter acesso a

scans de seguranças nativa da Gitlab.

Então a gente já teve o CR detection SAS

lá na IDE, né? Mas tava lá na IDE, tava

localmente na máquina da pessoa. Agora

que a gente subiu por brint remota e tá

rodando o nosso pipeline, que é muito

parecido com o que vocês já estão

fazendo, integrando ferramentas

externas, né, no pipeline. Nesse caso, a

Gitlab traria nativo para vocês. Isso já

vocês colocariam a parte do SAS, o CC

detection, o SCA, que é o dependência

scan, né? Mais o SBom, que traz uma

lista de dependência, scan container,

componente de licença e outros, tá? que

não tem todos os escâ.

Mas isso, por que que isso é importante?

Toda troca de contexto a Gitlab entende

como uma perca de produtividade, tá?

Então, a partir do momento que você tá

rodando um scan de segurança, por

exemplo, seu arquivo integrado com a

parte de CD do pipeline da Gitlab, pode

funcionar, mas quando você quer saber o

resultado desse desse scan arquivo, você

tem que necessariamente,

entre aspas, fechar a parte da GitLab,

abrir o seu arquivo ver o resultado e

depois voltar pra Gitlab para poder

resolver isso. E essa troca de contexto

é algo que a Gitlab quebra em todas

essas ferramentas, porque é o feedback

em tempo real, tá? assim que achou as

vulnerabilidades, ele já apita, ele já

bloqueia o merge request, não deixa o D

avançar, se caso for algo crítico, por

exemplo, solicita aprovação de alguém.

Tudo isso eu vou mostrar na ferramenta,

tá? Até aqui tranquilo? Alguma dúvida?

Muito rápido. Tô tentando ser um pouco

mais superficial pra gente poder ir logo

paraa ferramentas aí do dos slides, tá?

Tranquilo.

Tudo certo,

>> fechado.

A gente tem a parte do colaboration

review, então a parte revisão de código,

né? Hoje vocês têm a prática de fazer

revisão de código no sentido de um deve

criar o código e aí um outro deve ali

vir revisar, fazer essa essa essa

curadoria.

Vocês fazem algo do tipo?

>> Depende do time.

>> Depende do time.

>> Não, legal, porque isso hoje para vocês

lá vocês possuem a opção no community já

do review manual, né? review humano, que

é uma pessoa entrar e proativamente

revisar e dar um approve ou não. Mas aí

quando a gente vai para as versões mais

avançadas, a gente tem um review com IA

também, tá? Então, esses times, por

exemplo, que não tm a cultura de fazer o

code review, eh, meio que não, não

precisam realmente criar essa cultura,

porque a IA entra automaticamente, faz a

revisão e aí o dev já tem em tempo real

ali o que que ele pode melhorar ou se já

tá tudo OK para ele poder progredir, tá?

Então você define as suas regras de de

revisão, de requerimento, de qualidade

de código e tudo isso.

Fizemos aqui a parte da do CD. Então

aqui a gente tem outros scanners como

DASH, PS Kirt. Entendo que hoje das

vocês não possuem, né? O DAS é o scan

que ele roda não código, mas na

aplicação já exposta, né? Eles simulam

um hackerzinho lá para tentar derrubar a

aplicação.

Hoje vocês possuem algo de de Dash,

Anderson, Juliano, Kelvin,

>> eu já testei o OASP Zap.

Ah,

>> mas ele não tá na pipeline.

>> Entendi.

Não, perfeito. Aqui ele já estaria

integrado nativamente na pipeline, tá? E

a parte de IPI security também para IPI

em específicos. Mas beleza, aí aprovamos

tudo, fizemos o merge, release criada e

deploy feito. Então, todo o fluxo aqui

da GitLab é criação do projeto ou

gerenciamento de um projeto já existente

até o deploy desse projeto, tá? Tá? seja

em produção, homologção, deve aí aí aí

tem um mundo de informações, né? E aqui

no meio disso tem muito mais outros

detalhes, né? Então a parte de registre,

só que não dá pra gente comentar

sobretudo numa única call, então eu vou

focando no que fizer mais sentido para

vocês, tá? Deixa eu abrir aqui para

vocês a o meu grupo. Pera aí que eu tô

no

Vocês estão vendo o meu navegador, né?

Beleza, eu tô aqui no meu grupo

Ultimate, tá? Que é a versão mais alta

da Gitlab, tá? Tem alguns repositórios e

projetos aqui no aqui dentro. E uma das

primeiras coisas que eu gosto de mostrar

muito é a parte de segurança, tá? Eu

vejo que aqui o o Kelvin respondeu

bastante das suas de segurança aqui, né?

E vejo que vocês estão bem proativos na

procura de de scanners, né? O DAS, mesmo

que não tá no pipeline, o Kvic, comutor

que já testou SAS C detection. Então,

acho legal focar na parte de segurança

hoje também, um dos tópicos, tá? Mas se

caso, Pedro, eu quero ver um pouquinho

sobre tal assunto, me interrompa que a

gente vai para pro outro assunto, tá?

O que eu go gostaria de mostrar aqui

primeiro é o compliance center, tá? O

compliance center, só para explicar para

vocês, é um pouco diferente. É um pouco

diferente, não, né? É, é diferente, tá?

Mas é complementar aos scanos de

segurança de código. Então os escan de

segurança de código, SASH, DASH,

dependência scanning, como o próprio

nome dele diz, ele vai no código para

poder fazer aquela análise. Já isso

daqui que eu tô mostrando, compin

center, ele é uma análise de segurança

do repositório como um todo, que é onde

o código está armazenado, tá? Por que

que isso é importante? Hoje acredito que

vocês tenham aí só internas, por

exemplo, que precisam ser seguidas ou

algo do tipo, né? Então a parte de inist

frameworks de compliance, né? Alguém

aqui na qual não sei se seria contigo

que é óbvio também, mas saberia dizer se

hoje vocês seguem isso de alguma forma,

tem algum controle dessas normativas

hoje internamente aí nos projetos?

