Catálogo canónico de requisitos de segurança para pipelines de integração e entrega contínua (CIC-001 a CIC-010), com aplicabilidade por nível de risco e critérios de aceitação para design de pipelines, gestão de segredos, isolamento de runners, integridade de artefactos e gates de segurança.
Catálogo canónico de requisitos de segurança para o processo de deploy (DPL-001 a DPL-011), com aplicabilidade por nível de risco e critérios de aceitação para aprovação formal, proveniência de artefactos, gates automáticos, rollback, credenciais de deploy, staging, monitorização pós-deploy, release gates de sistemas agentic e rastreabilidade end-to-end.
Catálogo canónico de requisitos de segurança para o processo de desenvolvimento (DEV-001 a DEV-009), com aplicabilidade por nível de risco e critérios de aceitação para guidelines de código, linters, revisão formal, gestão de excepções, proveniência e anotações rastreáveis.
Práticas de segurança para pipelines de integração e entrega contínua, com foco em automação, rastreabilidade e controlo proporcional ao risco
Princípios, práticas e controlos para construir, validar e executar imagens de forma segura, auditável e rastreável
Técnicas para gerar, assinar e validar artefactos com proveniência confiável, garantindo rastreabilidade de build até produção.
Política organizacional que define os requisitos de geração, formato, assinatura, proveniência, arquivamento e retenção de SBOMs (Software Bill of Materials) em builds de software, contentor e IaC, proporcional ao nível de criticidade da aplicação (L1, L2, L3).
Identificação e mitigação dos riscos introduzidos pela automação na cadeia de build, validação e execução de imagens de container