Pular para o conteúdo principal

Método: Ver Metodologia de Validação de Claims para a baseline empírica dos autores, validação por índices semânticos, ontology backtrace e comparação com fontes externas.

📈 Maturidade - Formação e Onboarding Seguro

Este documento apresenta o mapeamento de maturidade das práticas descritas no Capítulo 13 - Formação e Onboarding Seguro, com base nos principais frameworks de referência:

  • OWASP SAMM
  • OWASP DSOMM

ℹ️ Nota: SLSA não se aplica diretamente a este domínio, dado que não trata práticas humanas ou formativas.


🎯 Como interpretar este mapeamento de maturidade

Este documento não mede a maturidade global de uma organização. Mede apenas o contributo deste capítulo para domínios de maturidade reconhecidos nas frameworks selecionadas.

FrameworkAvaliação usadaJustificação
OWASP SAMMn / 3Modelo prescritivo com progressão explícita
OWASP DSOMMn / mNíveis formais por domínio técnico

🧭 Visão Geral de Alinhamento

FrameworkDomínios RelevantesPráticas CobertasAvaliação de Maturidade
SAMM v2.1Governance → Education & GuidanceTrilhos formativos por função e risco, rastreabilidade, champions2 / 3
DSOMMEducation & TrainingFormação adaptativa, feedback contínuo, integração com maturidade3 / 3

🧱 OWASP SAMM - Governance → Education & Guidance

NívelDescrição SAMMImplementação no Cap. 13
1Formação básica disponível✅ Formação de awareness para todos os perfis
2Formação direcionada e rastreável✅ Trilhos por função e nível de risco, KPIs
3Integração com governance e melhoria contínua❌ Parcial - não é ainda integrada com ciclos de gestão

🧮 Maturidade atingida: 2 / 3


🧱 OWASP DSOMM - Education & Training

DomínioNívelJustificação técnica
Education & Training3 / 3Formação adaptada, prática, feedback contínuo, integração com rastreio

✅ Conclusão

  • Este capítulo sustenta uma leitura de maturidade principalmente ancorada em OWASP SAMM e OWASP DSOMM;
  • Neste capítulo, SLSA não é usada como âncora de maturidade, porque o domínio é humano e organizacional, não de build ou supply chain técnica;
  • A avaliação apresentada é chapter-scoped e contributiva, não substituindo uma avaliação formal framework-native.