83 documentos marcados com "rastreabilidade"

Ameaças mitigadas pela definição e validação estruturada de requisitos de segurança

Estratégias para anotar decisões e evidências de validação de segurança no próprio código ou ciclo de desenvolvimento

Catálogo canónico de requisitos de segurança aplicacional do SbD-ToE, organizado por domínio técnico, com aplicabilidade por nível de risco (L1–L3) e critérios de aceitação mínimos para validação, auditoria e integração em backlogs.

Catálogo canónico de requisitos de segurança estruturais e de design (ARC-001 a ARC-013), organizados por nível de risco, com critérios de aceitação para revisão de arquitectura, ADRs e auditorias técnicas.

Catálogo canónico de requisitos de segurança para pipelines de integração e entrega contínua (CIC-001 a CIC-010), com aplicabilidade por nível de risco e critérios de aceitação para design de pipelines, gestão de segredos, isolamento de runners, integridade de artefactos e gates de segurança.

Catálogo canónico de requisitos de segurança para containers e imagens (CNT-001 a CNT-012), com aplicabilidade por nível de risco e critérios de aceitação para selecção de imagens base, hardening, assinatura, scanning, políticas de runtime e acesso a registries.

Catálogo canónico de requisitos de segurança para gestão de dependências de terceiros (DEP-001 a DEP-010), com aplicabilidade por nível de risco e critérios de aceitação para SBOM, SCA, governação de bibliotecas e políticas de actualização.

Catálogo canónico de requisitos de segurança para o processo de deploy (DPL-001 a DPL-009), com aplicabilidade por nível de risco e critérios de aceitação para aprovação formal, proveniência de artefactos, gates automáticos, rollback, credenciais de deploy, staging, monitorização pós-deploy e rastreabilidade end-to-end.

Catálogo canónico de requisitos de segurança para o processo de desenvolvimento (DEV-001 a DEV-009), com aplicabilidade por nível de risco e critérios de aceitação para guidelines de código, linters, revisão formal, gestão de excepções, proveniência e anotações rastreáveis.

Catálogo canónico de requisitos de governação organizacional de segurança (GOV-001 a GOV-012), com aplicabilidade por nível de risco e critérios de aceitação para ownership, excepções, contratação, rastreabilidade, validação contínua e maturidade.

Catálogo canónico de requisitos de segurança para projectos IaC (IAC-001 a IAC-013), organizados por nível de risco, com critérios de aceitação para governação de repositórios, pipelines, estado, módulos e drift de configuração.

Catálogo canónico de requisitos do programa de monitorização e operações de segurança (OPS-001 a OPS-010), com aplicabilidade por nível de risco e critérios de aceitação para logging centralizado, eventos críticos, retenção, SIEM, alertas, SLA de resposta, correlação, integração com IRP, detecção comportamental e métricas de eficácia.

Catálogo canónico de requisitos do programa de testes de segurança (TST-001 a TST-010), com aplicabilidade por nível de risco e critérios de aceitação para estratégia de testes, SAST, DAST, gestão de findings, regressão, pentesting e evidência auditável.

Catálogo canónico de requisitos de threat modeling (THR-001 a THR-007), com aplicabilidade por nível de risco e critérios de aceitação para identificação de ameaças, disposição formal, derivação de requisitos e rastreabilidade metodológica.

Instrumento de verificação binária e auditável da adoção prática das práticas de validação contínua de segurança.

Lista de verificação formal para onboarding técnico seguro, com registo e validação por função.

Verificações obrigatórias por projeto para garantir a aplicação dos requisitos definidos

Como aplicar as práticas de CI/CD seguro ao longo do ciclo de vida da aplicação, com proporcionalidade por risco, user stories normalizadas e evidências auditáveis

Integração prática das práticas de governação, exceções e contratação no ciclo de vida SbD-ToE

Integração das práticas de requisitos ao longo das fases do ciclo de desenvolvimento

Integração do threat modeling ao longo do ciclo de desenvolvimento

Uso de feature toggles com segurança, rastreabilidade e capacidade de reversão em produção.