>> Hoje a gente é obrigado a seguir os seis

contros.

>> Ah, legal. Uhum.

E hoje como vocês fazem esse controle?

Você sabem me dizer?

Geralmente é manual, tem uma ferramenta

>> bem manual.

>> Ah, entendi. Uhum. Qual que é o objetivo

do Comp, tá? É transformar esse bem

manual, que realmente é bem comum, tá?

Isso não é uma especificidade de vocês

em si. A gente tem empresas gigantes aí

que fazem manualmente ou então confiam

que estão que está OK, né? Quando tem

muitos repositórios. Eh, como que

funciona isso daqui? Você cria aqui um

novo framework. Você pode criar em

branco ou importar um já existente, tá?

Então a gente tem uma lista aqui de

alguns templates já pronto que você pode

reutilizar. Você comentou que é é o sis,

né, Kelvin? Eu não sei se é esse

específico aqui, mas se não for se não

for essa versão, você pode também

customizar, tá?

Beleza? Se você dá um create blank

framework aqui, você pode colocar um

nome para ele, uma descrição, uma cor e

os requerimentos. Aqui nos

requerimentos, vamos supor que você não

tem um template lá parecido com o que

vocês seguem, né? E você quer fazer do

zero, não tem problema nenhum. Você pode

colocar aqui o requerimento 1.1, por

exemplo, uma descrição e quais controles

que ele vai ver no seu repositório. De

novo, ele não é uma análise de código,

ele é uma análise de repositório, tá? De

projeto como um todo. Então aqui ele vai

falar pro requerimento um estar em

conformidade, quais controles precisam

estar OK? Aí eu coloco, ó, pelo menos

duas aprovações precisam estar setadas

como defundo esse repositório. Então eu

só aceito se os merg quest tiverem duas

aprovações ali no mínimo antes de de ser

mergeadas.

Outro controle que eu quero, a branch

delion tem que tá desabilitado. Não

quero que ninguém delete branks aqui no

nesse projeto. Quando eu crio esse

requerimento, eu tô dizendo que o

requerimento 1.1 aqui eu coloquei uma

descrição aleatória, só vai estar OK se

esses dois controles estiverem OK, tá?

Aqui eu tô criando do zero na mão para

casos bem específicos e customizados,

mas como eu mostrei, a gente tem

templates para para vários já criado.

Então ISO 27001, NIST, SOC 2, PCI, que é

a parte mais de cartão de crédito. E aí,

por exemplo, se eu venho aqui em status,

eu consigo ver aqui é do PCI mesmo, que

ele já tá aqui o meu Java demo um

controle de um falho do requerimento 1.

8.6.

Ele fala aqui, esse description é a

parte de de senhas e tal, precisa ser,

não pode ter scripts hardcoded e para

isso eu preciso ter o meu circu

detection rodando, tá? Então aqui hoje

você que o K comentou que vocês estão

utilizando ali testando com gitaks, a

Gitlab teria o ciclo detection próprio

aqui que você colocaria para rodar de

forma nativa, sem precisar integrar com

nada externo na pipeline, tá?

E aí ele te traz a documentação de como

você habilita isso. Então o objetivo

desse cara aqui não é bloquear, ele não

vai travar os repositórios porque isso

daqui não tá com conformidade. Ele é

informativo. Ele vai trazer a informação

de que não tá em conformidade. Você

consegue exportar esses relatórios para

facilitar, né, no final do dia e fica

muito mais fácil de você saber

exatamente quais projetos não estão,

quais controles estão pendentes e como

ativar esses controles que estão

pendentes. você deixa de fazer o bem

manual, né, igual vocês comentaram, para

algo bem automatizado, que é basicamente

você falar, pô, esse PCI aqui que hoje

tá seguindo Java Demo, vai mais 10

projetos seguir o mesmo PCI. Você

adiciona ele nos projetos,

tá? E aí 10 minutos depois ali, 5

minutos depois que você adicionou, ele

já termina o scan em todos os projetos e

você já consegue ver o status um por um

do que que falta para você tá em

conformidade. Aí você tem os filtros

para agrupar por projeto, framework,

requerimento e assim por diante. Faz

sentido isso que eu tô mostrando para

vocês aqui? É algo fora?

>> Faz, faz sentido.

>> Legal. Eh, eu tô, eu tô gostando

bastante, mas eh por enquanto você tá só

na parte do dev, então só o

>> É, sim, sim. Uhum.

>> eu, por exemplo, eu tô eu tô aguardando

aquelas aquelas funidades mais de infra

que é o da minha equipe, né? Mas eu

entendo

>> equipe tem que ser o grupo todo, não é

só só um. Sim, sim, sim. No no quando

você fala de infra, Jefferson, o que que

você que você quer quer dizer assim no

sentido da parte de de DevOps, da parte

CSDI?

>> Exatamente. A parte de monitoramento às

vezes acontece um incidente

>> e fica analisando os logs, né? Então

aquela parte de relatório de logs lá que

o

>> que o Leonardo tinha mostrado para nós.

>> Uhum.

Legal. Perfeito. Aqui eu tô dentro do

meu projeto, tá? o o Java demo aqui.

Aqui quando eu clico no meu IML, esse

GitLab C, eu tenho aqui a parte do CD.

Então hoje vocês comentaram que vocês já

utilizam o CSD da GitLab, né? Eh, não

sei se em todos os projetos, mas isso

aqui é um exemplo simples de um de um de

um pipeline onde já tem uns stage build,

test, deploy. Deixa eu só mudar a branch

aqui

para poder pegar uma branch um pouco

mais completinha.

Aqui

já nessa nessas linhas dos includes.

Isso daqui eu tenho cinco scanners de

segurança já integrados aqui nativamente

com o meu pipeline, tá? com a parte CS

de devols. Isso daqui facilmente poderia

ser a duas, a três integrações de

ferramentas externas diferentes e a

gente transforma em zero integrações

para cinco importes de templates de

segurança e todos eles os scanners

separados onde você consegue definir

profundidade e touda via variável, né?

