Política organizacional que define o tratamento de modelos AI, datasets, MCP servers/tools, prompts embebidos e providers AI como cadeia de fornecimento auditável — geração de AI BOM por build em formato standardizado (CycloneDX 1.6 ml-bom), version pinning, lista de providers aprovados e resposta a incidentes upstream, complementando Policy 10 (dependências) e Policy 11 (SBOM), proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a operação de bots de atualização automática de dependências, incluindo critérios de auto-merge, análise de impacto, handoff humano e configuração proporcional ao nível de criticidade da aplicação (L2, L3).
Política organizacional que define os critérios, o processo formal, as alçadas de aprovação, os controlos compensatórios e os prazos de reavaliação aplicáveis a exceções a vulnerabilidades conhecidas (CVEs) em dependências de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3).
Política organizacional que define os critérios de aprovação, pinning, bloqueio, auditing e atualização de dependências externas em projetos de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3), com foco na redução de risco de supply chain e na garantia de rastreabilidade.
Política organizacional transversal que define o processo formal de submissão, avaliação, aprovação, registo e reavaliação de exceções a controlos de segurança obrigatórios, com alçadas proporcionais ao nível de risco da aplicação. Aplica-se a todos os capítulos SbD-ToE onde existam controlos com obrigatoriedade formal.
Política organizacional que define os requisitos de geração, formato, assinatura, proveniência, arquivamento e retenção de SBOMs (Software Bill of Materials) em builds de software, contentor e IaC, proporcional ao nível de criticidade da aplicação (L1, L2, L3).