Anexo Técnico - Aplicação do SbD-ToE ao Pipeline CI/CD
Regras formais para permitir exceções no pipeline, com registo, aprovação, prazo de validade e visibilidade por função.
33 documentos marcados com "auditoria"
Ver todas as etiquetasAuditores Internos e Externos
Responsabilidades dos Auditores no SbD-ToE
Catálogo Base de Requisitos de Segurança
Catálogo canónico de requisitos de segurança aplicacional do SbD-ToE, organizado por domínio técnico, com aplicabilidade por nível de risco (L1–L3) e critérios de aceitação mínimos para validação, auditoria e integração em backlogs.
Catálogo de Requisitos de Arquitectura Segura
Catálogo canónico de requisitos de segurança estruturais e de design (ARC-001 a ARC-013), organizados por nível de risco, com critérios de aceitação para revisão de arquitectura, ADRs e auditorias técnicas.
Catálogo de Requisitos de CI/CD Seguro
Catálogo canónico de requisitos de segurança para pipelines de integração e entrega contínua (CIC-001 a CIC-010), com aplicabilidade por nível de risco e critérios de aceitação para design de pipelines, gestão de segredos, isolamento de runners, integridade de artefactos e gates de segurança.
Catálogo de Requisitos de Classificação de Aplicações
Catálogo canónico de requisitos de classificação de criticidade aplicacional (CLA-001 a CLA-008), com aplicabilidade por nível de risco e critérios de aceitação para classificação formal, reclassificação, risco residual e proporcionalidade de controlos.
Catálogo de Requisitos de Containers e Imagens
Catálogo canónico de requisitos de segurança para containers e imagens (CNT-001 a CNT-012), com aplicabilidade por nível de risco e critérios de aceitação para selecção de imagens base, hardening, assinatura, scanning, políticas de runtime e acesso a registries.
Catálogo de Requisitos de Dependências, SBOM e SCA
Catálogo canónico de requisitos de segurança para gestão de dependências de terceiros (DEP-001 a DEP-010), com aplicabilidade por nível de risco e critérios de aceitação para SBOM, SCA, governação de bibliotecas e políticas de actualização.
Catálogo de Requisitos de Deploy Seguro
Catálogo canónico de requisitos de segurança para o processo de deploy (DPL-001 a DPL-009), com aplicabilidade por nível de risco e critérios de aceitação para aprovação formal, proveniência de artefactos, gates automáticos, rollback, credenciais de deploy, staging, monitorização pós-deploy e rastreabilidade end-to-end.
Catálogo de Requisitos de Desenvolvimento Seguro
Catálogo canónico de requisitos de segurança para o processo de desenvolvimento (DEV-001 a DEV-009), com aplicabilidade por nível de risco e critérios de aceitação para guidelines de código, linters, revisão formal, gestão de excepções, proveniência e anotações rastreáveis.
Catálogo de Requisitos de Formação e Onboarding
Catálogo canónico de requisitos de formação e onboarding de segurança (TRN-001 a TRN-009), com aplicabilidade por nível de risco e critérios de aceitação para trilhos formativos, onboarding verificável, Security Champions e eficácia formativa.
Catálogo de Requisitos de Governação e Contratação
Catálogo canónico de requisitos de governação organizacional de segurança (GOV-001 a GOV-012), com aplicabilidade por nível de risco e critérios de aceitação para ownership, excepções, contratação, rastreabilidade, validação contínua e maturidade.
Catálogo de Requisitos de Infraestrutura como Código
Catálogo canónico de requisitos de segurança para projectos IaC (IAC-001 a IAC-013), organizados por nível de risco, com critérios de aceitação para governação de repositórios, pipelines, estado, módulos e drift de configuração.
Catálogo de Requisitos de Monitorização e Operações
Catálogo canónico de requisitos do programa de monitorização e operações de segurança (OPS-001 a OPS-010), com aplicabilidade por nível de risco e critérios de aceitação para logging centralizado, eventos críticos, retenção, SIEM, alertas, SLA de resposta, correlação, integração com IRP, detecção comportamental e métricas de eficácia.
