⚙️ DevOps / SRE
Visão Geral
DevOps/SRE são os artesãos da automação e da infraestrutura.
Garantem que segurança está embutida nos pipelines e no runtime, não aplicada como adereço posterior. Constroem autopistas de segurança que verificam, validam e bloqueiam código inseguro.
Responsabilidades Principais
- Integram verificações de segurança em pipelines (Cap. 07)
- Automatizam criação de SBOM e scans de dependências (Cap. 05)
- Garantem execução segura de IaC e containers (Cap. 08-09)
- Mantêm monitorização contínua em produção (Cap. 12)
Contexto Organizacional
Respondem diretamente a requisitos de DORA (resiliência operacional digital) e NIS2 (medidas técnicas adequadas). São a ponte entre desenvolvimento e operações seguras.
Enquadramento Regulatório
Essenciais para:
- DORA: Resiliência operacional digital
- NIS2: Implementação de medidas técnicas adequadas
Atividades por Capítulo
Cap. 01 - Classificação de Aplicações
Classificar artefactos técnicos (Dockerfile, pipeline, IaC, imagens) com a mesma criticidade da aplicação, garantindo que controlos de segurança acompanham a integridade da entrega.
User Stories:
- US-09: Classificação de artefactos técnicos — Rastreabilidade de segurança em artefactos
Cap. 02 - Requisitos de Segurança
Garantir que pipeline CI/CD verifica automaticamente requisitos de segurança (SAST, SCA, DAST, SBOM, assinaturas), bloqueando merges e releases não conformes.
User Stories:
- US-10: Gates automáticos em CI/CD — Verificação automática de requisitos
- US-11: Geração de SBOM e assinatura — SBOM e assinaturas no pipeline
Cap. 03 - Threat Modeling
Atualizar modelo de ameaça em alterações significativas e integrar validações no pipeline para revisão automática.
User Stories:
- US-03: Atualização do modelo após alteração — Manter modelo atualizado
- US-05: Integração com CI/CD — Validações automáticas
- US-07: Automação e reutilização de modelos — Ferramentas para consistência
Cap. 04 - Arquitetura Segura
Validar controlos de arquitetura no pipeline (topologia, IaC, policies). Implementar segregação de ambientes (dev, QA, stage, prod) com isolamento lógico e físico.
User Stories:
- US-05: Validação da arquitetura em CI/CD — Garantir conformidade automática
- US-13: Segregação de ambientes — Isolamento com permissões mínimas
Cap. 05 - Dependências e SBOM
Automatizar geração e gestão de SBOM, integrando análise de vulnerabilidades em dependências no pipeline.
User Stories:
- US-02: SBOM em cada build — Rastreabilidade completa de componentes
- US-06: Repositórios internos como fonte única — Proveniência e consistência
- US-08: Automação da atualização com avaliação de impacto — PRs seguros automatizados
- US-10: Inventário e SBOM por Build — SBOM assinado por artefacto
- US-11: Alertas sobre vulnerabilidades — Notificações proativas
Cap. 06 - Desenvolvimento Seguro
Integrar linters e SAST no pipeline para detetar falhas precocemente e gerar evidência contínua de conformidade.
User Stories:
- US-04: Automatização em CI/CD — Linters e SAST automáticos
- US-09: Gate de segurança pré-release — Consolidação de evidências
- US-12: Validações locais obrigatórias — Pre-commit hooks
Cap. 07 - CI/CD Seguro
Desenhar pipelines com scanners, gates e assinaturas de release, garantindo que apenas artefactos validados avançam entre fases.
User Stories:
- US-02: Design seguro dos pipelines — Pipelines versionados e auditáveis
- US-04: Gestão de segredos — OIDC com TTL curto
- US-05: Isolamento de runners — Runners ephemerais e segregados
- US-06: Assinatura e proveniência — Confiança em artefactos
- US-13: Validação de integridade de imagens base — Proteção contra supply chain
Cap. 08 - IaC
Aplicar enforcement de políticas em IaC com policy-as-code, validando conformidade antes do deployment.
