Catálogo canónico de requisitos de segurança para o processo de desenvolvimento (DEV-001 a DEV-009), com aplicabilidade por nível de risco e critérios de aceitação para guidelines de código, linters, revisão formal, gestão de excepções, proveniência e anotações rastreáveis.
Práticas de codificação segura, curadoria e seleção de guidelines, validação automatizada e governação durante o desenvolvimento
Regras e ferramentas para validação de segurança diretamente no ambiente de desenvolvimento (pre-commit, IDE, CLI)
Política organizacional que define os requisitos para a seleção, tailoring, publicação, versionamento e revisão periódica de guidelines de desenvolvimento seguro por stack tecnológica, incluindo a conversão de regras em configurações automáticas de linters e SAST, proporcional ao nível de criticidade (L1, L2, L3).
Validações do próprio código do pipeline (YAML, scripts, linters), incluindo controlo de lógica, permissões e uso de componentes externos.