LSLínguas Sem BenaventeInglês para brasileiros

Aula

Segurança básica para desenvolvedores

Nível: A2

Objetivo

Reconhecer vocabulário essencial de segurança (password, secret, private key, permission, access, vulnerability, role), aplicar regras com must e mustn't, e pedir acesso de forma segura em chat e ticket.

Explicação

Em conversas de segurança no trabalho, alguns termos aparecem juntos e podem ser confundidos por falantes de português:

  • password é a senha que você digita para entrar em uma conta.
  • secret é qualquer valor sensível usado pelo código, como uma API key, um token ou uma connection string. Guarde secrets em um cofre, nunca no código.
  • private key é um arquivo criptográfico que funciona como uma senha, mas é usado para assinar requisições. Ele não pode ser compartilhado nem commitado.
  • permission é o direito de fazer algo; access é a possibilidade de usar o sistema. Você *has permission* e *gets access* — normalmente através de uma role.
  • vulnerability é uma fragilidade no código ou na configuração que um atacante pode explorar.

Must e mustn't expressam regras não negociáveis da equipe. You must enable 2FA on every account. (*É obrigatório.*) You must not share passwords in chat. (*É proibido.*) Diferente de *should*, *must* não admite exceção: a regra vale para todos.

Para pedir acesso de forma segura, use um canal rastreável: abra um ticket, nomeie o sistema, explique o motivo e peça a role com o menor privilégio possível (*least privilege*). Mensagens vagas como *"give me the password"* não cabem em chat de produção.

Exemplos

InglêsTraduçãoObservação
You must not share passwords in chat.Você não deve compartilhar senhas no chat.Mustn't = proibição forte, regra da equipe.
We must store secrets in the password manager.Devemos guardar valores sensíveis no gerenciador de senhas.Must = obrigação da equipe.
I don't have access to production yet.Eu ainda não tenho acesso à produção.Access é usado sem artigo neste sentido.
Can I get read-only access to the logs?Posso obter acesso somente leitura aos logs?Pedido educado, com escopo bem definido.
The manager granted the role for 24 hours.O gerente concedeu a role por 24 horas.Grant = conceder; role = perfil de acesso.
Please rotate this credential at the end of the day.Por favor, rotacione esta credencial ao final do dia.Rotate = substituir a credencial periodicamente.

Erros comuns

  • Dizer "I have not access" em vez de "I don't have access" — a negativa padrão em inglês usa don't/doesn't.
  • Usar mustn't para dizer "não precisa" (use don't have to). Mustn't é proibição, não ausência de obrigação.
  • Pedir a senha no chat: "Give me the production password" deve virar "Can you open a ticket so I can get access?"
  • Confundir secret e password: secret é um valor de sistema (API key, token), não é o que o usuário digita para logar.
  • Commitar a private key no repositório: você deve guardar a chave em um cofre, não no Git.
  • Pedir uma role genérica ("give me admin") em vez de pedir o privilégio mínimo necessário para a tarefa.

Prática guiada

Reescreva de forma segura:

  • *"Give me the production password."*
  • → *"Can you open a ticket so I can get access to the production logs?"*

  • *"I think we should enable 2FA."*
  • → *"We must enable 2FA on every account."*

  • *"I didn't rotate the key."*
  • → *"I must rotate the key at the end of the day."*

Observe como must/mustn't substitui should/didn't para regras não negociáveis, e como o pedido de acesso vira um ticket rastreável com escopo bem definido.

Resumo

Password, secret e private key são tipos diferentes de credencial: senha de conta, valor sensível de código e arquivo criptográfico. Permission e access descrevem direitos; role é o perfil que os concede. Use must para obrigação e mustn't para proibição, sempre com a forma base do verbo. Pedidos de acesso vão em tickets, com escopo bem definido e menor privilégio possível.

Vocabulário

Palavras principais

16 itens
passwordsenha

You must not share passwords in chat.

Você não deve compartilhar senhas no chat.
secretvalor sensível (API key, token)

Store secrets in the password manager, not in the code.

Guarde valores sensíveis no gerenciador de senhas, não no código.
private keychave privada

You must never commit a private key to the repository.

Você nunca deve commitar uma chave privada no repositório.
permissionpermissão

Do I have permission to deploy to production?

Eu tenho permissão para fazer deploy em produção?
accessacesso

I need access to the staging logs.

Eu preciso de acesso aos logs de staging.
vulnerabilityvulnerabilidade

The scanner found a vulnerability in the auth service.

O scanner encontrou uma vulnerabilidade no serviço de autenticação.
rolepapel, perfil de acesso

The manager granted her a read-only role for 24 hours.

O gerente concedeu a ela uma role somente leitura por 24 horas.
2FAautenticação de dois fatores (two-factor authentication)

You must enable 2FA on every account.

Você deve ativar 2FA em toda conta.
mustdeve, é obrigatório

Developers must rotate temporary credentials.

Desenvolvedores devem rotacionar credenciais temporárias.
mustn'tnão deve, é proibido

You mustn't share credentials in chat.

Você não deve compartilhar credenciais no chat.
requestsolicitar

Please request access through a ticket.

Por favor, solicite acesso por meio de um ticket.
grantconceder

The admin granted the role for 24 hours.

O admin concedeu a role por 24 horas.
rotaterotacionar (trocar periodicamente)

We rotate API keys every 90 days.

