⚙️ DevOps / SRE
Visão Geral
DevOps/SRE são os artesãos da automação e da infraestrutura.
Garantem que segurança está embutida nos pipelines e no runtime, não aplicada como adereço posterior. Constroem autopistas de segurança que verificam, validam e bloqueiam código inseguro.
Responsabilidades Principais
- Integram verificações de segurança em pipelines (Cap. 07)
- Automatizam criação de SBOM e scans de dependências (Cap. 05)
- Garantem execução segura de IaC e containers (Cap. 08-09)
- Mantêm monitorização contínua em produção (Cap. 12)
Contexto Organizacional
Respondem diretamente a requisitos de DORA (resiliência operacional digital) e NIS2 (medidas técnicas adequadas). São a ponte entre desenvolvimento e operações seguras.
Enquadramento Regulatório
Essenciais para:
- DORA: Resiliência operacional digital
- NIS2: Implementação de medidas técnicas adequadas
Atividades por Capítulo
Cap. 01 - Classificação de Aplicações
Classificar artefactos técnicos (Dockerfile, pipeline, IaC, imagens) com a mesma criticidade da aplicação, garantindo que controlos de segurança acompanham a integridade da entrega.
User Stories:
- Classificação de artefactos técnicos - Rastreabilidade de segurança em artefactos
Cap. 02 - Requisitos de Segurança
Garantir que pipeline CI/CD verifica automaticamente requisitos de segurança (SAST, SCA, DAST, SBOM, assinaturas), bloqueando merges e releases não conformes.
User Stories:
- US-10: Gates automáticos em CI/CD - Verificação automática de requisitos
- US-11: Geração de SBOM e assinatura - SBOM e assinaturas no pipeline
Cap. 03 - Threat Modeling
Atualizar modelo de ameaça em alterações significativas e integrar validações no pipeline para revisão automática.
User Stories:
- US-03: Atualização do modelo após alteração - Manter modelo atualizado
- US-05: Integração com CI/CD - Validações automáticas
- US-07: Automação e reutilização de modelos - Ferramentas para consistência
Cap. 04 - Arquitetura Segura
Validar controlos de arquitetura no pipeline (topologia, IaC, policies). Implementar segregação de ambientes (dev, QA, stage, prod) com isolamento lógico e físico.
User Stories:
- US-05: Validação da arquitetura em CI/CD - Garantir conformidade automática
- US-13: Segregação de ambientes - Isolamento com permissões mínimas
Cap. 05 - Dependências e SBOM
Automatizar geração e gestão de SBOM, integrando análise de vulnerabilidades em dependências no pipeline.
User Stories:
- US-02: SBOM em cada build - Rastreabilidade completa de componentes
- US-06: Repositórios internos como fonte única - Proveniência e consistência
- US-08: Automação da atualização com avaliação de impacto - PRs seguros automatizados
- US-10: Inventário e SBOM por Build - SBOM assinado por artefacto
- US-11: Alertas sobre vulnerabilidades - Notificações proativas
Cap. 06 - Desenvolvimento Seguro
Integrar linters e SAST no pipeline para detetar falhas precocemente e gerar evidência contínua de conformidade.
User Stories:
- US-04: Automatização em CI/CD - Linters e SAST automáticos
- US-09: Gate de segurança pré-release - Consolidação de evidências
- US-12: Validações locais obrigatórias - Pre-commit hooks
Cap. 07 - CI/CD Seguro
Desenhar pipelines com scanners, gates e assinaturas de release, garantindo que apenas artefactos validados avançam entre fases.
User Stories:
- US-02: Design seguro dos pipelines - Pipelines versionados e auditáveis
- US-04: Gestão de segredos - OIDC com TTL curto
- US-05: Isolamento de runners - Runners ephemerais e segregados
- US-06: Assinatura e proveniência - Confiança em artefactos
- US-13: Validação de integridade de imagens base - Proteção contra supply chain
Cap. 08 - IaC
Aplicar enforcement de políticas em IaC com policy-as-code, validando conformidade antes do deployment.