A aceitação formal de risco é uma etapa fundamental no processo de gestão de risco e deve ser suportada por critérios claros, objetivos e documentados.

Critérios de decisão, validação e evidência mínima para arquitetura segura, incluindo o modelo de baseline arquitetural e condições de invalidação

Lista essencial de requisitos de segurança organizados por categoria e nível de risco

Regras prescritivas para garantir que resultados de testes de segurança são verificáveis, reproduzíveis e auditáveis, com proteção de ativos críticos e separação entre sinal automático e decisão humana.

Especificidades da gestão de excepções no contexto dos requisitos de arquitectura segura (ARC-001..013)

Especificidades da gestão de excepções no contexto de desenvolvimento seguro - SAST, linters e revisão de código

Estudo de caso que ilustra a aplicação dos requisitos ao longo do ciclo de vida

Processo de triagem, priorização, rastreio e resolução de vulnerabilidades detetadas nos testes de segurança.

Termos usados no Capítulo 04 com definições operacionais e artefactos associados

Práticas prescritivas de governação, validação e controlo de módulos reutilizáveis em IaC, garantindo segurança, proveniência e rastreabilidade.

Prescrição para o uso controlado de ferramentas de geração automatizada (incluindo IA) no desenvolvimento, sem alteração dos requisitos aplicacionais

Estruturas, políticas e práticas para assegurar governação organizacional, integração de fornecedores e transparência no ciclo SbD-ToE

Fundamentação e estrutura lógica dos temas de requisitos usados no catálogo

Métricas operacionais e institucionais que permitem avaliar a eficácia da formação e onboarding.

Como substituir o mapeamento manual threat → requisito usando plataformas como IriusRisk, mantendo a rastreabilidade com o Capítulo 2

Execução automatizada de testes de segurança como parte de pipelines CI/CD, com rastreabilidade e thresholds.

Como integrar práticas de threat modeling nos artefactos de arquitetura técnica e processos de aprovação

Técnicas para gerar, assinar e validar artefactos com proveniência confiável, garantindo rastreabilidade de build até produção.

Indicadores técnicos e de processo para avaliação da cobertura, rastreabilidade e validação efectiva dos requisitos de segurança aplicados por nível de risco, com mapeamento para dimensões transversais de governação SbD-ToE.

Como ligar ameaças identificadas a requisitos formais definidos no Capítulo 2

Método usado para validar claims de rastreabilidade, maturidade e ameaças mitigadas no manual SbD-ToE

Procedimento padronizado para onboarding seguro de terceiros, com formação mínima exigida.

Políticas formais necessárias para garantir a segurança, reversibilidade e rastreabilidade de deploys em produção.

Políticas que sustentam a definição, exceção e validação de requisitos

Política organizacional que define os requisitos de segurança para o processo de deploy de software em produção, incluindo verificação de artefactos assinados, separação de ambientes, estratégias de rollout progressivo, separação entre automação e autorização humana, e rastreabilidade ponta-a-ponta, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional transversal que define os requisitos de rastreabilidade entre requisitos, controlos, evidências de validação, artefactos de build e eventos operacionais, assegurando que a postura de segurança é auditável de forma contínua e proporcional ao nível de risco da aplicação.

Política organizacional que define os requisitos para a rastreabilidade das práticas de segurança ao longo do ciclo de vida das aplicações, incluindo repositório de conformidade por aplicação, designação de owners de segurança, validações periódicas por capítulo SbD-ToE, evidências auditáveis e dashboard organizacional, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a aprovação formal de releases de software, incluindo checklist de segurança pré-release, gate automático de conformidade, critérios go/no-go, artefacto imutável de decisão e rastreabilidade ponta-a-ponta commit→pipeline→release, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define como os requisitos de segurança devem ser selecionados, documentados, rastreados, validados e mantidos ao longo do ciclo de vida de cada aplicação, de forma proporcional ao nível de risco classificado.