Customizar esses templates, tá?

Aqui eh já eu começo a criar uma parte

um pouco mais exposta aqui de demo, né?

um um uma exposição de um de um load

balancer ali no gor

a minha aplicação. E eu uso um carinha

quando eu faço build, né? Euo meu

contêiner aqui, faço o scanner desse

contêiner de segurança para ver se tá

OK, se tem alguma vulnerabilidade nele

ou não, porque tem o container scan aqui

na própria gitlab e cria o que a gente

chama de review app. O review app é algo

bem legal, que ele é um deploy efêmero.

Então ele pega a aplicação, ele joga na

infra de forma temporária, então no seu

cluster cbnets, por exemplo, tá? Cria um

name space lá,

você testa, vai ter um botãozinho de

play que você vai abrir lá a URL

exposta, por isso que eu tava criando o

load balancer aqui, né? Para poder criar

um external IP.

E no final do teste, testei tudo OK,

você dá um stop review, ele chama o job

de baixo. E o job de baixo, o que que

ele vai fazer? dele só vai deletar o

name space como um todo do do Kubernet e

vai apagar a minha aplicação toda ali

que eu criei temporária. Então, review

appes mais rápido durante a parte do

pipeline, já direto na infra, a infra

mais próxima possível de produção, no

caso aqui que a gente fala que seria

audio homolog, né? Então você já joga na

na intermediária ali de homologação,

review app, testa e e apaga.

E no final do dia você tem esse

monitoramento aqui diretamente no

pipeline, tá?

Tá aqui alguma dúvida?

Só

>> fiquei curioso para saber qual que era o

registry aí o próprio Gitlab, no caso.

>> Ah, sim, o próprio Gitlab ele tem

registro, tá? Ele tem um container

regist, então ele tem container regist,

ele tem package register, ele tem o

terraform modules registry. Então não

sei se vocês utilizam muito terraform

hoje, Jefferson e Jackson na parte de

infra, mas a gente tem a parte de

módulos de terraform também para

gerenciamento disso, states de

terraform, tá? Então é bem completo,

aquilo que eu falei, naquele slide a

gente mostra um superficial, né, que

tem, mas tem muito mais coisa, tá?

>> E a partir de MCP, Pedro

>> Uhumis que a gente não tem nada a

>> Uhum.

Isso

>> sim, a GitLab, ela tem um MCP Server que

ela expõe para poder outros agentes e

outras consumirem,

>> mas o próprio Gitlab DU, ele consome o

MCP interno da GitLab, onde você

consegue fazer qualquer coisa dentro da

GitLab com a própria EI da GitLab, tá?

Aí quando eu chegar na parte da EI aqui,

você vai ver que eu posso perguntar

sobre o planejamento, ela vai saber me

responder. Posso perguntar sobre

pipeline, ela vai saber me ajudar a

criar meu pipeline e resolver e fazer

trouble shoot do meu CSG.

Não, não viu, mano. Tô tentando.

Cadê o povo do nobreake? Agora tem que

arrumar o nobreak que aguenta a pancada.

Oi

>> não, até o o meu meu 4G, meu 5G aqui

oscilou agora.

>> 5G não tá

>> não entrou. Demorou para caramba.

me livrar

vendo mais

pegou uma fonte velha

reiniciar lá, hein?

Prova o meu, hein?

>> É só

que dorm o qu, rapaz?

Dorm

o Lab é full offs, cara. Lev só dormir.

Acho que todos de volta aí.

Beleza.

>> Não sei se tá dando microfonin para todo

mundo.

Acho que acho que o Giliano tá dando

retorno.

>> Ah, fica tranquilo.

>> Microfone.

>> Acho que agora já tá todo mundo aqui.

>> É, acho que agora voltou e já todo

mundo.

>> Não, legal. Só recapitulando para quem

caiu, né, eu tava falando com o Juliano

aqui da parte de registro, tá? Então ele

tinha perguntado aqui a questão do que

que a Gitlab tem como registry. Então a

gente tem a parte de container registry,

package registry, a parte de model para

machine learning também e modelos de de

machine learning, terraform modules

paraa parte de infra, tá? Como código,

terraform states. E aí o Juliana

comentou da parte do Nexus, né, que hoje

eles usam lá a parte do pack de

registry, por exemplo, para poder salvar

pacotes Maven,

eh, npm e outras linguagens. A gente

também tem isso, tá? Aí o que eu tava

mostrando aqui, a gente tem um package

registry e o nosso package registry

também é universal, tá? Então a gente

tem pro Maven, node Python também tem um

genérico. Então assim, ah, uma linguagem

muito fora do comum, a gente tem o

genérico também que aceita qualquer tipo

de de pacote eh ali dentro, tá? E tudo

isso é nativo. Então o legal é que do

lado de infra falando um pouquinho aqui,

óbvio que assim tudo que a gente fala

aqui vai envolver, né, dev, infra, sec,

tudo na mesma caixa, porque é o papel do

gitlab, mas o lado infra dizendo, quando

eu jogo isso daqui, tá vendo que eu tô

criando aqui, deixa eu pegar o meu

build, quando eu tô criando o meu

contêiner,

para eu poder fazer o o deploy dele, o

upload dele dentro do meu registro, é

muito mais fácil do que fosse num

registro externo, porque eu consigo

fazer, cadê o meu minha minha brint

aqui, cara? Perdi minha brintã

aqui, porque você consegue utilizar o

que a gente chama do C job token, né?

Então, um token que é criado pelo

própria pela própria instância ali do

pipeline, pel aquele running que ele tá

fazendo, você cria um token. Então aqui,

por exemplo, eu tô criando e já passando

a o C registre image, o commit sh daqui

e tudo isso já tá sendo autenticado pelo

próprio pipeline, tá? E aí, por isso que

eu já tô jogando dentro do meu registro

aqui. Então eu não preciso expor

credencial, não preciso usar Vult, não

preciso usar variável eh CSG, nada do

tipo, porque isso já fica nativo aqui e

o pipeline tem acesso ao próprio

registro do projeto, tá? Então isso fica

bem mais instantâneo, digamos assim.

