🗺️ Catálogo de Conteúdos Formativos SbD-ToE
🌟 Objetivo
Cruzar os 14 capítulos técnicos do manual SbD-ToE com os conteúdos de formação essenciais, de forma a orientar:
- A criação de trilhos formativos por função e criticidade;
- A atribuição proporcional de conteúdos a níveis de risco (L1–L3);
- A escolha de formatos pedagógicos adequados por perfil e contexto.
Este catálogo serve de base para programas de formação, onboarding, labs e CTFs internos - e pode ser instanciado como estrutura curricular num LMS.
Os conteúdos formativos aqui descritos assumem um contexto de forte apoio por ferramentas automatizadas ao longo do ciclo de vida, sem que isso substitua a necessidade de compreensão humana dos processos, limites e responsabilidades associados.
🧬 O que contém
A matriz define, por capítulo técnico do manual:
- Os tópicos a ensinar
- O público-alvo (funções)
- O nível de risco mínimo aplicável
- O formato de aprendizagem sugerido
📌 Serve como referência para trilhos, formação por contexto (ex: incidente), e como base para o manual expandido de formação.
📋 Estrutura da Tabela
| Capítulo | Tópico a ensinar | Público-alvo | Nível de risco | Formato sugerido |
|---|
📘 Mapa por Capítulo
| Capítulo | Tópico a ensinar | Público-alvo | Nível | Formato sugerido |
|---|---|---|---|---|
| 1. Gestão de Risco | Classificação de aplicações | PO, Dev, QA | Médio | Exercício prático + template |
| Avaliação de risco técnico | PO, AppSec | Elevado | Workshop + simulação | |
| 2. Requisitos de Segurança | Especificação segura de user stories | PO, QA | Médio | Lab + revisão cruzada |
| Uso de catálogo interno de requisitos | Dev, PO | Médio | Quiz + aplicação prática | |
| 3. Threat Modeling | Modelação por funcionalidade real | Dev, QA, PO | Médio | Sessão prática + rotação de lead |
| Uso de checklists em design | QA, AppSec | Baixo | Template + explicação peer-led | |
| 4. Arquitetura Segura | Padrões e antipadrões de arquitetura | Dev, Tech Leads | Elevado | Oficina comparativa + pairing |
| 5. Controlo de Dependências | SBOM, lockfiles e controlo de SCA | Dev, DevOps | Médio | PR clinic + lab com scanner |
| Triagem de alertas | AppSec, Dev | Elevado | Revisão rotativa + lab interno | |
| 6. Desenvolvimento Seguro | PR seguro e validação de código | Dev, QA | Médio | Revisão pública + guia comentado |
| Common mistakes / top 5 falhas | Dev | Baixo | Quiz + exemplo de PR real | |
| 7. CI/CD Seguro | Pipelines com scanners | DevOps | Médio | Oficina prática + checklist |
| âmbitos de permissões em tokens | DevOps | Elevado | Lab + simulação de abuso | |
| 8. IaC Seguro | Uso de scanners (ex: TFSec) | DevOps, CloudEng | Médio | Lab com Terraform inseguro |
| Boas práticas em pipelines IaC | DevOps | Médio | PR review + clinic | |
| 9. containers & Imagens | Dockerfiles seguros | Dev, DevOps | Médio | Lab + análise de imagem real |
| Imagens base e hardening | DevOps | Elevado | Checklist de validação + pairing | |
| 10. Testes de Segurança | Uso de DAST em staging | QA, Testers | Médio | Lab hands-on + template de bug |
| Introdução ao fuzzing | QA, AppSec | Elevado | Demo + exercício dirigido | |
| 11. Deploy Seguro | Configuração segura e rollback | DevOps | Médio | Simulação + pós-mortem educativo |
| 12. Monitorização | Alertas relevantes e falsos positivos | DevOps, QA | Médio | Jogo de deteção + dashboard |
| 13. Formação & Onboarding | Labs rotativos, PR clinics, CTF | Todos | Todos | Sessões regulares + rotação |
| 14. Governança & Contratação | Cláusulas de segurança em contratos | Gestão, Procurement | Elevado | Estudo de caso + checklist legal |
🛠️ Como aplicar
- Instanciar como matriz de referência em:
- Programas de onboarding por função
- Estrutura curricular num LMS
- Planos anuais de capacitação
- Relacionar com:
- Checklists de entrada (ex:
10-checklist-onboarding.md) - Políticas de contratação de terceiros (ex:
21-plano-formacao-terceiros.md) - Métricas e indicadores (ex:
90-indicadores-metricas.md)
- Checklists de entrada (ex:
✅ Boas práticas
- Rever anualmente os tópicos por capítulo e função
- Usar a matriz como base para criação de labs e workshops internos
- Validar aprendizagem com quizzes, clinics ou simulações realistas
- Usar na formação derivada de incidentes reais
📎 Referências cruzadas
| Documento | Relação |
|---|---|
02-trilho-formativo.md | Define a aplicação da matriz por risco |
03-programa-champions.md | Suporte à disseminação |
10-checklist-onboarding.md | Verificação do conteúdo aprendido |
20-modelo-inclusao-terceiros.md | Aplicação adaptada a fornecedores externos |
90-indicadores-metricas.md | Medição da adoção e eficácia da formação |
📚 Este catálogo pode evoluir para o Volume II - Manual de Formação SbD-ToE, com conteúdos, exercícios e labs por capítulo, função e nível de risco.