Catálogo canónico de requisitos de segurança para o processo de desenvolvimento (DEV-001 a DEV-009), com aplicabilidade por nível de risco e critérios de aceitação para guidelines de código, linters, revisão formal, gestão de excepções, proveniência e anotações rastreáveis.
Catálogo canónico de requisitos do programa de testes de segurança (TST-001 a TST-010), com aplicabilidade por nível de risco e critérios de aceitação para estratégia de testes, SAST, DAST, gestão de findings, regressão, pentesting e evidência auditável.
Especificidades da gestão de excepções no contexto de desenvolvimento seguro - SAST, linters e revisão de código
Práticas de codificação segura, curadoria e seleção de guidelines, validação automatizada e governação durante o desenvolvimento
Indicadores técnicos e de processo para avaliação da eficácia dos controlos de desenvolvimento seguro, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Indicadores técnicos e operacionais para avaliação da eficácia do programa de testes de segurança, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.
Política organizacional que define os requisitos de segurança para pipelines de integração e entrega contínua, incluindo gates obrigatórios, scanners integrados, separação de ambientes, assinatura de artefactos, gestão de segredos no pipeline e aprovações de promoção, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a seleção, tailoring, publicação, versionamento e revisão periódica de guidelines de desenvolvimento seguro por stack tecnológica, incluindo a conversão de regras em configurações automáticas de linters e SAST, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a estratégia de testes de segurança ao longo do ciclo de vida de aplicações, incluindo SAST, DAST, SCA, IAST, fuzzing e testes manuais, com gates obrigatórios, SLAs de triagem de findings e gestão centralizada de resultados, proporcional ao nível de criticidade (L1, L2, L3).
Política organizacional que define os requisitos para a revisão de código como ponto de controlo de segurança, incluindo checklist obrigatória, critérios de aprovação, papéis de reviewer, cobertura mínima e integração com ferramentas automáticas, proporcional ao nível de criticidade (L1, L2, L3).
Estratégias e práticas para validar continuamente a segurança de aplicações através de testes automatizados, manuais e ofensivos
Estratégias e práticas para validar continuamente a segurança de aplicações através de testes automatizados, manuais e ofensivos.
Modelo completo de validação dos requisitos do catálogo SbD-ToE - princípios, métodos por tipo de requisito, momentos do ciclo de vida e plano detalhado por domínio com tag operacional, método recomendado e evidência esperada.
Aplicação de testes estáticos ao código-fonte para deteção precoce de vulnerabilidades e falhas de segurança.
Integração de validadores de segurança (SAST, secrets, IaC, containers) diretamente na pipeline, com execução obrigatória.