Juliana, eu respondi sua dúvida sobre o

registro?

>> Eu sim, obrigado. Tá

>> nada.

Beleza? E de novo, pessoal, vai me

interrompendo e perguntando sobre o

assunto que faz mais sentido para vocês,

porque aquilo que o que o J comentou,

tem um pouquinho de cada área aqui,

então a gente vai falando um pouquinho

de cada. Então eu falei um pouco de SEC

ali da parte compliance center, né, que

hoje é um algo bem manual ali para

controle da do SIS, né, que vocês

comentaram. E a gente pode fazer isso de

forma bem automatizada ali com o

compliance center. Os scan de segurança

hoje vocês estão testando ali utilizando

de ferramentas externas, gitonar cube,

eh, o dependência tracker e tudo isso a

gente tem nativamente como templates

aqui para serem importados no próprio

pipeline CSD e serem utilizados de forma

nativa, tá? Como funcionam os resultados

disso? Quando a gente abre o Marg

request aqui, que é o nosso, né, o

centralizador das informações que eu

cometei com vocês, você tem aqui eh já

um resumo de segurança. Então, por

exemplo, uma política travando e

falando, ó, o seu o seu código só vai

adiante se uma pessoa específica quer

aprovar, no caso, sou eu mesmo, eu

coloquei como aprovador, mas seria um

time de SEC, por exemplo, quantas

vulnerabilidades novas foram

encontradas. Isso daqui é um dos grandes

diferenciais do ser nativo, tá? do ser

junto com a Gitlab, porque isso daqui é

algo de sec, é algo de SEC, mas é algo

que o pessoal de dev tem uma visão

instantânea comparado quando você fala

com ferramentas externas e a troca de

contas que eu comentei anteriormente,

tá? Então o dev, ele subiu, ele já

consegue ver o que que tem de

vulnerabilidade no código dele e o que

que ele tem que corrigir. Pode falar,

Jackson.

>> Ah, eh, essa parte de scan de

vulnerabilidade são feitas nas imagens

também.

Isso na

>> dos contêiners, né, no caso,

>> isso no job separado, né? Então eles são

jobs separados, contêiners separados. E

aí, por exemplo, se você tá usando a

gitlab, falando um pouquinho mais de

infra agora, tá? Também a gitlab a gente

tem a parte de runners, né? Então você

pode executar o seu job, o seu contêiner

e dentro de um de um runner kit lab, que

é um runner e compartilhado, digamos

assim, ou no seu próprio, né? seja numa

nuvem, na WS, no GCP, ou seja um

premsey. Então você consegue instalar

esse runner onde você quiser e escolher

onde você vai rodar esse job. Então no

mesmo pipeline você pode ter o job de

segurança rodando na máquina X YZ e os

jobs de build de contêiner rodando na

numa máquina um premis, por exemplo. Aí

é o que o que fizer mais sentido

estrategicamente falando no lado de

infra performance, isolamento e coisa do

tipo, tá?

>> Respondi a sua dúvida, Jackson.

É, não é porque eu gosto de usar, por

exemplo, ferramenta triv para verificar

CVS de contêiner, sabe?

>> Perfeito.

Isso é ele ele roda diretamente aqui o

pro container scan em específico. Você

coloca aqui, ó, o caminho, deixa eu

abrir aqui para você, do registre, tá?

Por exemplo, vamos supor que vocês não

estejam utilizando o registro da Gitlab,

sem problema. Você pode só apontar para

onde está o contêiner que você quer

fazer a parte do contêiner scanning, que

é o que o Triv faria, tá? Então ele já

roda para cá. Tá vendo que eu tô

passando a variável CS image, que é o o

registry image, o caminho mais o commit

ah, que é o a tag que eu coloquei para

ele. Eu tô falando que ele precisa do

build job, ou seja, ele só vai rodar o

container scan depois que o build job

acontecer, que é o build que vai gerar o

contêiner para mim, tá?

E aqui como resultado disso de

segurança, onde que eu roda esse contain

scanning? Quando você abre o merge

request aqui, você tem centralizado,

como eu tava comentando, o pipeline. Ele

tá com warning aqui, com aviso, mas não

é erro, né? Ele passou o teste com

alguns warns. Ele tá com a política de

aprovação de segurança travada porque

encontrou vulnerabilidades, 13 novas

aqui.

E se eu clico aqui no pipeline, eu vejo

detalhamento sobre os jobs. Então aqui

nesses pipeline específico, ele só rodou

eh scanner de segurança, tá? Aí não

rodou build nem nada do tipo. Nesse

pipeline específico. O contêiner scan em

específico. Eu tinha dado um pause nele,

eu cancelei ele que eu queria que o

resultado viesse ser rápido. Então ele

tá pausado aqui, mas eu posso abrir

outro outro outro merge. Mas aqui eu tô

rodando o quê? O SAT para infra como

código que é o scanner de código fonte

mas para terraformable e helm sharts.

Não sei se vocês utilizam hoje realm

shart em cabinets, tá? Eh, mas tem, eu

acho que o Juliano comentou que vocês

utilizam o Argid para

pro de

>> A gente tá usando com customiz. A gente

não tá usando real.

>> Ah, com custou mais. Entendi.

>> É,

>> mas hoje vocês possuem IMOs em

repositório, é isso, né? Que é onde o

órg vai buscar.

>> É, é um repositório à parte. A gente

decidiu manter assim, sabe? A gente tem

um grupo separado, não fica dentro do

projeto lá. E a gente não tá usando

secret no Zemo, isso a gente não tá

versionando ainda. Entendi.

