29 documentos marcados com "SSDF"

Identificação, análise e mitigação estruturada de ameaças durante o ciclo de desenvolvimento

Ameaças mitigadas pela definição e validação estruturada de requisitos de segurança

Visão bottom-up das ameaças mitigadas pelas práticas de deploy seguro descritas neste capítulo.

Ameaças específicas mitigadas pelas práticas prescritas no capítulo, com base em fontes como OSC&R, CAPEC e SSDF.

Visão bottom-up das ameaças mitigadas pelas práticas de testes de segurança deste capítulo.

Princípios, práticas e controlos para construir, validar e executar imagens de forma segura, auditável e rastreável

Práticas de segurança para definição, validação e gestão de infraestrutura como código

Políticas formais necessárias para legitimar e operacionalizar a validação contínua da segurança das aplicações.

Política organizacional que define os requisitos para o programa de formação e capacitação em segurança, incluindo onboarding obrigatório, trilhos formativos por perfil e nível de risco, programa de Security Champions, exercícios práticos, actualização de conteúdos, KPIs de eficácia e integração com os objectivos de performance individuais, proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a definição, recolha, análise e reporte de KPIs de governação de segurança, incluindo categorias de métricas, cadência de reporting, responsabilidades, thresholds de intervenção e integração com frameworks de maturidade (SAMM, SSDF), proporcional ao nível de criticidade (L1, L2, L3).

Política organizacional que define os requisitos para a rastreabilidade das práticas de segurança ao longo do ciclo de vida das aplicações, incluindo repositório de conformidade por aplicação, designação de owners de segurança, validações periódicas por capítulo SbD-ToE, evidências auditáveis e dashboard organizacional, proporcional ao nível de criticidade (L1, L2, L3).

Rastreabilidade das práticas de papéis, responsabilidades e fundamentos face a frameworks normativos com pilot formal

Rastreabilidade das práticas de classificação de risco face a frameworks normativos com pilot formal

Rastreabilidade das práticas de requisitos de segurança face a frameworks normativos com pilot formal

Rastreabilidade das práticas de threat modeling face a frameworks normativos com pilot formal

Rastreabilidade das práticas de arquitetura segura face a frameworks normativos com pilot formal

Rastreabilidade das práticas de gestão de dependências e supply chain face a frameworks normativos com pilot formal

Rastreabilidade das práticas de desenvolvimento seguro face a frameworks normativos com pilot formal

Rastreabilidade das práticas de segurança de pipeline face a frameworks normativos com pilot formal

Rastreabilidade das práticas de IaC face a frameworks normativos com pilot formal

Rastreabilidade das práticas de segurança de containers face a frameworks normativos com pilot formal

Rastreabilidade das práticas de testes de segurança face a frameworks normativos com pilot formal

Rastreabilidade das práticas de deploy seguro face a frameworks normativos com pilot formal

Rastreabilidade das práticas de monitorização e resposta face a frameworks normativos com pilot formal

Rastreabilidade das práticas de formação e onboarding face a frameworks normativos com pilot formal

Rastreabilidade das práticas de governança e contratação face a frameworks normativos com pilot formal

Definição, aplicação, validação e rastreabilidade de requisitos de segurança aplicacionais por nível de risco

Estratégias e práticas para validar continuamente a segurança de aplicações através de testes automatizados, manuais e ofensivos

Estratégias e práticas para validar continuamente a segurança de aplicações através de testes automatizados, manuais e ofensivos.