Pular para o conteúdo principal

🔄 Integração Transversal com os Capítulos Técnicos

🌟 Objetivo

Descrever como a formação contínua e aplicada pode ser integrada nas atividades práticas de cada capítulo técnico do manual SbD-ToE.
O objetivo é garantir que a aprendizagem não é paralela à execução real, mas sim incorporada nos rituais, decisões e processos do ciclo de desenvolvimento.

A formação torna-se sustentável quando é ativa, rotativa, prática e visível.

🧬 Princípios da aprendizagem transversal

  • Cada prática de segurança deve ser ensinável e replicável
  • O conhecimento deve circular através de rotação de papéis e liderança
  • A aprendizagem deve estar ligada a rituais reais (ex: sprint, release, incidente)
  • A retenção deve ser medida com base na aplicação prática

📘 Exemplos de integração por capítulo

1. Gestão de Risco

  • Workshops periódicos com equipas sobre classificação e impacto
  • Sessões de partilha entre equipas sobre decisões de risco (ex: exceções, racional)
  • Formação prática com exercícios de mapeamento de risco por aplicação

2. Requisitos de Segurança

  • Labs com histórias de user stories mal escritas
  • Revisão cruzada mensal de requisitos entre equipas
  • Sessão prática: escrever e rever 3 requisitos reais

3. Threat Modeling

  • Rotação de liderança entre devs, QA e Champions
  • Sessões práticas com base em features reais
  • Revisão de modelos antigos após bugs ou incidentes

4. Arquitetura Segura

  • Revisão coletiva de decisões de arquitetura (mensal ou por épico)
  • Oficinas comparativas entre abordagens (ex: API vs eventos)
  • Repositório de arquiteturas "antes/depois" com anotações

5. Controlo de Dependências

  • Labs com cenários reais de dependências vulneráveis
  • PR Clinics com foco em SBOM, SCA, lockfiles e pinning
  • Rotação na responsabilidade de triagem e decisão de updates

6. Desenvolvimento Seguro

  • Revisões de PR públicas e educativas
  • Sessões entre pares sobre antipadrões recorrentes
  • Uso de PRs históricos como base para formação e discussão

7. CI/CD Seguro

  • Simulações de pipeline comprometido
  • Rotação de ownership em stages críticos (ex: secrets, deploy)
  • Oficinas para construir stages com validadores de segurança

8. IaC Seguro

  • Labs com código Terraform real e ferramentas como Checkov ou TFSec
  • Refactors colaborativos de IaC inseguro
  • Rotatividade na revisão de alterações de infraestrutura

9. containers e Imagens

  • Oficinas de hardening de Dockerfiles reais
  • Análise rotativa de vulnerabilidades com ferramentas como Trivy
  • Demonstrações práticas sobre melhorias de segurança em imagens reais

10. Testes de Segurança

  • Atividades gamificadas com fuzzing e exploração de APIs
  • Revisão coletiva de coverage SAST/DAST
  • Participação rotativa no tuning de scanners

11. Deploy Seguro

  • Simulações de rollout com falhas induzidas (ex: feature flag errada)
  • Shadowing entre equipas durante deploys críticos
  • Oficinas sobre validação de configurações em produção

12. Monitorização

  • Análise de alertas reais e falsos positivos
  • Mini war rooms com deteções via logs ou dashboards
  • Análises rotativas e partilha de lições aprendidas

13. Formação e Onboarding

  • Uso recorrente de PR Clinics, CTFs, shadowing entre pares
  • Champions como facilitadores da integração prática
  • Co-aprendizagem em sprint planning ou onboarding técnico

14. Governança e Contratação

  • Sessões formativas para contratantes e fornecedores
  • Revisão de cláusulas contratuais com base em incidentes passados
  • Estudos de caso de falhas contratuais como parte da formação interna

✅ Boas práticas

  • Planear 1 ação de aprendizagem por sprint ou release
  • Promover rotatividade e co-liderança entre funções
  • Usar materiais leves e reutilizáveis (ex: 1 slide, ficheiro draw.io, PR comentado)
  • Ligar a formação a eventos reais (bugs, incidentes, releases)
  • Registar ações em backlog ou repositório interno

📎 Referências cruzadas

DocumentoRelevância
01-catalogo-formativo.mdBase dos conteúdos por capítulo e função
04-tecnicas-formativas.mdTécnicas práticas para aplicar transversalmente
03-programa-champions.mdChampions como facilitadores locais
15-aplicacao-lifecycle.mdAplicação prática no ciclo de vida de desenvolvimento
90-indicadores-metricas.mdMedição da eficácia das ações formativas integradas

📚 A formação contínua não é paralela ao trabalho - é parte do trabalho bem feito.

O manual SbD-ToE funciona como uma fonte estruturada de formação viva, prática e adaptável, cobrindo todo o ciclo de desenvolvimento.