>> Já tentamos com SOPs, mas ia ficar muito

trabalhoso. De repente, se tiver

>> alguma coisa que você possa mostrar aí

que facilite essa esse trabalho de

manter secret do Cubernets em

repositório também.

>> É interessante.

>> Legal.

>> Legal. É, essa questão, mesmo que não

seja realm shart, só por ser emos, a

gente consegue utilizar, por exemplo, e

colocar para rodar, pode ser esquedo

lado, como é um repostitório que eu

entendi que é apartado, ele é um pouco

menos eh

auditado, eu acho, né? Um repostório um

pouco mais isolado ali, mas você

consegue rodar de esquerda do lado,

tipo, ah, todo dia, tal hora você roda

um SAT e Iac para ele poder procurar

vulnerabilidades naqueles imos. Então,

às vezes ele vai trazer que você tem um

lá do Camer que você tá permitindo

escalonamento de permissão, né? Ou seja,

você tá dando permissão zero lá, que é a

permissão máxima, por exemplo, pro

contêiner fazer o que ele quiser lá na

pro seu cluster. Então você consegue

coletar esses essas informações que são

detalhes do dia a dia que a gente deixa

passar, né? Ou então às vezes padrões

que a gente vai replicando sem perceber

e consegue ter essa noção do do scanner.

Quando você abre o security aqui, ele

vai trazer exatamente isso, ó. Por

exemplo, de SA ele encontrou 11

vulnerabilidades. De dependência ele

encontrou 43. E aí eu consigo filtrar

aqui, porque aqui eu tô vendo que o meu

código tá no meu merge, aquela brand

separada. Não tô vendo o código de

produção ainda. Esse é o meu código, o

novo que eu tô desenvolvendo. Isso que é

legal. Você consegue separar tanto os

scanners pelo código novo quanto pelo

código de produção. O código de

produção, ele vai ficar aqui no vability

report do projeto. Isso daqui é o que tá

no código novo. E aqui você já consegue

ver o CVE, os resultados dos scâers.

Acho que isso aqui faz bastante sentido

pro Kelvin, né, que ele comentou que

tava vendo a parte de pipelines com

segurança. Quando você clica aqui, por

exemplo, esse aqui é o Docker file, ele

encontrou um um uma vulnerabilidade no

meu Docker file.

Eu posso dar um create issue direto

daqui. Ele já vai criar uma issue na

parte de planejamento, que seria um um

substituto do head para vocês aqui nesse

caso, tá? Essa iso já tá criada como

confidencial. Já posso assignar eu

mesmo, por exemplo, para resolver isso.

Aí já vem a parte de AI. Eu já consigo

gerar o mer request com o do. que é

quando eu clico aqui, ele já vai gerar a

branch, o código, a solução e o

marketing request para mim

automaticamente dessa vulnerabilidade,

tá? Então isso é isso é bem legal.

Ã, a gente tem mais 10 minutinhos. Eu

queria saber aqui que de com vocês, não

sei se o Jefferson ele conseguiu se

conectar, Jefferson, a parte de infra

que você comentou que você tava sentindo

falta, eh, não sei se você pegou a os

últimos as últimas conversas, tá fazendo

sentido?

>> Uhum. É, é que é que, como eu disse, por

enquanto você mostrou bastante a parte

ali da do pessoal do

>> Sim.

>> Uhum.

>> O Juliano, como ele já trabalhou aqui,

agora foi para lá, agora só que a gente

inverteu, aí o Kelvin era de lá do dev

veio agora para para cá e tá segurança.

Então a gente tem

>> tem pessoas que que que caminham dos

dois lados.

>> Legal. Eh,

o que eu o que eu gostaria de ver é essa

parte de integração. A gente sabe que é

um desafio fazer

>> todas as equipes conversarem entre si,

>> né, e e trabalhar em em conjunto.

>> Mas v que nós podemos ter de ferramenta

de produtividade, diminuir o nosso

trabalho pra gente poder se dedicar mais

em outras outras coisas. Então, ah, eh,

por exemplo, ah, ficar verificando os

logs do dos servidores,

>> eh, que, que a gente fez o post, por

exemplo, a gente tem ambiente de

homologação antes de colocar em

produção.

>> Perfeito.

>> Verificar tudo o que tá acontecendo ali.

Eu lembro de uma um negócio que o que o

Leonardo mostrou para nós, que ele uma

IA que varria,

>> verificava os logs ali e ó, isso aqui

pode dar problema. Eu eu não lembro

exatamente o que que era que ele mostrou

na apresentação,

>> mas eu não sentindo uma coisa bem

>> Foi foi o o o Léo Léo Rocha, né?

>> Isso, Léo Rocha.

Léo, é só me confirma que você mostrou

foi essa questão do da Itanalist. é as

polis que você consegue fazer a uma

varredura, consegue colocar aquelas

métricas, né, para que ela faça

varredura eh durante o processo e e

consiga interromper. Foi nesse sentido

que eu que eu apresentei. Você mostrou

um pouquinho ali já.

>> É, eu mostrei. É, isso era uma parte

mais voltada à SEC, né?

>> Mas eu acho que eu eu entendi o que o o

Jefferson comentou aqui. Acho que você

tá vendo aqui, né, Jefferson? A parte de

um pouco mais de monitoramento, isso

aqui não é de infra no geral. ainda vai

paraa parte de DevOps, só para comentar

que a gente tem a parte de Doraamrix,

então para saber como está fazendo a a

produtividade de da esteira, mas a

produtividade da esteira também tá

vinculada à infra, porque é a infra que

vai suportar essa essa essa performance

e produtividade, tá? E quando a gente

fala aqui de monitoramento, por exemplo,

a gente tem integração direta com os

nossos cluster cabets. Então, por

exemplo, eu posso abrir o cluster, o

cabnet clusters aqui. Nesse caso, ele

não tá conectado aqui, mas deixa eu ver

se eu consigo abrir pelo menos um

histórico. Eu tenho um environment, eh,

que é o environment é um ambiente, né,

que eu crio dentro da git. Eu chamei ele

de production. Esse environment de

production, sempre quando eu jogo para

production, vinculo a ele, porque é ele

que vai me trazer as métricas de DevOps

que que eu mostrei anteriormente. E ele

tá vinculado ao meu cluster cameras, tá?

