Ameaças à Cadeia de Fornecimento (Supply Chain)
Tipos de ataque via dependências e práticas para deteção e mitigação
20 documentos marcados com "dependências"
Ver todas as etiquetasAnálise de Vulnerabilidades em Dependências (SCA)
Práticas de Software Composition Analysis para detetar, priorizar e mitigar vulnerabilidades conhecidas
Checklist - Dependências, SBOM e SCA
Verificação binária da aplicação das práticas prescritas no Capítulo 05
Como Fazer
Integração prática das prescrições de gestão de dependências, geração de SBOM e execução de SCA ao longo do ciclo de vida da aplicação
Controlo de Registos e Origem de Pacotes
Políticas para repositórios internos, proxies, mirrors e validação da proveniência
Dependências, SBOM e SCA
Princípios, práticas e controlos para garantir gestão segura de dependências, geração de SBOM e análise automatizada de composição de software
Excepções e Aceitação de Risco em Vulnerabilidades de Dependências
Especificidades da gestão de excepções no contexto de findings SCA/CVE
Governaça de Bibliotecas e Componentes de Terceiros
Práticas de controlo, aprovação e rastreabilidade de bibliotecas externas e pacotes de terceiros
Integração com Pipelines CI/CD
Integração automatizada de SBOM, SCA e controlo de exceções no ciclo de build e release
Inventário de Dependências e SBOM
Geração e gestão de Software Bill of Materials (SBOM) com rastreabilidade no ciclo de vida
KPIs e Métricas - Dependências, SBOM e SCA
Indicadores técnicos e operacionais para avaliação da eficácia dos controlos de gestão de dependências, geração de SBOM e análise de composição de software, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Policies
Políticas organizacionais que sustentam a aplicação prática deste capítulo
Política de Atualização Automática de Dependências
Política organizacional que define os requisitos para a operação de bots de atualização automática de dependências, incluindo critérios de auto-merge, análise de impacto, handoff humano e configuração proporcional ao nível de criticidade da aplicação (L2, L3).
Política de Gestão de Dependências
Política organizacional que define os critérios de aprovação, pinning, bloqueio, auditing e atualização de dependências externas em projetos de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3), com foco na redução de risco de supply chain e na garantia de rastreabilidade.
Políticas de Atualização de Dependências
Práticas de atualização proativa, TTL, locking e gestão de versões seguras
Práticas Avançadas - Gestão de Dependências e Supply Chain
Recomendações reforçadas para contextos críticos ou ambientes com elevada maturidade
Rastreabilidade — Capítulo 05: Dependências, SBOM e SCA
Rastreabilidade das práticas de gestão de dependências e supply chain face a frameworks normativos com pilot formal
Rastreabilidade entre Vulnerabilidades, Componentes e Ações
Modelo de ligação entre findings SCA, SBOM, backlog e releases
Riscos de Processo na Arquitetura de Software
Identificação e mitigação dos riscos inerentes ao processo de decisão arquitetural
Segurança de Dependências
Práticas de gestão e validação de dependências externas para garantir integridade, atualização e segurança no código