Nós rotacionamos API keys a cada 90 dias.
sharecompartilhar

Don't share passwords in chat or email.

Não compartilhe senhas em chat ou e-mail.
enableativar, habilitar

Please enable 2FA before logging in.

Por favor, ative 2FA antes de entrar.
productionprodução (ambiente real)

Production access must go through a ticket.

Acesso de produção deve passar por um ticket.

História

História: Segurança básica para desenvolvedores

Nível: A2

História em inglês

A new joiner

Carla joined the team two weeks ago, and this morning she received a high-priority alert from a payment service. She wanted to check the logs, but she didn't have access to production yet. She messaged her teammate Felipe: "Can I get access to the production logs?" Felipe answered: "Don't worry. I'll show you the right way."

The right way

In a private channel, Felipe explained the team's security rules. "You must not share passwords in chat or email," he wrote. "You must store every secret in the password manager, never in the code." "If you need access, open a ticket and explain the reason," Felipe added. Carla opened a ticket: "I need read-only access to investigate alert #4821. Please grant the smallest role that works for 24 hours." Her manager reviewed the request and granted a read-only role for 24 hours.

First day with access

Carla logged in with her own account and enabled 2FA before doing anything else. She checked the logs and found a small vulnerability in the login flow. She filed a fix and explained the risk in the ticket. At the end of the day, she rotated the temporary credential and did not commit a private key to the repository. Felipe replied: "Good job. You followed every rule."

Tradução linha por linha

InglêsTradução
Carla joined the team two weeks ago, and this morning she received a high-priority alert from a payment service.Carla entrou no time há duas semanas e, nesta manhã, recebeu um alerta de alta prioridade de um serviço de pagamento.
She wanted to check the logs, but she didn't have access to production yet.Ela queria verificar os logs, mas ainda não tinha acesso à produção.
She messaged her teammate Felipe: "Can I get access to the production logs?"Ela mandou uma mensagem para o colega Felipe: "Posso obter acesso aos logs de produção?"
Felipe answered: "Don't worry. I'll show you the right way."Felipe respondeu: "Não se preocupe. Eu te mostro o jeito certo."
In a private channel, Felipe explained the team's security rules.Em um canal privado, Felipe explicou as regras de segurança do time.
"You must not share passwords in chat or email," he wrote."Você não deve compartilhar senhas em chat ou e-mail", ele escreveu.
"You must store every secret in the password manager, never in the code.""Você deve guardar todo valor sensível no gerenciador de senhas, nunca no código."
"If you need access, open a ticket and explain the reason," Felipe added."Se você precisa de acesso, abra um ticket e explique o motivo", Felipe completou.
Carla opened a ticket: "I need read-only access to investigate alert #4821. Please grant the smallest role that works for 24 hours."Carla abriu um ticket: "Preciso de acesso somente leitura para investigar o alerta #4821. Por favor, concedam a menor role possível por 24 horas."
Her manager reviewed the request and granted a read-only role for 24 hours.O gerente dela analisou o pedido e concedeu uma role somente leitura por 24 horas.
Carla logged in with her own account and enabled 2FA before doing anything else.Carla entrou com a própria conta e ativou 2FA antes de fazer qualquer outra coisa.
She checked the logs and found a small vulnerability in the login flow.Ela verificou os logs e encontrou uma pequena vulnerabilidade no fluxo de login.
She filed a fix and explained the risk in the ticket.Ela registrou uma correção e explicou o risco no ticket.
At the end of the day, she rotated the temporary credential and did not commit a private key to the repository.Ao final do dia, ela rotacionou a credencial temporária e não committou uma chave privada no repositório.
Felipe replied: "Good job. You followed every rule."Felipe respondeu: "Bom trabalho. Você seguiu todas as regras."

Notas de vocabulário

  • didn't have access to production yet = ainda não tinha acesso à produção; access é usado sem artigo
  • Don't worry = não se preocupe; resposta amigável e comum em chat de trabalho
  • You must not share passwords in chat = proibição forte; mustn't = não é permitido em nenhuma circunstância
  • store every secret in the password manager = guardar valores sensíveis (API keys, tokens) em um cofre, nunca no código
  • read-only role for 24 hours = perfil somente leitura e com prazo definido; aplica o princípio de least privilege
  • enabled 2FA = ativou autenticação de dois fatores; regra básica de segurança
  • rotated the temporary credential = trocou a credencial temporária; rotate = substituir periodicamente
  • did not commit a private key to the repository = não subiu uma chave privada para o Git; chaves privadas ficam em cofres

Perguntas de compreensão

  1. Why did Carla need access to production?
  2. How did Felipe tell Carla to ask for access?
  3. What kind of role did the manager grant?
  4. What did Carla do right after logging in?
  5. What did the team find in the logs?
  6. What did Carla do at the end of the day?

Prática com a história

  1. Transforme em regra: We should enable 2FA on every account.
  2. Reescreva de forma segura: Give me the production password.
  3. Complete: You ___ share credentials in chat.
  4. Traduza: Eu preciso de acesso somente leitura para investigar um alerta.

Prática

Exercícios e teste

Próxima etapa
6blocos de exercícios disponíveis neste tema
10questões de teste para revisar depois da aula

A próxima melhoria é transformar esses arquivos em perguntas com resposta no navegador. Por enquanto, esta página já organiza o estudo e permite seguir a aula inteira sem abrir os arquivos manualmente.