Então aqui eu consigo ter um overview,

ele não vai carregar porque tá

desconectado, mas dá para você só ter

uma ideia aqui que ele vai trazer os

pods meus que estão de pé e os services

desse cabet, tá? E um deployment

history. Então aqui no caso pensa o

seguinte, a gitlab ela não vai te trazer

uma visão completa da sua infra.

substituindo um datadog, um Prometeus,

um ferramentas de observabilidade, tá?

Mas o que ela traz são resumos que fazem

mais sentido possível no Debs, como por

exemplo aqui, pô, esse meu cluster de

produção, como que ele tá performando? E

um e um resumo sobre ele, mas mais

profundidade, quem iria trazer logs a

própria ferramenta de profissabilidade

aqui. Ele não tá mostrando para mim, mas

se ele mostrasse um pod, eu consigo

abrir o pod e ver os logs dele em tempo

real, tá? Isso eu consigo ver. Isso é

legal. é que aqui realmente ele não tá

conectado, então eu vou ficar devendo

essa essa demonstração. Mas você abre o

pod, você vê os os logs, você abre o

serv, você vê os logs também. Só que

quero ver mais do que isso, né? Quero

ver os deployments em específico, os

meus réplica sets, aí a gente tem que

abrir a própria infra ou utilizar uma

outra ferramenta específica para isso. A

gente tem um negócio bem legal aqui,

acho que ele não tá habilitado nesse meu

projeto,

mas de observability no geral, tá?

observability no sentido que a gitab ela

se integra. Deixa eu ver porque que ele

não tá aparecendo. Deixa eu ver no a

nível de grupos aqui. Observability

setup.

Ó, eu posso dar um enable observability

aqui, mas ele vai pedir uma solicitação

no e-mail porque ainda tá em beta, tá?

Mas isso que te leva o servility, ele

vai, ele pode fazer o papel para você de

um APM performance, a parte de

distribute tracing, ele vai centralizar

logs, ele começa a fazer um pouco mais

desse papel das ferramentas externas

como data do Dog que eu comentei,

Prometeus, coisa do tipo, através do

Open Telemetry, tá? Então ele é 100%

integrado com Open Telemetry, então você

consegue jogar as informações para cá,

você faz a instrumentação com Open

Telemetry para dentro da GitLab. Então,

de novo, o objetivo da GitLab não é

substituir necessariamente essas

ferramentas mais robustas de

obserabilidade, mas complementar elas

trazendo o máximo de informação possível

aqui para dentro para que quando você

tenha que sair para lá para fora seja

seja somente em casos mais críticos.

Realmente faz sentido? Fez mais sentido

isso que eu mostrei agora?

Sim, essa parte aí é muito boa.

Um monte de sistemas que fica junto

pedaço para poder entregar um relatório

para diretoria, a gente já tem alguma

coisa e rápido, né? É isso aí. É isso

aí. E aqui eu tô a nível de grupo, tá?

Então, a nível de grupo aqui eu consigo

ter uma uma centralização dos projetos

abaixo ali e da infra que esses projetos

estão rodando, tá? E aí, o que você

comentou sobre Iferson? É muito aqui. Aí

eu vou aproveitar para mostrar aqui eh

para todas as áreas, tá? Seja

planejamento, seja para segurança,

porque a IAI ela vai englobar todo esse

contexto que a gente tá falando. Você

percebeu que tudo que eu naveguei aqui,

eu não saí da GitLab, eu só mudei a aba,

né? Seja a parte de issos que eu quero

ver aqui, a parte de planejamento de

projeto, eu tô na mesma ferramenta

ainda. Seja a parte de SEC, eu só vou

mudando as abas. Seja a parte de CSG,

seja a parte de código, eu só mudo pro

repositório.

Então, o que que isso faz? Ele traz

contexto para mim. Quando eu abro o chat

do Gitlab do DU, aqui embaixo, ele tá

usando o que a gente chama do o de o do

LLM da Cloud Ops, tá? Da Antropic. Então

o modelo de linguagem

>> de novo.

>> Caíram. Eu caí. Tão me ouvindo?

>> Eu tô ouvindo.

>> Eu tô aqui.

Acho que foi o Pedro. Acho que o Pedro

que caiu,

>> mas aproveitando, né, até ele retornar,

esse essa questão que ele ia comentar

aqui da da IA é bem interessante que eu

acho que aí, Jefferson, vai também no

que eu comentei, né? Quando você tem

toda uma integração de de projetos, de

desenvolvimento, segurança, essa essa

base ela ela é alimentada na IA e a

gente consegue entregar isso mais

assertivo. Então você consegue fazer

buscas, né, de validação de

vulnerabilidade dentro de um código, eh,

de projeto. Olha, entrou um

desenvolvedor novo, ele quer saber como

é que tá o projeto, como é que tá o

desenvolvimento. com perguntas em texto,

claro, assim, em texto simples, né? Você

consegue fazer essas perguntas e a Iá te

traz, né, essa esse contexto te traz

toda a as respostas. Isso é bem legal,

tá

bom? Ainda bem que o Pedro caiu no

finalzinho, né? Certo. Mas aí aí na

próxima a gente esmiuça mais e aí a

o pessoal do do IA também vai est

participando, eles vão perguntar

bastante para vocês.

>> Legal. E a gente acabou de lançar um

produto, né, de a que é a parte

agêntica, né? Então você pode tanto ter

um agente de A para fazer integrações,

como você pode ter também agentes ali

para essas questões, né, essas perguntas

e tal e até mesmo, né, dizer o que você

gostaria. Oi, Pedro.

>> Minha a minha internet agora que caiu

aqui, desligou tudo aqui o Mô, desculpa,

pessoal. Não,

>> mas eu eu deu uma

>> Uhum. um briefing rápido aqui.