User Stories:
- US-01: Backend remoto, locking e rastreabilidade — Estado seguro e sem drift
- US-02: Segregação de ambientes, tagging e permissões mínimas — Isolamento e rastreabilidade
- US-05: Rastreabilidade, versionamento e naming — Histórico completo com rollback
- US-06: Revisão formal de plan antes de apply — Validação de impacto
- US-09: Assinatura e Proveniência de artefactos IaC — Integridade ponta-a-ponta
- US-10: Gestão de segredos e identidades para IaC — OIDC com permissões mínimas
- US-12: Rollback e salvaguarda de destroy — Pontos de restauração
Cap. 09 - Containers e Imagens
Executar scanners de vulnerabilidades em cada build, validar execuções com políticas formais (OPA/Kyverno), gerar SBOM automaticamente, impor allowlist de registries e digest SHA256, proibir credenciais estáticas, aplicar RBAC mínimo e NetworkPolicy, manter catálogo de Golden Images.
User Stories:
- US-02: Validação automática de vulnerabilidades em imagens — SCA com bloqueio automático
- US-04: Políticas formais de segurança no runtime — OPA/Kyverno para validação
- US-06: Geração e Rastreabilidade de SBOM — SBOM versionado por build
- US-07: Governação de Registries — Allowlist + digest SHA256
- US-08: Gestão de Segredos com OIDC — Identidades efémeras
- US-09: RBAC Mínimo e ServiceAccounts — Isolamento por workload
- US-10: Segmentação de Rede — NetworkPolicy por namespace
- US-11: Golden Base Images — Catálogo padronizado com SLA
- US-12: Builders e Runners Seguros — Proteção do pipeline CI/CD
Cap. 10 - Testes de Segurança
Integrar gates automáticos no pipeline (SAST/SCA/IAST) com thresholds por Lx. Centralizar findings numa plataforma unificada e automatizar delivery às equipas.
User Stories:
- US-04: Gates de segurança no CI/CD — Thresholds por nível de criticidade
- US-10: Gestão Centralizada de Findings — Plataforma unificada
- US-11: Feedback Automático de Findings — Delivery contextualizado
Cap. 11 - Deploy Seguro
Executar deploy apenas de artefactos assinados e versionados. Implementar rollback rápido testado periodicamente, ativar monitorização pós-deploy, implementar feature flags com metadados, garantir que segredos nunca são embebidos, implementar deploy progressivo (canary/blue-green).
User Stories:
- US-02: Deploy apenas de artefactos assinados — Integridade criptográfica
- US-05: Rollback rápido e testado — Documentado e validado
- US-06: Monitorização pós-deploy — Deteção de anomalias
- US-08: Feature Flags com Governança — Metadados e expiração
- US-09: Gestão Segura de Segredos — Zero segredos em artefactos
- US-10: Deploy Progressivo — Canary/Blue-Green
- US-11: Rollback documentado por tipo — Procedimentos de rollback testados
Cap. 12 - Monitorização e Operações
Configurar ambientes de produção com monitorização contínua e coordenar resposta a alertas. Garantir segurança e integridade de logs (retenção WORM), integrar com SIEM.
User Stories:
- US-06: Domínios de monitorização — Cobertura proporcional ao risco
- US-07: Segurança e integridade de logs — Retenção WORM + acesso restrito
- US-08: Integração com SIEM — Parsing e normalização
Referências aos Capítulos
Para contexto e enquadramento completo:
- Cap. 01 - Classificação de Aplicações
- Cap. 02 - Requisitos de Segurança
- Cap. 03 - Threat Modeling
- Cap. 04 - Arquitetura Segura
- Cap. 05 - Dependências e SBOM
- Cap. 06 - Desenvolvimento Seguro
- Cap. 07 - CI/CD Seguro
- Cap. 08 - IaC e Infraestrutura
- Cap. 09 - Containers e Imagens
- Cap. 10 - Testes de Segurança
- Cap. 11 - Deploy Seguro
- Cap. 12 - Monitorização e Operações