Ameaças à Cadeia de Fornecimento (Supply Chain)
Tipos de ataque via dependências e práticas para deteção e mitigação
24 documentos marcados com "supply chain"
Ver todas as etiquetasAmeaças Mitigadas
Ameaças mitigadas pelas práticas de segurança de CI/CD descritas neste capítulo
Ameaças Mitigadas - Capítulo 05
Análise das ameaças mitigadas pelas práticas deste capítulo, com base em OSC&R, CAPEC, STRIDE, DSOMM e outros modelos
Ameaças Mitigadas - Containers e Imagens
Ameaças mitigadas pelas práticas deste capítulo, com mapeamento a OWASP/OSC&R, CAPEC, SSDF, SLSA, CIS e outras referências
Análise de Vulnerabilidades em Dependências (SCA)
Práticas de Software Composition Analysis para detetar, priorizar e mitigar vulnerabilidades conhecidas
Assinatura de Imagens e Cadeia de Confiança
Validação da proveniência, integridade e autenticidade de imagens de *containers*
Checklist - Containers e Imagens
Checklist binário e auditável para avaliar a adoção prática das práticas prescritas no Capítulo 09 - Containers e Imagens
Checklist - Dependências, SBOM e SCA
Verificação binária da aplicação das práticas prescritas no Capítulo 05
Como Fazer
Como aplicar as práticas prescritas de segurança em containers ao longo do ciclo de vida de desenvolvimento e operação
Como Fazer
Integração prática das prescrições de gestão de dependências, geração de SBOM e execução de SCA ao longo do ciclo de vida da aplicação
Containers e Execução Isolada
Princípios, práticas e controlos para construir, assinar, validar e executar imagens de forma segura e rastreável
Dependências, SBOM e SCA
Princípios, práticas e controlos para garantir gestão segura de dependências, geração de SBOM e análise automatizada de composição de software
Exceções e Aceitação de Risco em Vulnerabilidades
Formalização de desvios justificados em findings SCA, com critérios e rastreabilidade
Fornecedores / Terceiros
Responsabilidades de Fornecedores e Terceiros no SbD-ToE
Governaça de Bibliotecas e Componentes de Terceiros
Práticas de controlo, aprovação e rastreabilidade de bibliotecas externas e pacotes de terceiros
Imagens Base Seguras e Minimalistas
Seleção, reforço e validação de imagens base seguras para *containers*
Integração com Pipelines CI/CD
Integração automatizada de SBOM, SCA e controlo de exceções no ciclo de build e release
Inventário de Dependências e SBOM
Geração e gestão de Software Bill of Materials (SBOM) com rastreabilidade no ciclo de vida
Policies
Políticas organizacionais necessárias para garantir segurança, rastreabilidade e governação de containers e imagens ao longo do ciclo de vida.
Políticas de Atualização de Dependências
Práticas de atualização proativa, TTL, locking e gestão de versões seguras
Práticas Avançadas - Gestão de Dependências e Supply Chain
Recomendações reforçadas para contextos críticos ou ambientes com elevada maturidade
Rastreabilidade entre Vulnerabilidades, Componentes e Ações
Modelo de ligação entre findings SCA, SBOM, backlog e releases
Rastreabilidade Top-Down - Capítulo 05
Análise de rastreabilidade das práticas deste capítulo face aos principais frameworks normativos
SBOM de *containers* e Rastreabilidade de Runtime
Geração, versionamento e validação de SBOMs específicos de imagens e ambientes containerizados