>> Eh, mas pode pode continuar de onde você

parou aí só para para até qual o que foi

a última coisa que vocês escutaram que

eu tava falando? Só para eu

>> Não, é justamente quando você tava

abrindo aí a para iniciar um chat.

>> Ah, tá. E eu tava falando sobre a

diferença, né, do Copality curso e das

LM. Não sei se vocês pegaram essa parte.

>> Não, você tinha você tinha acabado de

abrir ali. Tô vendo lá.

>> Ah, tá. Isso. Então, eu tava falando

aqui, aqui a gente tá usando a parte da

Ll de mercado, né? Não são LLMs próprios

Gitlab aqui. E qual que é a diferença de

um curso com filet, outras ferramentas

que utilizam às vezes o mesmo LLM? É o

contexto, tá? Então a Gitlab, tudo isso

que eu mostrei para vocês aqui, tá tudo

na mesma caixa, igual eu reforcei um

pouquinho antes de abrir o chat aqui.

Então eu posso perguntar o que eu quiser

para ele. Então eu posso vir aqui para

ele e abrir o Security Analyst, que é o

meu agente de segurança, tá? Não sei se

ó, se eu não sei se eu caí aí, mas asas

câmeras fecharam. Acho que eu não caí

não, né? Vocês estão me ouvindo, né?

>> Não, estão ouvindo? Não, tá.

>> Ah, fechou

>> aí. Beleza. Ouvindo.

>> E aqui no chat eu posso perguntar, por

exemplo, qual top três vulnerabilidades

do projeto Java Demo. Tá, tô fazendo de

segurança aqui, mas pensa que é a mesma

coisa, chefe, se eu perguntar para ele

dos logs debilidade, quais foram os

últimos logs nos últimos 30 dias, por

exemplo, no da ferramenta XPTO, tá?

Então aqui ele vai rodar o MCP interno

que eu comentei com vocês e ele vai

trazer aqui ele tá, eu tô, eu nem tô

dentro do projeto, ele entrou no projeto

Java Demon para mim, fez análise e me

trouxe, tá? E eu posso abrir aqui. E

tudo que eu tô mostrando aqui, eu também

tenho acesso no VS Code. Aqui no VS Code

eu tenho o mesmo chat para conversar com

ele. Então o dev ou outras outras IDs

também, tá? O dev, ele pode durante o

dia a dia do desenvolvimento dele

perguntar sobre sec, perguntar sobre

infra, perguntar sobre o parte de

pipelines, perguntar sobre o próprio

código, né, para poder gerar código,

explicar o código, coisas do tipo. E as

pessoas que não estão no dev em si, tem

aqui como criar os próprios agentes,

assim como os devs também conseguem, por

exemplo, um agente de planejamento. Eu

quero planejar meu dia, né? Eu quero

saber quais tarefas mais importantes ali

para eu poder entregar eh no dia de hoje

ser mais produtivo. A gente tem um

agente de planner, o agente de

segurança, o agente de data analist, tá

vendo? Então aqui, ó, que que ele faz?

Ele analisa dados do GitLab e cria aqui

relatórios a partir do GitLab Carry

aqui, Carry Language. Então ele cria por

exemplo, o seu projeto baseado em

informações de quanto tempo a ISO demora

para abrir, eh que iso aberto demora

para fechar, né? Tem outros analítics

aqui dentro, não tanto de de infra, mas

de de ciclos no momento como um todo, de

produtividade do dev também, tá? Então a

gente tem a observar infra, tem a

observabilidade do dev, tem

observabilidade de segurança.

A gente chegou no limite do tempo, não

quero atrapalhar vocês, não sei se vocês

vão ter outra agenda, mas o objetivo

aqui era mostrar um pouquinho de cada

área, né? E aí, pô, gostei muito do SEC,

Pedro. Vamos marcar uma só para falar de

SEC, gostei muito da parte de infra, vou

marcar uma parte só de infra, né? Eu

acho que o objetivo aqui era dar um

overview.

e a parte de também, né?

>> Boa. É isso mesmo, Pedro. Eh, e a ideia

é essa, né? São muitas áreas, eh, muito,

muito, muitos assuntos aqui que tem que

passar rapidamente,

>> mas, a intenção foi essa e eu acho que a

participação de todo mundo aí foi bem

legal de diversas áreas também,

justamente para vocês terem um pouco de

de ideia do que que a gente tem, né, na

na nas versões na versão Ultimate. E se

fizer sentido para vocês, a gente tem

diversos próximos passos, né? a gente

pode eh fazer outras demonstrações mais

direcionadas para cada área. A gente tem

a possibilidade de fazer uma POV que a

gente chama, né, que é a prova de valor,

porque o conceito vocês já têm, né,

vocês já usam o Gitlab Community, mas a

gente pode ativar uma licença para

vocês, para vocês usarem tudo isso que

foi apresentado aqui no ambiente de

vocês, né, ou num ambiente apartado em

SAS, não tem problema. Eh, mas

justamente para vocês terem essa essa

experiência e e o conhecimento ali no

junto, principalmente com a IA, com

projetos, né? Se fizer sentido para

vocês, a gente pode pensar nos próximos

passos aí.

>> Sim. Ainda tem algumas coisas para

aprofundar em EA, tá? Só para dar um

contexto para vocês.

Eu escutei, não sei se alguém ia falar

alguma coisa. Eu eu mas essa essa

licença já ativa direto na community

nossa, sem precisar

mexer em nada ou

>> ou tem que

>> ou tem que,

sei lá, rebuildar o o que a gente tem

>> hoje. O community que vocês possuem é é

self manager, é isso? É um é um premis

ou é SAS?

>> É um premise.

>> Tá. E e é community edition mesmo ou é

aquele enterprise edition mais só que

free?

>> Community edition e tá em container.

>> Uhum.

>> Ah, tá. O que teria que fazer é o

community edition ele tem que se

transformar em Enterprise Edition, tá?

