Mas acho que você acabou interpretando minha pergunta pelo pior lado possível.

Eu só fiquei com a impressão que você estava achando que QA e cybersec é a mesma coisa e quis ser claro. Se eu tivesse interpretado da pior forma, eu não teria respondido com as ferramentas que eu uso.

Na Engenharia de Software real e em escala, ferramenta importa sim, não porque ela substitui o cérebro, mas porque ela traz escala, reprodutibilidade e velocidade.

Importa para QA e não para cybersec. Quando eu disse que ferramenta não importa, eu estava falando de cybersec e deixei claro que QA e cybersec não são a mesma coisa. O seu erro é justamente tá tratando como se fosse tudo a mesma coisa.

E é aí que mora a diferença entre QA e cybersec. Essas ferramentas automatizadas só acham o básico do básico de vulnerabilidades. Para QA, CI/CD etc. é válido e poupa trabalho da equipe de segurança de ter que perder tempo com o basicão...

Mas se um profissional de cybersec fica se apoiando em ferramentas automatizadas, é sinal que ele não sabe o que tá fazendo.

Para por em números, digamos que essas ferramentas pegam os 5% das vulnerabilidades mais básicas e mais manjadas. O profissional de cybersec tem que cuidar dos outros 95%.