📎 Rastreabilidade contra Frameworks — Capítulo 09: Containers e Imagens
Este ficheiro estabelece a rastreabilidade entre as práticas prescritas neste capítulo e os requisitos dos principais frameworks e normas de segurança relacionados com construção, assinatura, proveniência, hardening e execução segura de containers e imagens.
A rastreabilidade é feita de forma top-down, demonstrando como o SbD-ToE cobre sistematicamente os controlos aplicáveis à segurança de containers, desde o build até ao runtime.
📌 Tabela de Rastreabilidade
| Requisito / Domínio (Framework) | Práticas do Capítulo 09 que respondem | Nível de Cobertura |
|---|---|---|
| NIST SSDF v1.1 - PW.5 (Build integrity), RV.1–RV.2 (Verification), PS.1 (Review) | Image scanning em CI/CD, bloqueios por severidade, verificação de integridade/assinatura, validação de manifestos antes do deploy | ✅ Completo |
| OWASP SAMM v2.1 - Deployment (DEP 1.2), Verification (2.A/2.B), Governance (GOV 1.2) | Pipelines rastreáveis, policy-as-code, revisão formal, gates de segurança, controlo de registos privados | ✅ Nível 3 |
| BSIMM13 - CMVM 1.3, SE 2.2, ST 1.1–1.4 | Compliance/config scanning, gestão de vulnerabilidades em imagens, proveniência e auditoria de builds e deploys | ✅ Nível 2/3 |
| SLSA v1.0 - L2–L3 (Source/Build/Provenance) | Assinatura e atestações de proveniência, digest pinning, pipeline confiável e reprodutível | ✅ Parcial→Completo |
| CIS Benchmarks - Docker & Kubernetes | Hardening do daemon/runtime, securityContext, políticas de rede, admission controllers, seccomp/AppArmor/SELinux | ✅ Completo |
| ENISA Cloud Security Baseline - Container Security | Gestão de registos, isolamento, least privilege, varredura contínua de vulnerabilidades e configuração | ✅ Completo |
| OWASP DSOMM v2 - Supply Chain, Build & Deploy, Ops Monitoring | Build determinístico, validações automáticas, observabilidade e trilhos de auditoria de alterações | ✅ Nível 2/3 |
| ISO/IEC 27001/27002 - Secure development & change management (alto nível) | Regras formais para promoção de imagens, controlo de alteração e evidência de validação antes de produção | ✅ Parcial |
Nota: Para ISO/IEC 27001/27002 a correspondência é intencionalmente de alto nível, focada em princípios de desenvolvimento/alteração segura e evidência auditável (sem dependência de numeração específica de controlos).
🧠 Notas explicativas por framework
🛠️ NIST SSDF v1.1
Cobertura direta de:
- PW.5 — Integridade de builds: digest pinning, reprodutibilidade, assinatura e atestação de imagens.
- RV.1–RV.2 — Verificação contínua: image scanning (vulnerabilidades, licenças, configuração) com bloqueios por severidade.
- PS.1 — Revisão de alterações: validação de manifestos (Kubernetes/Helm/Compose) e aprovações formais antes do deploy.
🧱 OWASP SAMM v2.1
Atinge nível 3 nos domínios:
- Deployment (DEP 1.2) — gates de segurança em CI/CD, controlo de promoção entre ambientes, registos privados e auditáveis.
- Verification (2.A/2.B) — scanning automatizado e validação de configuração com policy-as-code (OPA/Conftest, admission controllers).
- Governance (GOV 1.2) — Regras formais de operação de registos, retenção e limpeza de imagens, ownership e auditoria.
📊 BSIMM13
Práticas alinhadas com:
- CMVM 1.3 — Monitorização de conformidade e variações (p. ex., drift entre imagens definidas e executadas).
- SE 2.2 / ST 1.1–1.4 — Integração de scanners no pipeline, critérios de aceitação por severidade, registos de evidências e playbooks de correção.
🧬 SLSA v1.0
- L2–L3 — Foco em proveniência: assinaturas, atestações, trilho de quem construiu o quê, quando e com que entradas; empacotamento seguro do build de imagens e restrições de origem.
🧰 CIS Benchmarks (Docker & Kubernetes)
- Hardening de runtime (parâmetros do daemon, cgroups, namespaces), utilizador não-root, capacidades mínimas, políticas de rede, e admission controllers para impor padrões de segurança.
☁️ ENISA Cloud Security Baseline
- Boas práticas de registos privados e controlados, isolamento runtime, gestão de vulnerabilidades e observabilidade de deploys e alterações.
🔄 OWASP DSOMM v2
- Supply Chain / Build & Deploy — Builds determinísticos, validações automáticas e políticas de promoção.
- Ops Monitoring — Audit trail completo: correlação entre commit, pipeline run, digest e deploy efetivo; deteção de shadow containers.
🔗 Ligações com outros capítulos
Este capítulo integra e depende de práticas descritas noutros capítulos:
- Capítulo 05 - Dependências, SBOM e SCA: inventário de componentes e vulnerabilidades herdadas pelas imagens base.
- Capítulo 07 - CI/CD Seguro: pontos de controlo automáticos no pipeline (gates, policy enforcement, proveniência).
- Capítulo 08 - IaC e Infraestrutura como Código: coerência entre manifestos de deploy (Kubernetes/Helm/Compose) e governação técnica de ambientes.
- Capítulo 10 - Testes de Segurança: integração de scanners, testes funcionais de segurança e validações de runtime.
- Capítulo 14 - Governação e Contratação: políticas de operação de registos, retenção, acesso e auditoria (suporte organizacional).
📌 Este capítulo fornece a camada técnica essencial para garantir integridade, proveniência e execução segura de artefactos em produção. As práticas aqui descritas permitem evidenciar conformidade com requisitos modernos de software supply chain security (SSDF, SLSA) e sustentam auditorias em contexto NIS 2 / DORA.