User Stories:
- US-01: Backend remoto, locking e rastreabilidade - Estado seguro e sem drift
- US-02: Segregação de ambientes, tagging e permissões mínimas - Isolamento e rastreabilidade
- US-05: Rastreabilidade, versionamento e naming - Histórico completo com rollback
- US-06: Revisão formal de plan antes de apply - Validação de impacto
- US-09: Assinatura e Proveniência de artefactos IaC - Integridade ponta-a-ponta
- US-10: Gestão de segredos e identidades para IaC - OIDC com permissões mínimas
- US-12: Rollback e salvaguarda de destroy - Pontos de restauração
Cap. 09 - Containers e Imagens
Executar scanners de vulnerabilidades em cada build, validar execuções com políticas formais (OPA/Kyverno), gerar SBOM automaticamente, impor allowlist de registries e digest SHA256, proibir credenciais estáticas, aplicar RBAC mínimo e NetworkPolicy, manter catálogo de Golden Images.
User Stories:
- US-02: Validação automática de vulnerabilidades em imagens - SCA com bloqueio automático
- US-04: Políticas formais de segurança no runtime - OPA/Kyverno para validação
- US-06: Geração e Rastreabilidade de SBOM - SBOM versionado por build
- US-07: Governação de Registries - Allowlist + digest SHA256
- US-08: Gestão de Segredos com OIDC - Identidades efémeras
- US-09: RBAC Mínimo e ServiceAccounts - Isolamento por workload
- US-10: Segmentação de Rede - NetworkPolicy por namespace
- US-11: Golden Base Images - Catálogo padronizado com SLA
- US-12: Builders e Runners Seguros - Proteção do pipeline CI/CD
Cap. 10 - Testes de Segurança
Integrar gates automáticos no pipeline (SAST/SCA/IAST) com thresholds por Lx. Centralizar findings numa plataforma unificada e automatizar delivery às equipas.
User Stories:
- US-04: Gates de segurança no CI/CD - Thresholds por nível de criticidade
- US-10: Gestão Centralizada de Findings - Plataforma unificada
- US-11: Feedback Automático de Findings - Delivery contextualizado
Cap. 11 - Deploy Seguro
Executar deploy apenas de artefactos assinados e versionados. Implementar rollback rápido testado periodicamente, ativar monitorização pós-deploy, implementar feature flags com metadados, garantir que segredos nunca são embebidos, implementar deploy progressivo (canary/blue-green).
User Stories:
- US-02: Deploy apenas de artefactos assinados - Integridade criptográfica
- US-05: Rollback rápido e testado - Documentado e validado
- US-06: Monitorização pós-deploy - Deteção de anomalias
- US-08: Feature Flags com Governança - Metadados e expiração
- US-09: Gestão Segura de Segredos - Zero segredos em artefactos
- US-10: Deploy Progressivo - Canary/Blue-Green
- US-11: Rollback documentado por tipo - Procedimentos de rollback testados
Cap. 12 - Monitorização e Operações
Configurar ambientes de produção com monitorização contínua e coordenar resposta a alertas. Garantir segurança e integridade de logs (retenção WORM), integrar com SIEM.
User Stories:
- US-06: Domínios de monitorização - Cobertura proporcional ao risco
- US-07: Segurança e integridade de logs - Retenção WORM + acesso restrito
- US-08: Integração com SIEM - Parsing e normalização
Referências aos Capítulos
Para contexto e enquadramento completo:
- Cap. 01 - Classificação de Aplicações
- Cap. 02 - Requisitos de Segurança
- Cap. 03 - Threat Modeling
- Cap. 04 - Arquitetura Segura
- Cap. 05 - Dependências e SBOM
- Cap. 06 - Desenvolvimento Seguro
- Cap. 07 - CI/CD Seguro
- Cap. 08 - IaC e Infraestrutura
- Cap. 09 - Containers e Imagens
- Cap. 10 - Testes de Segurança
- Cap. 11 - Deploy Seguro
- Cap. 12 - Monitorização e Operações