🔐 AppSec Engineer

Visão Geral

AppSec é a ponte entre normas abstratas e execução técnica.
Transforma obrigações regulatórias em controlos concretos, auditáveis e proporcionais ao risco, garantindo que segurança é embutida no ciclo de vida completo.

Responsabilidades Principais

• Traduzem normas e regulamentos em requisitos técnicos
• Facilitam sessões de threat modeling e revisão da arquitetura
• Definem guidelines de desenvolvimento seguro
• Acompanham auditorias e produzem evidência de segurança

Contexto Organizacional

Atuam como ponto de ligação entre equipas técnicas e governação, assegurando rastreabilidade exigida por NIS2 e DORA. Sem AppSec, as políticas de segurança ficam desligadas da realidade técnica.

Enquadramento Regulatório

Essencial para:

• NIS2: Rastreabilidade e gestão de vulnerabilidades
• DORA: Governação de fornecedores e resiliência operacional
• GDPR: Security by design e privacy by default

---

Atividades por Capítulo

Cap. 01 - Classificação de Aplicações

Rever classificação de criticidade sempre que houver alterações técnicas relevantes ou com cadência fixa (L1 anual, L2 semestral, L3 trimestral). Verificar se ameaças esperadas estão cobertas por controlos aplicados.

User Stories:

• US-02: Revisão de criticidade em alterações relevantes — Manter classificação atualizada
• US-03: Revisão periódica de criticidade — Cadência fixa por nível
• US-06: Verificação de cobertura de ameaças — Validar adequação de controlos

Cap. 02 - Requisitos de Segurança

Estabelecer e manter catálogo de requisitos de segurança (REQ-XXX) versionado e auditável ao longo do SDLC.

User Stories:

• US-04: Catálogo de Requisitos de Segurança — Aplicação consistente e rastreável

Cap. 03 - Threat Modeling

Documentar e aprovar formalmente riscos residuais identificados no threat modeling, garantindo decisões transparentes e auditáveis.

User Stories:

• US-04: Documentação e aprovação de riscos residuais — Decisões transparentes

Cap. 04 - Arquitetura Segura

Rever designs de arquitetura para garantir conformidade com padrões de segurança estabelecidos.

User Stories:

• US-03: Revisão de designs de arquitetura — Validar conformidade técnica

Cap. 05 - Dependências e SBOM

Executar SCA automático em pipelines e formalizar exceções a CVEs com governação explícita. Auditar bibliotecas copiadas manualmente.

User Stories:

• US-03: SCA automático com gates — Detetar CVEs antes de produção
• US-04: Exceções a CVEs formais e temporárias — Governação de risco residual
• US-09: Auditoria de bibliotecas copiadas manualmente — Bloqueio em CI/CD

Cap. 06 - Desenvolvimento Seguro

Validar dependências externas, registar exceções técnicas, rever guidelines trimestralmente, definir perfis de validação L1-L3, detetar padrões perigosos automaticamente.

User Stories:

• US-02: Validação de dependências externas — Reduzir supply chain risk
• US-03: Registro e aprovação de exceções técnicas — Rastreabilidade e revisão
• US-04: Revisão trimestral de guidelines — Governação formal
• US-05: Perfis de validação L1-L3 — Adequação ao risco
• US-06: Deteção automática de padrões perigosos — Bloqueio com feedback educativo

Cap. 07 - CI/CD Seguro

Aplicar gates distintos por L1-L3 e garantir scanners de containers/SBOM em pipelines. Executar DAST em staging.

User Stories:

• US-07: Gates por risco — Segurança proporcional
• US-08: Cobertura ampliada — Containers e SBOM
• US-11: DAST em staging — Validação comportamental

Cap. 08 - IaC e Infraestrutura

Governar módulos IaC com origem confiável, aplicar enforcement automático de políticas, auditar drift periodicamente.

User Stories:

• US-04: Governança de módulos IaC — Reduzir supply chain risk
• US-08: Enforcement automático de políticas — Conformidade sistemática
• US-11: Auditoria periódica de drift — Coerência IaC vs infraestrutura

Cap. 09 - Containers e Imagens

Assinar todas as imagens digitalmente com proveniência verificável. Monitorizar comportamento de containers em runtime.

