65 documentos marcados com "segurança"

Ameaças específicas mitigadas pelas práticas prescritas no capítulo, com base em fontes como OSC&R, CAPEC e SSDF.

Visão bottom-up das ameaças mitigadas pelas práticas de testes de segurança deste capítulo.

Regras formais para permitir exceções no pipeline, com registo, aprovação, prazo de validade e visibilidade por função.

Responsabilidades do AppSec Engineer no SbD-ToE

Responsabilidades dos Arquitetos de Software no SbD-ToE

Recomendações para escrita de código seguro por linguagem e stack, incluindo padrões proibidos e boas práticas validadas

Fundamentos, objetivos e enquadramento do capítulo dedicado à arquitetura segura no ciclo de vida de software

Estudo de caso completo demonstrando a aplicação das práticas de segurança de IaC desde o início de projeto até à sua execução em produção.

Exemplo prático da aplicação das práticas de testes de segurança a uma aplicação classificada como L3, com integração completa no pipeline e gestão de findings.

Exemplo completo de pipeline CI/CD com execução de *containers* em ambiente seguro e validado

Requisitos específicos aplicáveis ao design e revisão de arquiteturas seguras

Instrumento de verificação binária e auditável da adoção prática das práticas de validação contínua de segurança.

Procedimento formalizado e executável para rescisão segura de contractors e fornecedores

Práticas de segurança para pipelines de integração e entrega contínua, com foco em automação, rastreabilidade e controlo proporcional ao risco

Estratégias para priorizar testes com base no risco e assegurar cobertura eficaz dos requisitos.

Integração das práticas de arquitetura segura ao longo do ciclo de desenvolvimento

Como aplicar as práticas de CI/CD seguro ao longo do ciclo de vida da aplicação, com proporcionalidade por risco, user stories normalizadas e evidências auditáveis

Como aplicar as práticas prescritas de segurança em containers ao longo do ciclo de vida de desenvolvimento e operação

Integração prática das práticas de capacitação e onboarding no ciclo de vida de desenvolvimento

Integração prática das práticas de segurança IaC no SDLC, com proporcionalidade por risco, user stories reutilizáveis e evidência auditável

Integração prática das práticas de validação contínua nas diferentes fases do ciclo de vida da aplicação

Regras formais para permitir exceções no pipeline, com registo, aprovação, prazo de validade e visibilidade por função.

Mecanismos técnicos e organizacionais para garantir o enforcement automático de políticas de segurança em pipelines IaC.

Princípios e controlos para garantir um processo de deploy seguro, validado e rastreável em ambientes de produção

Identificação e definição dos domínios técnicos e operacionais a monitorizar em sistemas modernos.

Regras formais para permitir exceções no pipeline, com registo, aprovação, prazo de validade e visibilidade por função.

Aplicação de práticas de segurança, isolamento e validação para workloads containerizados em Kubernetes

Catálogo de eventos típicos a monitorizar para fins operacionais e de segurança.

Porque este capítulo é excecional, que fontes suportam o catálogo IAC-XXX e como criar/adaptar o catálogo organizacional

Procedimentos e critérios para tratamento de exceções às práticas prescritas de IaC Seguro.

Processo de triagem, priorização, rastreio e resolução de vulnerabilidades detetadas nos testes de segurança.

Estratégias para proteger segredos em pipelines, evitar hardcoded e garantir injeção segura via vaults ou variáveis.

Práticas de gestão e aprovação de módulos reutilizáveis em projetos IaC, garantindo rastreabilidade e segurança.

Documentação e alinhamento de práticas de segurança entre equipas, promovendo coerência e baseline técnico comum

Minimização, reforço e controlo de permissões em imagens e ambientes containerizados

Práticas de segurança para definição, validação e gestão de infraestrutura como código

Mecanismos de feedback contínuo dos resultados dos testes de segurança às equipas de desenvolvimento e produto.

Execução automatizada de testes de segurança como parte de pipelines CI/CD, com rastreabilidade e thresholds.

Práticas de codificação segura, curadoria e seleção de guidelines, validação automatizada e governação durante o desenvolvimento

Medidas para segregar runners por aplicação, evitar persistência e garantir ambientes de execução efémeros e controlados.

Mecanismos formais para registar, aprovar e controlar exceções às regras de segurança durante o desenvolvimento

Regras e ferramentas para validação de segurança diretamente no ambiente de desenvolvimento (pre-commit, IDE, CLI)

Estratégia para garantir que todo o código executado em produção foi previamente validado e autorizado.

Estratégias de planeamento e controlo para garantir uma adoção eficaz e auditável das práticas de segurança em Infraestrutura como Código.

Políticas formais necessárias para legitimar e operacionalizar a validação contínua da segurança das aplicações.

Definição de políticas automáticas no pipeline com gates de segurança que variam segundo o nível de risco da aplicação.

Estratégias para gestão segura de releases e segregação de funcionalidades durante a entrega contínua.

Questionário mínimo para validar conhecimento de colaboradores externos com permissões técnicas

Técnicas para garantir a rastreabilidade de alterações, uso de tagging e gestão de versões seguras em IaC.

Práticas reforçadas para ambientes com elevado nível de criticidade, exposição ou requisitos regulatórios.

Definição, aplicação, validação e rastreabilidade de requisitos de segurança aplicacionais por nível de risco

Garantia de execução segura e controlada de *containers* em pipelines e ambientes partilhados

Responsabilidades do Security Champion no SbD-ToE

Práticas de gestão e validação de dependências externas para garantir integridade, atualização e segurança no código

Validações do próprio código do pipeline (YAML, scripts, linters), incluindo controlo de lógica, permissões e uso de componentes externos.

Validação recorrente de vulnerabilidades previamente corrigidas para evitar reintroduções em versões futuras.

Estratégias e práticas para validar continuamente a segurança de aplicações através de testes automatizados, manuais e ofensivos

Boas práticas e controlos para uso seguro de ferramentas de IA generativa na escrita de código e revisão automática

Estratégias e práticas para validar continuamente a segurança de aplicações através de testes automatizados, manuais e ofensivos.

Testes dinâmicos em runtime para deteção de vulnerabilidades através da simulação de interações externas.

Aplicação de testes estáticos ao código-fonte para deteção precoce de vulnerabilidades e falhas de segurança.

Estratégias de planeamento e controlo para garantir uma adoção eficaz e auditável das práticas de segurança em Infraestrutura como Código.

Integração de validadores de segurança (SAST, secrets, IaC, containers) diretamente na pipeline, com execução obrigatória.

Técnicas e ferramentas para garantir a presença de controlos de segurança diretamente no código-fonte

Verificações obrigatórias antes da promoção de código para produção, incluindo segurança, funcionalidade e readiness.