Mas vocês não precisam refazer tudo. Tem

um um uma dooc que ele faz a a migração

disso, tá? Depois é só para ele virar

Enterprise. Aí depois que ele virou

Enterprise Edition, aí só ativar o

código de licença que o Léo liberar para

vocês e aí vocês têm acesso a todas as

funcionalidades,

>> tá? E depois que vencer a licença

>> volta dos,

>> ele só volta, ele só apaga entre aspas,

né? Ele só deixa de você ter acesso às

às funcionalidades anteriores, mas o seu

projeto, as coisas continuam a mesma

coisa. Ele só volta pro free,

>> tá? Ah, ele volta pro pras

funcionalidades free, né?

>> Isso aí, isso aí.

>> Entendi.

>> Isso aí. A vantagem de vocês usarem no

ambiente é que vocês conseguem

aproveitar a base ali e no dia a dia,

né? Porque quando a gente sobe um

ambiente apartado,

eh, muitas vezes no dia a dia vocês têm

outras atividades e não vão acabar

usando, né, simulando ali como seria,

mas eh das duas formas, claro que no SAS

seria até mais fácil, né, para não ser

tão intrusivo, mas eh foi o que o Pedro

falou, a gente pode ativar essa licença

e ela ela fica ali por 60 dias, de 30 a

60 dias, liberada para vocês e depois

vocês voltam.

Ah, pra versão que vocês já utilizam.

>> Isso aí.

Aqui eu tô abrindo esse projeto,

Juliano, só para mostrar que você tinha

comentado. Eu lembrei que eu tô tava

montando a parte do dependência proxy

com Maven, com package de registro.

Então aqui eu tenho, tá vendo que ele

trouxe dependência para caramba, que é

do Maven Central para fazer o cash aqui

para mim no pack de register. E aí eu eu

reutilizo daqui através do depend, tá?

Então é bem bem legal isso. Os builds

ficam bem mais rápido. Eu posso usar o

cash no próprio pipeline ainda para

aumentar ainda mais essa essa

velocidade. Tudo isso impacta, né? Já no

final do dia em infra, porque você tem

um consumo menor da infra, né? Então se

você tem um pipeline mais rápido e você

consome menos tempos de de infra, você

tem um um menor custo ali no final do

dia também, tá?

>> Mas é isso, tem muita coisa a partir de

a gente consegue criar catálogo, né? Eu

comentei com vocês, agentes próprios.

Então aqui são agentes criados já pela

própria Gitlab, mas vocês podem criar,

por exemplo, Pedro, eu hoje eu faço um

trabalho muito repetitivo de, sei lá, de

escrever documentação, tá falando

falando algo básico aqui, mas assim,

você pode criar um agente para escrever

documentação com base nos critérios que

você segue para poder criar as

documentações. E aí você utiliza esse

agente a hora que você quiser para ele

poder te auxiliar nesse nessas nesses

trabalhos repetitivos, revisão de código

e tudo o resto. Eu

acho que agora a gente vai a gente vou

vou conversando e o e vamos conversando

com

>> Uhum.

>> Estamos Estão me ouvindo bem?

>> Sim.

>> Eh,

>> estamos sim.

>> E a gente segmentar mais, né? ver mais

equipe e fazer reuniões mais segmentadas

com com os times e fazer o planejamento

aí combinar com IB com Anderson pra

gente ver uma data, ver como que nós

vamos fazer, fazer esse planejamento pra

gente começar essa brincadeira, testar.

E eu acredito, eu gostei muito do que eu

pesquisei, eu gostei muito, muito mesmo.

Eu já tinha uma um uma vontade de

implantar o IAOPS aqui, né?

E e surgiu como veio, caiu no colo assim

como uma bênção, veio para mim e falei:

"Não, isso aqui vocês vão me ajudar, né,

plantar a cultura aqui dentro e e a

gente vai tocando." A universidade vai

vai

>> vai desenvolver bastante em relação a

isso.

>> E o legal, a Gitlab, ela tem releases

novas já a cada um mês, dois meses, às

vezes a cada duas semanas. Então assim,

tem novidade sempre a parte de

observability que eu mostrei para você,

por exemplo, é algo bem recente e que tá

evoluindo bem rápido. A parte Ga também

ficou em GA, né, lançamento oficial dia

15 de janeiro, se eu não me engano.

Então, completando um mês agora e e o

pessoal já tá muito maduro já em todas

essas features, cara.

>> É, teve uma um lançamento que o Leonardo

tinha mandado, mas foi dia 10, que eu

não consegui. Dia 10 foi um um calço,

não consegui ver nada. Hum. Tranquilo.

>> Até depois, depois eu vou pedir para

você

>> ficou gravado alguma coisa para ficou

assim. Calma.

>> Ficou ficou. E também a gente quando for

falar de a sessão de a gente a gente vai

comentar justamente desse desse produto.

Acho que vai ficar mais até mais claro,

tá bom? Mas legal, pessoal. Então eu

depois eu eu mando o e-mail, tá,

Jefferson, vendo os próximos passos e me

colocando à disposição aí pra gente dar

continuidade, tá?

>> Combinado. Então, alguém tem alguma

coisa para falar, para perguntar?

>> Quero só agradecer, pessoal. Eu peço

desculpas aí que eu tô tô eu tô em

trânsito aí, tá meio ruim aqui a

chamada, tá? Mas a gente conseguiu

gravar direitinho e se alguém precisar

aí da gravação, eu já repasso a gravação

para joia. É, compartilha de qualquer

forma com todo mundo aí.

>> Beleza.

>> Combinado. Então,

>> obrigado. Um bom dia.

>> Obrigado, pessoal.

>> Obrigado, pessoal. Obrigado.

>> Boas festas.

>> Bom dia aí. Boas festas para todos.

Tchau.

>> Tchau.

>> Valeu, pessoal. Bom carnaval aí. Falou.

>> Até mais. Tchau. Tchau.

Sal. M.