Pular para o conteúdo principal

Método: Ver Metodologia de Validação de Claims para a baseline empírica dos autores, validação por índices semânticos, ontology backtrace e comparação com fontes externas.

Rastreabilidade — Capítulo 14: Governança e Contratação Segura

Este capítulo define práticas de governação formal — exceções, cláusulas contratuais, ownership, onboarding de terceiros — como mecanismo transversal de enforcement e conformidade do modelo SbD-ToE.

Camada AppSec Core

Slice AppSec CoreRelevância
ACO-SLG — Security Event Logging, Audit Trail & Centralized LoggingGovernance formal, KPIs, audit trail de conformidade, ciclo de vida de exceções
ACO-SCBI — Supply Chain & Build IntegrityGestão de fornecedores, cláusulas contratuais de supply chain, validação de terceiros

Frameworks normativos — cobertura verificada

Inclui apenas frameworks com pilot formal publicado no ExternalSourcesInventory.

FrameworkRequisito / PráticaCoberturaNotaFonte verificada
SSDF PO.1Define Security Requirements✅ ExplícitoGovernação de requisitos e exceções formalizadasrequirements_catalog (strong): Catálogo GOV - Governação e Contratação
SSDF PO.2Implement Roles and Responsibilities🔧 ReparaçãoOwnership forte; sem row explícita PO.2 publicada — rastreabilidade distribuída por Cap. 00 + 13 + 14addon (medium): Modelo de Governação para Security by Design
SSDF PO.3Implement Supporting Toolchains✅ ExplícitoToolchain de governação publicadarequirements_catalog (strong): Catálogo GOV - Governação e Contratação
SSDF RV.2Assess, Prioritize, and Remediate Vulnerabilities⚠️ ParcialAções corretivas e auditoria; RV.2 mais técnico que governaçãoaddon (medium): Validação Continuada e Revisões
CIS-5Account Management⚠️ ParcialGovernance semântico; offboarding e gestão de acessosaddon (medium): Checklist de Offboarding Seguro
CIS-15Service Provider Management✅ SemânticoGestão e validação contínua de fornecedores (15.1, 15.6)addon (medium): Modelo de Validação de Fornecedores e Terceiros
CIS-17Incident Response Management✅ SemânticoAuditoria e governação de exceções e conformidade (17.1)addon (medium): Processo Canónico de Gestão de Excepções
ASVS authorization_and_least_privilegeAuthorization⚠️ ParcialGovernance semântico; sem unit dedicadosem unit dedicado no capítulo
ASVS protected_secret_storageSecret storage⚠️ ParcialGovernance adjacente; sem unit dedicadosem unit dedicado no capítulo
DORAGovernança e contratação✅ ExplícitoOverlay regulatório publicadorequirements_catalog (strong): Catálogo GOV + addon (medium): Cláusulas Contratuais de Segurança
NIS2Governança de fornecedores✅ ExplícitoOverlay regulatório publicadorequirements_catalog (strong): Catálogo GOV - Governação e Contratação

Legenda: ✅ Explícito · ✅ Semântico · ⚠️ Parcial · 🔧 Reparação · 🔴 Gap

Nota SSDF PO.2: A rastreabilidade completa de PO.2 distribui-se por Cap. 00 (definição de papéis), Cap. 13 (formação e validação) e este capítulo (ownership formal e governação). A ausência de uma row PO.2 explícita publicada é o único item de reparação activo neste capítulo.

Metodologia: Cobertura verificada contra ontology_discovery_units.jsonl (4139 units, manual completo). "Explícito" = unit normative_weight strong/medium com heading directo. "Semântico" = conteúdo confirmado em addon ou via mapeamento canónico. "Parcial" = sem unit dedicado no capítulo.

Maturidade — referência separada

A leitura de maturidade deste capítulo é tratada em achievable-maturity.md.

Neste documento, os modelos de maturidade surgem apenas como contexto editorial complementar. A sua normalização formal é apresentada no documento dedicado do capítulo.

Ligações com outros capítulos

  • Cap. 00 — papéis e responsabilidades formalizados aqui via ownership
  • Cap. 01 — critérios de risco aplicados a decisões de exceção
  • Cap. 05 — cláusulas de supply chain e gestão SCA com fornecedores
  • Cap. 07 / 09 — contratualização de práticas CI/CD e execução segura
  • Cap. 13 — controlo de formação estendido a terceiros e fornecedores