66 documentos marcados com "segurança"

Ameaças específicas mitigadas pelas práticas prescritas no capítulo, com base em fontes como OSC&R, CAPEC e SSDF.

Visão bottom-up das ameaças mitigadas pelas práticas de testes de segurança deste capítulo.

Regras formais para permitir exceções no pipeline, com registo, aprovação, prazo de validade e visibilidade por função.

Responsabilidades do AppSec Engineer no SbD-ToE

Responsabilidades dos Arquitetos de Software no SbD-ToE

Recomendações para escrita de código seguro por linguagem e stack, incluindo padrões proibidos e boas práticas validadas

Fundamentos, objetivos e enquadramento do capítulo dedicado à arquitetura segura no ciclo de vida de software

Exemplo prático da aplicação das práticas de testes de segurança a uma aplicação classificada como L3, com integração completa no pipeline e gestão de findings.

Estudo de caso demonstrando a aplicação integrada, independente da autoria, das práticas de Segurança em Infraestrutura como Código ao longo de todo o ciclo de vida.

Exemplo completo de pipeline CI/CD com execução de *containers* em ambiente seguro e validado

Instrumento de verificação binária e auditável da adoção prática das práticas de validação contínua de segurança.

Procedimento formalizado e executável para rescisão segura de contractors e fornecedores

Práticas de segurança para pipelines de integração e entrega contínua, com foco em automação, rastreabilidade e controlo proporcional ao risco

Estratégias para priorizar testes com base no risco e assegurar cobertura eficaz dos requisitos.

Integração das práticas de Arquitetura Segura ao longo do ciclo de desenvolvimento

Como aplicar as práticas de CI/CD seguro ao longo do ciclo de vida da aplicação, com proporcionalidade por risco, user stories normalizadas e evidências auditáveis

Como aplicar as práticas prescritas de segurança em containers ao longo do ciclo de vida de desenvolvimento e operação

Integração prática das práticas de capacitação e onboarding no ciclo de vida de desenvolvimento

Integração prática das práticas de segurança IaC no SDLC, com proporcionalidade por risco, user stories reutilizáveis e evidência auditável

Integração prática das práticas de validação contínua nas diferentes fases do ciclo de vida da aplicação

Mecanismos técnicos e organizacionais para garantir o enforcement automático de políticas de segurança em pipelines IaC.

Princípios e controlos para garantir um processo de deploy seguro, validado e rastreável em ambientes de produção

Identificação e definição dos domínios técnicos e operacionais a monitorizar em sistemas modernos.

Regras formais para permitir exceções no pipeline, com registo, aprovação, prazo de validade e visibilidade por função.

Especificidades da gestão de excepções no contexto de desenvolvimento seguro - SAST, linters e revisão de código

Aplicação e verificação efetiva de práticas de segurança, isolamento e controlo para workloads containerizados

Catálogo de eventos típicos a monitorizar para fins operacionais e de segurança.

Porque este capítulo é excecional, que fontes suportam o catálogo IAC-XXX e como criar/adaptar o catálogo organizacional

Processo de triagem, priorização, rastreio e resolução de vulnerabilidades detetadas nos testes de segurança.

Estratégias para proteger segredos em pipelines, evitar hardcoded e garantir injeção segura via vaults ou variáveis.

Práticas prescritivas de governação, validação e controlo de módulos reutilizáveis em IaC, garantindo segurança, proveniência e rastreabilidade.

Documentação e alinhamento de práticas de segurança entre equipas, promovendo coerência e baseline técnico comum

Minimização, reforço e verificação efetiva de permissões em imagens e ambientes containerizados

Como usar IA/GenAI para acelerar testes de segurança (planeamento, triagem, regressões, fuzzing e validação) sem degradar evidência, confidencialidade ou controlo humano

Práticas de segurança para definição, validação e gestão de infraestrutura como código

Mecanismos de feedback contínuo dos resultados dos testes de segurança às equipas de desenvolvimento e produto.

Execução automatizada de testes de segurança como parte de pipelines CI/CD, com rastreabilidade e thresholds.

Práticas de codificação segura, curadoria e seleção de guidelines, validação automatizada e governação durante o desenvolvimento

Medidas para segregar runners por aplicação, evitar persistência e garantir ambientes de execução efémeros e controlados.

Regras e ferramentas para validação de segurança diretamente no ambiente de desenvolvimento (pre-commit, IDE, CLI)

Estratégia para garantir que todo o código executado em produção foi previamente validado e autorizado.

Estratégias de planeamento e controlo para garantir uma adoção eficaz e auditável das práticas de segurança em Infraestrutura como Código.

Políticas formais necessárias para legitimar e operacionalizar a validação contínua da segurança das aplicações.

Política organizacional que define os requisitos, critérios de execução, gestão de findings e responsabilidades para testes dinâmicos de segurança (DAST) e fuzzing, proporcional ao nível de risco da aplicação.

Política organizacional que define os requisitos de monitorização de segurança em produção, incluindo definição de eventos críticos, integração com SIEM, correlação comportamental, cobertura de domínios de monitorização e revisão periódica de regras de detecção, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define como os requisitos de segurança devem ser selecionados, documentados, rastreados, validados e mantidos ao longo do ciclo de vida de cada aplicação, de forma proporcional ao nível de risco classificado.

Definição de políticas automáticas no pipeline com gates de segurança que variam segundo o nível de risco da aplicação.

Estratégias para gestão segura de releases e segregação de funcionalidades durante a entrega contínua.

Questionário mínimo para validar conhecimento de colaboradores externos com permissões técnicas

Técnicas para garantir a rastreabilidade de alterações, uso de tagging e gestão de versões seguras em IaC.

Práticas reforçadas para ambientes com elevado nível de criticidade, exposição ou requisitos regulatórios.

Definição, aplicação, validação e rastreabilidade de requisitos de segurança aplicacionais por nível de risco

Garantia de execução segura e controlada de containers em pipelines e ambientes partilhados

Responsabilidades do Security Champion no SbD-ToE

Práticas de gestão e validação de dependências externas para garantir integridade, atualização e segurança no código

Validações do próprio código do pipeline (YAML, scripts, linters), incluindo controlo de lógica, permissões e uso de componentes externos.

Validação recorrente de vulnerabilidades previamente corrigidas para evitar reintroduções em versões futuras.

Estratégias e práticas para validar continuamente a segurança de aplicações através de testes automatizados, manuais e ofensivos

Boas práticas e controlos para uso seguro de ferramentas de IA generativa na escrita de código e revisão automática

Estratégias e práticas para validar continuamente a segurança de aplicações através de testes automatizados, manuais e ofensivos.

Testes dinâmicos em runtime para deteção de vulnerabilidades através da simulação de interações externas.

Aplicação de testes estáticos ao código-fonte para deteção precoce de vulnerabilidades e falhas de segurança.

Estratégias prescritivas de validação, evidência e controlo para garantir uma adoção segura, auditável e verificável de Infraestrutura como Código.

Integração de validadores de segurança (SAST, secrets, IaC, containers) diretamente na pipeline, com execução obrigatória.

Técnicas e ferramentas para garantir a presença de controlos de segurança diretamente no código-fonte

Verificações obrigatórias antes da promoção de código para produção, incluindo segurança, funcionalidade e readiness.