User Stories:

• US-03: Assinatura digital de imagens — Integridade e origem
• US-05: Monitorização de comportamento em runtime — Deteção de eventos suspeitos

Cap. 10 - Testes de Segurança

Definir estratégia de testes por aplicação proporcional ao risco. Centralizar findings numa plataforma unificada e automatizar delivery às equipas.

User Stories:

• US-01: Estratégia de testes de segurança — Cobertura proporcional ao risco
• US-10: Gestão centralizada de findings — Plataforma unificada
• US-11: Feedback automático de findings — Delivery contextualizado

Cap. 11 - Deploy Seguro

Definir gates automáticos e thresholds no deploy. Executar validações técnicas com gates condicionais por risco.

User Stories:

• US-01: Gates automáticos no deploy — Bloquear releases inseguras
• US-04: Gates condicionais por risco — Validações técnicas proporcionais

Cap. 12 - Monitorização e Operações

Definir eventos e métricas críticas de segurança. Classificar domínios de monitorização, correlacionar eventos multi-fonte, afinar alertas, aplicar controlos proporcionais ao risco.

User Stories:

• US-02: Definição de eventos críticos — Cobertura de riscos relevantes
• US-04: Classificação de domínios de monitorização — Cobertura proporcional
• US-05: Correlação de eventos multi-fonte — Deteção de padrões suspeitos
• US-06: Validação e afinação de alertas — Reduzir falsos positivos
• US-09: Controlos proporcionais ao risco — Equilibrar custo e cobertura

Cap. 13 - Formação e Onboarding

Fornecer formação contínua por perfil, executar code clinics, manter trilhos formativos atualizados, aplicar formação proporcional ao risco, implementar quizzes de validação, definir DoD por formato.

User Stories:

• US-02: Formação contínua por perfil — Atualização com práticas recentes
• US-03: Code clinics estruturadas — Aprendizagem contínua
• US-07: Manutenção de trilhos formativos — Refletir práticas atuais
• US-08: Trilhos proporcionais ao risco — Adequação ao contexto
• US-09: Quizzes de validação — Registro auditável de competência
• US-10: Definição de DoD por formato — Consistência e qualidade

Cap. 14 - Governança e Contratação

Agregar práticas em dashboard organizacional, revisar exceções periodicamente, manter repositório de conformidade, executar validações periódicas, formalizar governação com alçadas, manter checklist centralizado, monitorizar fornecedores.

User Stories:

• US-02: Dashboard organizacional — Visibilidade e medição
• US-04: Revisão periódica de exceções — Validar mitigações
• US-06: Repositório de conformidade — Facilitar auditorias
• US-07: Validações periódicas de conformidade — Detetar desvios
• US-10: Checklist centralizado de conformidade — Estado real de todas as práticas
• US-14: Monitorização contínua de fornecedores — Deteção de eventos em tempo real

---

Referências aos Capítulos

Para contexto e enquadramento completo:

• Cap. 01 - Classificação de Aplicações
• Cap. 02 - Requisitos de Segurança
• Cap. 03 - Threat Modeling
• Cap. 04 - Arquitetura Segura
• Cap. 05 - Dependências e SBOM
• Cap. 06 - Desenvolvimento Seguro
• Cap. 07 - CI/CD Seguro
• Cap. 08 - IaC e Infraestrutura
• Cap. 09 - Containers e Imagens
• Cap. 10 - Testes de Segurança
• Cap. 11 - Deploy Seguro
• Cap. 12 - Monitorização e Operações
• Cap. 13 - Formação e Onboarding
• Cap. 14 - Governança e Contratação
• Cap. 05 - Dependências e SBOM
• Cap. 06 - Desenvolvimento Seguro
• Cap. 07 - CI/CD Seguro
• Cap. 08 - IaC e Infraestrutura
• Cap. 09 - Containers e Imagens
• Cap. 10 - Testes de Segurança
• Cap. 11 - Deploy Seguro
• Cap. 12 - Monitorização e Operações
• Cap. 13 - Formação e Onboarding
• Cap. 14 - Governança e Contratação