23 documentos marcados com "SCA"

Tipos de ataque via dependências e práticas para deteção e mitigação

Análise das ameaças mitigadas pelas práticas deste capítulo, com base em OSC&R, CAPEC, STRIDE, DSOMM e outros modelos

Práticas de Software Composition Analysis para detetar, priorizar e mitigar vulnerabilidades conhecidas

Catálogo canónico de requisitos de segurança para gestão de dependências de terceiros (DEP-001 a DEP-010), com aplicabilidade por nível de risco e critérios de aceitação para SBOM, SCA, governação de bibliotecas e políticas de actualização.

Verificação binária da aplicação das práticas prescritas no Capítulo 05

Integração prática das prescrições de gestão de dependências, geração de SBOM e execução de SCA ao longo do ciclo de vida da aplicação

Políticas para repositórios internos, proxies, mirrors e validação da proveniência

Princípios, práticas e controlos para garantir gestão segura de dependências, geração de SBOM e análise automatizada de composição de software

Identificação e análise técnica de vulnerabilidades em containers como sinal de risco, não como decisão automática

Especificidades da gestão de excepções no contexto de findings SCA/CVE

Práticas de controlo, aprovação e rastreabilidade de bibliotecas externas e pacotes de terceiros

Integração automatizada de SBOM, SCA e controlo de exceções no ciclo de build e release

Geração e gestão de Software Bill of Materials (SBOM) com rastreabilidade no ciclo de vida

Indicadores técnicos e operacionais para avaliação da eficácia dos controlos de gestão de dependências, geração de SBOM e análise de composição de software, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.

Políticas organizacionais que sustentam a aplicação prática deste capítulo

Política organizacional que define os requisitos de segurança para pipelines de integração e entrega contínua, incluindo gates obrigatórios, scanners integrados, separação de ambientes, assinatura de artefactos, gestão de segredos no pipeline e aprovações de promoção, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a estratégia de testes de segurança ao longo do ciclo de vida de aplicações, incluindo SAST, DAST, SCA, IAST, fuzzing e testes manuais, com gates obrigatórios, SLAs de triagem de findings e gestão centralizada de resultados, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os critérios, o processo formal, as alçadas de aprovação, os controlos compensatórios e os prazos de reavaliação aplicáveis a exceções a vulnerabilidades conhecidas (CVEs) em dependências de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3).

Política organizacional que define os critérios de aprovação, pinning, bloqueio, auditing e atualização de dependências externas em projetos de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3), com foco na redução de risco de supply chain e na garantia de rastreabilidade.

Práticas de atualização proativa, TTL, locking e gestão de versões seguras

Recomendações reforçadas para contextos críticos ou ambientes com elevada maturidade

Rastreabilidade das práticas de gestão de dependências e supply chain face a frameworks normativos com pilot formal

Modelo de ligação entre findings SCA, SBOM, backlog e releases