Método: Ver Metodologia de Validação de Claims para a baseline empírica dos autores, validação por índices semânticos, ontology backtrace e comparação com fontes externas.
📈 Maturidade - Formação e Onboarding Seguro
Este documento apresenta o mapeamento de maturidade das práticas descritas no Capítulo 13 - Formação e Onboarding Seguro, com base nos principais frameworks de referência:
- OWASP SAMM
- OWASP DSOMM
ℹ️ Nota: SLSA não se aplica diretamente a este domínio, dado que não trata práticas humanas ou formativas.
🎯 Como interpretar este mapeamento de maturidade
Este documento não mede a maturidade global de uma organização. Mede apenas o contributo deste capítulo para domínios de maturidade reconhecidos nas frameworks selecionadas.
| Framework | Avaliação usada | Justificação |
|---|---|---|
| OWASP SAMM | n / 3 | Modelo prescritivo com progressão explícita |
| OWASP DSOMM | n / m | Níveis formais por domínio técnico |
🧭 Visão Geral de Alinhamento
| Framework | Domínios Relevantes | Práticas Cobertas | Avaliação de Maturidade |
|---|---|---|---|
| SAMM v2.1 | Governance → Education & Guidance | Trilhos formativos por função e risco, rastreabilidade, champions | 2 / 3 |
| DSOMM | Education & Training | Formação adaptativa, feedback contínuo, integração com maturidade | 3 / 3 |
🧱 OWASP SAMM - Governance → Education & Guidance
| Nível | Descrição SAMM | Implementação no Cap. 13 |
|---|---|---|
| 1 | Formação básica disponível | ✅ Formação de awareness para todos os perfis |
| 2 | Formação direcionada e rastreável | ✅ Trilhos por função e nível de risco, KPIs |
| 3 | Integração com governance e melhoria contínua | ❌ Parcial - não é ainda integrada com ciclos de gestão |
🧮 Maturidade atingida: 2 / 3
🧱 OWASP DSOMM - Education & Training
| Domínio | Nível | Justificação técnica |
|---|---|---|
| Education & Training | 3 / 3 | Formação adaptada, prática, feedback contínuo, integração com rastreio |
✅ Conclusão
- Este capítulo sustenta uma leitura de maturidade principalmente ancorada em OWASP SAMM e OWASP DSOMM;
- Neste capítulo, SLSA não é usada como âncora de maturidade, porque o domínio é humano e organizacional, não de build ou supply chain técnica;
- A avaliação apresentada é chapter-scoped e contributiva, não substituindo uma avaliação formal framework-native.