36 documentos marcados com "supply chain"

Regras prescritivas para uso seguro de automação/assistência na escrita e alteração de IaC, com validações e evidência por nível de risco

Tipos de ataque via dependências e práticas para deteção e mitigação

Ameaças mitigadas pelas práticas de segurança de CI/CD descritas neste capítulo

Análise das ameaças mitigadas pelas práticas deste capítulo, com base em OSC&R, CAPEC, STRIDE, DSOMM e outros modelos

Ameaças mitigadas pelas práticas deste capítulo, com mapeamento a OWASP/OSC&R, CAPEC, SSDF, SLSA, CIS e outras referências

Práticas de Software Composition Analysis para detetar, priorizar e mitigar vulnerabilidades conhecidas

Validação da proveniência e integridade de imagens de containers como evidência técnica, não como decisão de execução

Catálogo canónico de requisitos de segurança para containers e imagens (CNT-001 a CNT-012), com aplicabilidade por nível de risco e critérios de aceitação para selecção de imagens base, hardening, assinatura, scanning, políticas de runtime e acesso a registries.

Catálogo canónico de requisitos de segurança para gestão de dependências de terceiros (DEP-001 a DEP-010), com aplicabilidade por nível de risco e critérios de aceitação para SBOM, SCA, governação de bibliotecas e políticas de actualização.

Catálogo canónico de requisitos de segurança para projectos IaC (IAC-001 a IAC-013), organizados por nível de risco, com critérios de aceitação para governação de repositórios, pipelines, estado, módulos e drift de configuração.

Checklist binário e auditável para avaliar a adoção prática das práticas prescritas no Capítulo 09 - Containers e Imagens

Verificação binária da aplicação das práticas prescritas no Capítulo 05

Como aplicar as práticas prescritas de segurança em containers ao longo do ciclo de vida de desenvolvimento e operação

Integração prática das prescrições de gestão de dependências, geração de SBOM e execução de SCA ao longo do ciclo de vida da aplicação

Princípios, práticas e controlos para construir, validar e executar imagens de forma segura, auditável e rastreável

Princípios, práticas e controlos para garantir gestão segura de dependências, geração de SBOM e análise automatizada de composição de software

Regras prescritivas para garantir que resultados de testes de segurança são verificáveis, reproduzíveis e auditáveis, com proteção de ativos críticos e separação entre sinal automático e decisão humana.

Responsabilidades de Fornecedores e Terceiros no SbD-ToE

Práticas de controlo, aprovação e rastreabilidade de bibliotecas externas e pacotes de terceiros

Práticas prescritivas de governação, validação e controlo de módulos reutilizáveis em IaC, garantindo segurança, proveniência e rastreabilidade.

Seleção, reforço e validação de imagens base seguras para containers

Integração automatizada de SBOM, SCA e controlo de exceções no ciclo de build e release

Geração e gestão de Software Bill of Materials (SBOM) com rastreabilidade no ciclo de vida

Indicadores técnicos e operacionais para avaliação da eficácia dos controlos de gestão de dependências, geração de SBOM e análise de composição de software, com thresholds por nível de risco e mapeamento para dimensões transversais de governação SbD-ToE.

Políticas organizacionais necessárias para garantir segurança, rastreabilidade e governação de containers e imagens ao longo do ciclo de vida.

Política organizacional que define os requisitos para a operação de bots de atualização automática de dependências, incluindo critérios de auto-merge, análise de impacto, handoff humano e configuração proporcional ao nível de criticidade da aplicação (L2, L3).

Política organizacional que define os critérios, o processo formal, as alçadas de aprovação, os controlos compensatórios e os prazos de reavaliação aplicáveis a exceções a vulnerabilidades conhecidas (CVEs) em dependências de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3).

Política organizacional que define os critérios de aprovação, pinning, bloqueio, auditing e atualização de dependências externas em projetos de software, proporcional ao nível de criticidade da aplicação (L1, L2, L3), com foco na redução de risco de supply chain e na garantia de rastreabilidade.

Política organizacional que define os requisitos de geração, formato, assinatura, proveniência, arquivamento e retenção de SBOMs (Software Bill of Materials) em builds de software, contentor e IaC, proporcional ao nível de criticidade da aplicação (L1, L2, L3).

Práticas de atualização proativa, TTL, locking e gestão de versões seguras

Recomendações reforçadas para contextos críticos ou ambientes com elevada maturidade

Rastreabilidade das práticas de gestão de dependências e supply chain face a frameworks normativos com pilot formal

Rastreabilidade das práticas de segurança de pipeline face a frameworks normativos com pilot formal

Modelo de ligação entre findings SCA, SBOM, backlog e releases

Identificação e mitigação dos riscos introduzidos pela automação na cadeia de build, validação e execução de imagens de container

Geração, versionamento e utilização de SBOMs como evidência de composição, não como prova de segurança