🏠 Políticas Organizacionais — Containers e Imagens
A aplicação eficaz do Capítulo 09 - Containers e Imagens requer a existência de políticas organizacionais formais que enquadrem e reforcem as práticas de construção, validação, assinatura, governação e execução de containers e imagens.
Estas políticas asseguram que:
- As imagens são construídas de forma segura, rastreável e reprodutível, com proveniência verificável;
- A execução de containers ocorre em ambientes protegidos, auditáveis e controlados;
- Existe governação clara sobre os registos e pipelines que manipulam artefactos de containerização.
📄 Políticas Organizacionais Relevantes
| Nome da Política | Obrigatória? | Aplicação | Resumo do Conteúdo Necessário |
|---|---|---|---|
| Política de Construção Segura de Imagens | ✅ Sim | Todos os pipelines de build | Define requisitos de base segura, digest pinning, versões fixas, linting e validação automática de Dockerfiles; obriga revisão e aprovação antes de publicação. |
| Política de Gestão de Vulnerabilidades em Imagens | ✅ Sim | Registos e pipelines CI/CD | Obriga scanning automatizado (SCA, CVE, licenças); define critérios de severidade e prazos de correção; bloqueio em vulnerabilidades críticas. |
| Política de Assinatura e Proveniência de Imagens | ✅ Sim | Registos internos e externos | Exige assinatura digital (Sigstore/Cosign), attestations SLSA e verificação de integridade antes da execução. |
| Política de Governação de Registos e Repositórios de Containers | ✅ Sim | Todos os registos e repositórios internos | Define ownership, controlo de acesso, RBAC, retenção, limpeza periódica, auditoria e access logs. |
| Política de Hardening e Execução Segura de Containers | ⚠️ Reforçada | Ambientes de execução (Docker, Kubernetes, etc.) | Define parâmetros mínimos de isolamento (seccomp, AppArmor, SELinux), network policies, least privilege e read-only rootfs. |
| Política de Gestão de Imagens Obsoletas e Limpeza | ⚠️ Recomendável | Repositórios e pipelines | Estabelece prazos de retenção, políticas de rebuild e remoção de imagens vulneráveis ou sem uso. |
| Política de Validação e Aprovação de Manifestos de Deploy | ⚠️ Reforçada | Kubernetes, Compose, Helm | Obriga validação automatizada de manifestos com policy-as-code (OPA, Conftest) e admission controllers de segurança. |
| Política de Observabilidade e Auditoria de Execução de Containers | ⚠️ Reforçada | Ambientes produtivos | Determina recolha de métricas, runtime logs, correlação commit-digest-deploy e alertas automáticos para shadow containers. |
📃 Estrutura mínima de cada política
Cada política deve conter:
- Objetivo e âmbito (artefactos, pipelines, ambientes abrangidos);
- Papéis e responsabilidades (DevOps, Cloud Ops, AppSec, Auditoria);
- Controlos técnicos obrigatórios (validações automáticas, gates, segregação de funções);
- Integração CI/CD (pontos de controlo e bloqueios automáticos);
- Evidências e métricas (relatórios de scan, logs, attestations, auditorias);
- Frequência de revisão e procedimento de atualização da política.
✅ Recomendações finais
- Todas as políticas devem ser publicadas e aprovadas pela direção de segurança e engenharia, e integradas nos processos de DevSecOps.
- A conformidade deve ser validada periodicamente através de checklists, auditorias técnicas e métricas de maturidade.
- As políticas devem alinhar-se com as práticas de Gestão de Dependências (Cap. 05) e IaC (Cap. 08) para garantir coerência da cadeia de fornecimento.
- Recomenda-se automatizar a verificação de conformidade via policy-as-code, integrando as regras nos pipelines de build e deploy.
- A aplicação destas políticas constitui evidência direta de conformidade com SSDF, SLSA, CIS, ENISA e SAMM em contexto de software supply chain security.
📁 Templates e exemplos práticos poderão ser incluídos em futuras versões do manual como ficheiros complementares
60-*.md.