Catálogo canónico de requisitos de segurança para o processo de deploy (DPL-001 a DPL-011), com aplicabilidade por nível de risco e critérios de aceitação para aprovação formal, proveniência de artefactos, gates automáticos, rollback, credenciais de deploy, staging, monitorização pós-deploy, release gates de sistemas agentic e rastreabilidade end-to-end.
Verificação objetiva e binária da aplicação das práticas de deploy seguro num projeto específico.
Integração prática das práticas de release e deploy seguro no ciclo de vida de software
Princípios e controlos para garantir um processo de deploy seguro, validado e rastreável em ambientes de produção
Especificidades da gestão de excepções no contexto de deploy seguro - emergency deploy, break glass e desvios a gates de promoção
Indicadores técnicos e operacionais para avaliação da eficácia dos controlos de segurança no processo de deploy e gestão de releases, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Práticas de observabilidade, métricas de runtime e mecanismos automáticos de rollback após o deploy.
Políticas formais necessárias para garantir a segurança, reversibilidade e rastreabilidade de deploys em produção.
Política organizacional que define os requisitos de segurança para o processo de deploy de software em produção, incluindo verificação de artefactos assinados, separação de ambientes, estratégias de rollout progressivo, separação entre automação e autorização humana, e rastreabilidade ponta-a-ponta, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos de monitorização activa após cada deploy em produção, incluindo janela de observação obrigatória, métricas de saúde mínimas, thresholds de alerta, validação humana e critérios de activação de rollback, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a capacidade de rollback de deploys em produção, incluindo tipos de rollback por componente (binário, configuração, base de dados, infraestrutura), critérios de activação, RTO por nível de criticidade, procedimentos de teste periódico e rastreabilidade, proporcional ao nível de criticidade (L1, L2, L3).