Como Usar Este Manual
Este manual foi concebido para apoiar equipas técnicas, gestores e decisores na implementação prática de Security by Design no desenvolvimento de software.
O seu objetivo é transformar boas intenções em ações concretas e sustentáveis, adaptadas ao risco real e à maturidade de cada organização, desmistificando qualquer ideia de complexidade e dificuldade associada.
O Security by Design é um caminho, "faz-se andando", e este manual ensina os passos a seguir para que todos possam aplicar as práticas.
🎯 A quem se destina
Este manual é útil para:
- Equipas de desenvolvimento e DevOps
- Arquitetos de software e solução
- Equipa de segurança (AppSec, GRC, CISO)
- Gestores de produto, projeto e qualidade
- Equipa de operações, cloud e infraestrutura
🧱 Estrutura do manual
O manual está dividido em 14 capítulos, com aplicação independente, mas que por conveniência são agrupados em 4 grupos de organização:
Ⅰ - Fundamentos e Contexto Organizacional
Princípios, governação, risco e capacitação.
Ⅱ - Engenharia Segura
Do requisito ao desenho testável.
Ⅲ - Implementação e Automação
Pipelines, IaC, containers e testes.
Ⅳ - Operação e Melhoria Contínua
Execução, observabilidade e resposta.
🧭 Como navegar
Cada capítulo (01–14) segue o mesmo padrão:
- Resumo — Propósito e contexto
- Como Fazer — O que fazer e quando por quem sob a forma de user stories normalizadas
- Policies — descreve que policies têm que ser instituidas para fazer enforce das praticas na organização
- Complemento Técnico — Explicação com detalhe sobre as praticas prescritas com exemplos, ferramentas, cenários
- Recomendações Avançadas — Em alguns casos e para contextos especializados
🏷️ Símbolos e Ícones
- ⭐ — Basilar (obrigatório em todos os níveis)
- ⚙️ — Operacional (dependes do nível e contexto)
- 🏛️ — Organizacional (governance e compliance)
- 📚 — Complemento Técnico (aprofundamento opcional)
- US — User Story (activity para um role específico)
🔄 Proporcionalidade (L1–L3)
O SbD-ToE adapta-se ao risco:
- L1 — Baixo risco (protótipos, sistemas internos)
- L2 — Risco moderado (maioria das aplicações em produção)
- L3 — Crítico (dados sensíveis, infraestrutura crítica)
Cada capítulo considera para cada nivel o que prescreve, assegurando a porpocionalidade da prescrição ao "risco" da aplicação.
🛠️ Como aplicar na prática
📘 Leitura linear
Recomendada para equipas a estruturar processos ou auditorias:
Segue a ordem natural dos capítulos (1 a 14), começando pela gestão de risco.
🧩 Leitura modular
Recomendada para iniciativas específicas (ex: foco em CI/CD seguro):
Permite leitura capítulo a capítulo, com aplicação independente.
✅ Em contexto de auditoria
- Cada capítulo tem um checklist verificável com critérios objetivos
- Os itens são binários: sim / não
- A ausência de capítulos basilares invalida a avaliação de maturidade
📊 Em avaliação de maturidade
-
Os conteúdos estão alinhados com frameworks reconhecidas:
- OWASP SAMM - Domínios de Design, Implementation, Verification
- NIST SSDF - PO.x, RV.x e PP.x
- SLSA - Níveis 2 a 3 de segurança na cadeia de fornecimento
-
Indexam a resolução de ameaças comuns (ASVS, CAPEC, OSC&R, et al)
-
Respondem, no contexto do desenvolvimento aplicaional, aos requisitos emergente de:
- NIS2
- DORA
- CRA
🧠 Em onboarding de equipas
Este manual pode ser usado como:
- Introdução estruturada à segurança por domínio técnico
- Base de boas práticas nos pipelines e operações
- Material de formação para programas de Champions e mentoring