Política organizacional que define os requisitos de geração, formato, assinatura, proveniência, arquivamento e retenção de SBOMs (Software Bill of Materials) em builds de software, contentor e IaC, proporcional ao nível de criticidade da aplicação (L1, L2, L3).

Política organizacional que define a obrigatoriedade, metodologia, triggers de execução, requisitos de aprovação formal, rastreabilidade e gestão dos artefactos de threat modeling ao longo do ciclo de vida de aplicações classificadas L2 e L3.

Política organizacional que define os requisitos para o uso controlado de ferramentas de apoio ao desenvolvimento, incluindo assistentes de IA generativa (GenAI/Copilot), com foco em revisão obrigatória de output, rastreabilidade, validação de licenças e manutenção da responsabilidade humana, proporcional ao nível de criticidade (L1, L2, L3).

Recomendações reforçadas para ambientes com maior exigência regulatória ou maturidade

Processo formal, transversal e autoritário de gestão de excepções a requisitos e controlos de segurança no SbD-ToE

Rastreabilidade das práticas de papéis, responsabilidades e fundamentos face a frameworks normativos com pilot formal

Rastreabilidade das práticas de classificação de risco face a frameworks normativos com pilot formal

Rastreabilidade das práticas de requisitos de segurança face a frameworks normativos com pilot formal

Rastreabilidade das práticas de threat modeling face a frameworks normativos com pilot formal

Rastreabilidade das práticas de arquitetura segura face a frameworks normativos com pilot formal

Rastreabilidade das práticas de gestão de dependências e supply chain face a frameworks normativos com pilot formal

Rastreabilidade das práticas de desenvolvimento seguro face a frameworks normativos com pilot formal

Rastreabilidade das práticas de segurança de pipeline face a frameworks normativos com pilot formal

Rastreabilidade das práticas de IaC face a frameworks normativos com pilot formal

Rastreabilidade das práticas de segurança de containers face a frameworks normativos com pilot formal

Rastreabilidade das práticas de testes de segurança face a frameworks normativos com pilot formal

Rastreabilidade das práticas de deploy seguro face a frameworks normativos com pilot formal

Rastreabilidade das práticas de monitorização e resposta face a frameworks normativos com pilot formal

Rastreabilidade das práticas de formação e onboarding face a frameworks normativos com pilot formal

Rastreabilidade das práticas de governança e contratação face a frameworks normativos com pilot formal

Modelo de rastreabilidade entre requisitos ARC, ameaças, decisões arquitecturais e evidência auditável, com template de matriz e critérios de actualização

Garantir que cada execução de pipeline e cada artefacto podem ser rastreados até ao commit, origem e responsável associado.

Técnicas para garantir a rastreabilidade de alterações, uso de tagging e gestão de versões seguras em IaC.

Modelo de ligação entre findings SCA, SBOM, backlog e releases

Modelo de registo e justificação formal de decisões e entregáveis de segurança

Práticas avançadas de governação aplicáveis a contextos de elevada maturidade ou requisitos regulatórios

Definição, aplicação, validação e rastreabilidade de requisitos de segurança aplicacionais por nível de risco

Geração, versionamento e utilização de SBOMs como evidência de composição, não como prova de segurança

Dois sistemas de identificação complementares - o catálogo canónico SbD-ToE e as tags operacionais de projecto - e como articulá-los ao longo do ciclo de vida.

Exemplo de quiz técnico usado para validação de conhecimentos no processo de onboarding.

🎯 Objetivo

Modelo completo de validação dos requisitos do catálogo SbD-ToE - princípios, métodos por tipo de requisito, momentos do ciclo de vida e plano detalhado por domínio com tag operacional, método recomendado e evidência esperada.