Pular para o conteúdo principal

🧪 Quality Assurance (QA)

Visão Geral

QA valida requisitos de segurança transformando-os em critérios de aceitação claros e testáveis.
Já não basta validar que o software "funciona": é necessário comprovar que funciona de forma resiliente e protegida contra ameaças.

Responsabilidades Principais

  • Validam requisitos de segurança (Cap. 02)
  • Executam testes funcionais e de segurança em paralelo
  • Confirmam que correções não introduzem regressões
  • Asseguram que controlos de segurança funcionam como esperado

Contexto Organizacional

QA é a primeira linha de defesa contra vulnerabilidades que escapam ao desenvolvimento. Sem testes de segurança robustos, o código inseguro chega a produção.

Enquadramento Regulatório

QA materializa exigências de:

  • NIS2: Verificação de medidas técnicas
  • DORA: Testes regulares de resiliência digital

Atividades por Capítulo

Cap. 01 - Classificação de Aplicações

Validar que requisitos aplicáveis por nível de risco estão cumpridos antes da entrada em produção, garantindo conformidade com a classificação atribuída.

User Stories:

Cap. 02 - Requisitos de Segurança

Garantir que todos os requisitos têm rastreabilidade no backlog e validação associada, prevenindo falsos positivos ou ausência de controlo.

User Stories:

Cap. 03 - Threat Modeling

Traduzir cenários de threat modeling em testes objetivos, garantindo que ameaças identificadas têm correspondência em validações práticas.

Cap. 04 - Arquitetura Segura

Validar a arquitetura antes do go-live, garantindo que todos os controlos definidos estão aplicados e exceções documentadas.

User Stories:

Cap. 06 - Desenvolvimento Seguro

Conduzir testes estáticos e dinâmicos em colaboração com AppSec, validando que código cumpre standards de segurança.

User Stories:

Cap. 07 - CI/CD Seguro

Assegurar que pipelines incorporam verificações automáticas de segurança, validando que gates funcionam corretamente.

Cap. 10 - Testes de Segurança

Executar testes dinâmicos autenticados, fuzzing em endpoints críticos e instrumentação IAST em staging para detetar vulnerabilidades exploráveis em runtime.

User Stories:

Cap. 11 - Deploy Seguro

Validar releases em staging com ambiente segregado, dados controlados e testes funcionais + segurança. Executar validações técnicas com gates condicionais por risco.

User Stories:

Cap. 12 - Monitorização

Validar que alertas e métricas de runtime estão configurados corretamente, confirmando que eventos críticos são detetados.

Cap. 13 - Formação

Participar em exercícios práticos estruturados (labs, CTFs, simulações) para garantir conhecimento aplicável em contexto real.

User Stories:

Referências aos Capítulos

Para contexto e enquadramento completo: