Todo pentest termina do mesmo jeito: uma lista enorme de falhas. Vinte, cinquenta, às vezes mais. Aí vem a pergunta que ninguém gosta — "e agora, como a gente acompanha a correção disso?". A resposta padrão, em 9 de 10 lugares, é a mesma: uma planilha. E eu garanto, por experiência própria, que a planilha sempre desanda.
Por que a planilha de vulnerabilidades não aguenta
No começo parece organizado. Duas semanas depois, vira um cemitério. Os furos são sempre os mesmos:
- Priorização no olho. A planilha não sabe o que é mais grave. Quem decide o que corrigir primeiro é quem gritar mais alto — não o risco real. O CVSS fica numa coluna que ninguém usa pra nada.
- Prazo que ninguém persegue. Aquela falha crítica que tinha que ser corrigida em 24h? Três meses depois ainda está "em aberto", e ninguém percebeu, porque a planilha não cobra. SLA sem alarme é decoração.
- "Quem está corrigindo isso?" Segurança numa aba, dev no e-mail, gestor no WhatsApp. A informação se espalha e ninguém sabe o status real de nada.
- Zero prova. Corrigiu quando? Quem mudou pra "resolvido"? Cadê o print que comprova? Some tudo. Quando o cliente (ou a auditoria) pergunta, não há histórico.
- Relatório na mão, toda vez. Pra mostrar pra diretoria ou entregar pro cliente, alguém monta um documento do zero — de novo — copiando e colando da planilha.
O problema de fundo: encontrar a falha é o trabalho do pentest. Gerenciar a correção — priorizar, cobrar prazo, atribuir, registrar e provar — é um trabalho diferente, e a planilha não foi feita pra ele.
A solução: o VulnGuard, e a correção vira um fluxo
Cansei de ver isso e construí o VulnGuard: uma plataforma de gestão de vulnerabilidades que pega aquela lista solta e transforma num fluxo de remediação de verdade. O que ela faz que a planilha não faz:
- Severidade e prazo automáticos. Você informa o CVSS e o sistema define a severidade e o SLA na hora — crítico tem 24h, alto 7 dias, e por aí vai. O prazo começa a correr sozinho, sem ninguém precisar decidir no chute.
- Workflow com trilha de auditoria. Cada falha caminha por status (Novo → em análise → em correção → mitigado), e toda mudança fica registrada: quem mexeu, de quê pra quê, e quando. Aquela "prova" que sumia na planilha agora é automática.
- Time de verdade. Times isolados por código, papéis (gestor/membro) e comentários em cada vulnerabilidade — segurança e dev conversando no mesmo lugar, não em três apps.
- Relatório PDF num clique. O documento executivo pra diretoria ou pro cliente sai pronto, com os números e o detalhamento — sem montar slide na mão.
E você não precisa acreditar na minha palavra: tem uma demo ao vivo, read-only, sem cadastro. Você abre, navega no dashboard, na lista de falhas, abre uma vulnerabilidade e até gera o PDF — com dados fictícios, sem gravar nada.
Não é uma maquete — é um sistema real
Faço questão de dizer: o VulnGuard é um SaaS multiusuário completo, e o construí também como prova de trabalho. Por baixo do capô tem PHP 8 com PDO e prepared statements em tudo, isolamento de dados por time (multi-tenant) com papéis, uma trilha de auditoria imutável e a engine de SLA calculando no servidor. A demo que você abre é o mesmo sistema — só em modo somente-leitura.
Perguntas frequentes
Posso testar sem cadastro? Sim — a demo é read-only, com dados fictícios: você navega no dashboard, na lista, abre uma falha e gera o PDF, tudo sem login.
Como ele define prioridade e prazo? Pelo CVSS, no servidor: ≥9 Crítico (SLA 24h), ≥7 Alto (7 dias), ≥4 Médio (30 dias), o resto Baixo (90 dias).
Dá pra trabalhar em equipe? Sim: times isolados por código, papéis (gestor/membro), comentários e auditoria por falha.
Pra quem é? Pra quem faz ou recebe pentest — pentester, AppSec, segurança e dev de produto — e precisa acompanhar a correção com prazo e prova.