Catálogo canónico de requisitos de segurança para gestão de dependências de terceiros (DEP-001 a DEP-010), com aplicabilidade por nível de risco e critérios de aceitação para SBOM, SCA, governação de bibliotecas e políticas de actualização.
Política organizacional que define o tratamento de modelos AI, datasets, MCP servers/tools, prompts embebidos e providers AI como cadeia de fornecimento auditável — geração de AI BOM por build em formato standardizado (CycloneDX 1.6 ml-bom), version pinning, lista de providers aprovados e resposta a incidentes upstream, complementando Policy 10 (dependências) e Policy 11 (SBOM), proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos de geração, formato, assinatura, proveniência, arquivamento e retenção de SBOMs (Software Bill of Materials) em builds de software, contentor e IaC, proporcional ao nível de criticidade da aplicação (L1, L2, L3).