Catálogo canónico de requisitos de segurança para pipelines de integração e entrega contínua (CIC-001 a CIC-010), com aplicabilidade por nível de risco e critérios de aceitação para design de pipelines, gestão de segredos, isolamento de runners, integridade de artefactos e gates de segurança.
Catálogo canónico de requisitos de segurança para o processo de deploy (DPL-001 a DPL-009), com aplicabilidade por nível de risco e critérios de aceitação para aprovação formal, proveniência de artefactos, gates automáticos, rollback, credenciais de deploy, staging, monitorização pós-deploy e rastreabilidade end-to-end.
Integração prática das práticas de release e deploy seguro no ciclo de vida de software
Princípios e controlos para garantir um processo de deploy seguro, validado e rastreável em ambientes de produção
Especificidades da gestão de excepções no contexto de deploy seguro - emergency deploy, break glass e desvios a gates de promoção
Indicadores técnicos e operacionais para avaliação da eficácia dos controlos de segurança em pipelines de integração e entrega contínua, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Política organizacional que define os requisitos de segurança para pipelines de integração e entrega contínua, incluindo gates obrigatórios, scanners integrados, separação de ambientes, assinatura de artefactos, gestão de segredos no pipeline e aprovações de promoção, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a estratégia de testes de segurança ao longo do ciclo de vida de aplicações, incluindo SAST, DAST, SCA, IAST, fuzzing e testes manuais, com gates obrigatórios, SLAs de triagem de findings e gestão centralizada de resultados, proporcional ao nível de criticidade (L1, L2, L3).
Definição de políticas automáticas no pipeline com gates de segurança que variam segundo o nível de risco da aplicação.