Catálogo de Requisitos de Testes de Segurança
Catálogo canónico de requisitos do programa de testes de segurança (TST-001 a TST-010), com aplicabilidade por nível de risco e critérios de aceitação para estratégia de testes, SAST, DAST, gestão de findings, regressão, pentesting e evidência auditável.
Catálogo de Requisitos de Threat Modeling
Catálogo canónico de requisitos de threat modeling (THR-001 a THR-007), com aplicabilidade por nível de risco e critérios de aceitação para identificação de ameaças, disposição formal, derivação de requisitos e rastreabilidade metodológica.
Checklist - CI/CD Seguro
Lista de verificação objetiva da adoção das práticas de segurança em pipelines CI/CD
Checklist - Containers e Imagens
Checklist binário e auditável para avaliar a adoção prática das práticas prescritas no Capítulo 09 - Containers e Imagens
Checklist - Desenvolvimento Seguro
Checklist binário e auditável para avaliar a adoção prática das práticas prescritas no Capítulo 06 - Desenvolvimento Seguro
Checklist - Formação e Onboarding Seguro
Lista de verificação binária e rastreável da adoção das práticas do Capítulo 13.
Checklist de Aderência ao Modelo SbD-ToE
Instrumento de avaliação de adopção do modelo SbD-ToE - 96 pontos de verificação organizados por domínio e nível de risco, derivados das políticas organizacionais. Responde à pergunta "esta equipa/organização está a fazer SbD-ToE?" e serve como ferramenta de auto-avaliação, auditoria interna e requisito contratual.
Checklist de Offboarding Seguro
Procedimento formalizado e executável para rescisão segura de contractors e fornecedores
Checklist de Revisão - Requisitos de Segurança
Verificações obrigatórias por projeto para garantir a aplicação dos requisitos definidos
Estudo de Caso - Aplicar o SbD-ToE ao Próprio Pipeline CI/CDx
Regras formais para permitir exceções no pipeline, com registo, aprovação, prazo de validade e visibilidade por função.
Excepções e Visibilidade em CI/CD
Especificidades da gestão de excepções no contexto de pipelines CI/CD - bypass de gates, visibilidade e métricas
Modelo de Rastreabilidade entre Riscos, Requisitos e Controlos
Como construir e manter uma matriz de rastreabilidade que liga riscos identificados, requisitos canónicos, tags operacionais de projeto, controlos técnicos e evidência auditável.
Política de Rastreabilidade e Auditoria
Política organizacional transversal que define os requisitos de rastreabilidade entre requisitos, controlos, evidências de validação, artefactos de build e eventos operacionais, assegurando que a postura de segurança é auditável de forma contínua e proporcional ao nível de risco da aplicação.
Política de Rastreabilidade Organizacional
Política organizacional que define os requisitos para a rastreabilidade das práticas de segurança ao longo do ciclo de vida das aplicações, incluindo repositório de conformidade por aplicação, designação de owners de segurança, validações periódicas por capítulo SbD-ToE, evidências auditáveis e dashboard organizacional, proporcional ao nível de criticidade (L1, L2, L3).
Rastreabilidade de Execuções, Assinaturas e Deploys
Garantir que cada execução de pipeline e cada artefacto podem ser rastreados até ao commit, origem e responsável associado.
Rastreabilidade Organizacional de Segurança
Modelo de registo e justificação formal de decisões e entregáveis de segurança
Recomendações Avançadas - Governança e Contratação
Práticas avançadas de governação aplicáveis a contextos de elevada maturidade ou requisitos regulatórios
Validação Contínua de Governação
Estratégias e ciclos para manter validações, KPIs e exceções auditáveis
Validação de Requisitos de Segurança
Modelo completo de validação dos requisitos do catálogo SbD-ToE - princípios, métodos por tipo de requisito, momentos do ciclo de vida e plano detalhado por domínio com tag operacional, método recomendado e evidência esperada.