56 documentos marcados com "validação"

Regras prescritivas para uso seguro de automação/assistência na escrita e alteração de IaC, com validações e evidência por nível de risco

Ameaças mitigadas pela definição e validação estruturada de requisitos de segurança

Ameaças mitigadas pelas práticas deste capítulo, com mapeamento para OWASP, CAPEC, SSDF, entre outros

Estratégias para anotar decisões e evidências de validação de segurança no próprio código ou ciclo de desenvolvimento

Verificação objetiva e binária da aplicação das práticas de deploy seguro num projeto específico.

Checklist binário e auditável para avaliar a adoção prática das práticas prescritas no Capítulo 06 - Desenvolvimento Seguro

Lista de verificação binária e rastreável da adoção das práticas do Capítulo 13.

Checklist de controlo binário da adoção das práticas de monitorização, alerta e resposta a incidentes.

Lista de verificação binária e auditável para controlo da aplicação dos requisitos de arquitetura segura

Checklist binário e auditável para verificar a aplicação prática das prescrições de segurança para IaC.

Verificações obrigatórias por projeto para garantir a aplicação dos requisitos definidos

Cláusulas Contratuais de Segurança em contratos com fornecedores, contratados e terceiros técnicos

Como aplicar práticas de desenvolvimento seguro em cada fase do SDLC, com user stories reutilizáveis, artefactos auditáveis e matriz proporcional L1–L3

Integração das práticas de requisitos ao longo das fases do ciclo de desenvolvimento

Integração prática das práticas de validação contínua nas diferentes fases do ciclo de vida da aplicação

Formas de validar, reforçar e governar a aplicação dos controlos definidos noutros capítulos do SbD-ToE

Este documento foi integrado no Catálogo Base de Requisitos. Consultar lista-requisitos-base.

Diagramas visuais dos fluxos de governação, exceções e validações formais

Regras prescritivas para garantir que resultados de testes de segurança são verificáveis, reproduzíveis e auditáveis, com proteção de ativos críticos e separação entre sinal automático e decisão humana.

Especificidades da gestão de excepções no contexto dos requisitos aplicacionais do Cap. 02

Especificidades da gestão de excepções no contexto de desenvolvimento seguro - SAST, linters e revisão de código

Estudo de caso que ilustra a aplicação dos requisitos ao longo do ciclo de vida

Testes com dados inesperados ou malformados para descoberta de falhas em parsers, APIs e lógica interna.

Prescrição para o uso controlado de ferramentas de geração automatizada (incluindo IA) no desenvolvimento, sem alteração dos requisitos aplicacionais

Como integrar práticas de threat modeling nos artefactos de arquitetura técnica e processos de aprovação

Regras e ferramentas para validação de segurança diretamente no ambiente de desenvolvimento (pre-commit, IDE, CLI)

O mapeamento de ameaças conhecidas é um mecanismo essencial de validação da análise de risco, garantindo que os riscos identificados refletem vetores de ataque reais, plausíveis e documentados.

Definição de papéis formais, responsabilidades e fluxo de decisão de segurança aplicacional

Processo para validação de segurança em fornecedores, contratados e terceiros técnicos

Capacitação prática para equipas técnicas que desenvolvem, revêm ou operam projetos IaC de forma segura

Critérios de validação por requisito (ARC-001 a ARC-013), com métodos, momentos e responsáveis, organizados por nível de risco

Políticas formais necessárias para garantir a segurança, reversibilidade e rastreabilidade de deploys em produção.

Políticas necessárias para enquadrar e reforçar as práticas de desenvolvimento seguro definidas neste capítulo

Políticas formais necessárias para legitimar e operacionalizar a validação contínua da segurança das aplicações.

Políticas que sustentam a definição, exceção e validação de requisitos

Política organizacional que define como os requisitos de segurança devem ser selecionados, documentados, rastreados, validados e mantidos ao longo do ciclo de vida de cada aplicação, de forma proporcional ao nível de risco classificado.

Recomendações reforçadas para ambientes com maior exigência regulatória ou maturidade

Questionário mínimo para validar conhecimento de colaboradores externos com permissões técnicas

Rastreabilidade das práticas de testes de segurança face a frameworks normativos com pilot formal

Práticas avançadas para reforçar a segurança, rastreabilidade e auditabilidade de deploys críticos.

Práticas reforçadas e recomendações opcionais para organizações com maior maturidade em desenvolvimento seguro

Definição, aplicação, validação e rastreabilidade de requisitos de segurança aplicacionais por nível de risco

Identificação e tratamento dos riscos inerentes ao processo de Threat Modeling, independentemente do método utilizado

Práticas de gestão e validação de dependências externas para garantir integridade, atualização e segurança no código

Validações do próprio código do pipeline (YAML, scripts, linters), incluindo controlo de lógica, permissões e uso de componentes externos.

Exemplo de quiz técnico usado para validação de conhecimentos no processo de onboarding.

Checklist e modelo de validação estruturado para triagem, aprovação e onboarding de contractors

Requisitos e validações práticas para garantir a existência, integridade e impacto do threat modeling no ciclo de vida CI/CD

Boas práticas e controlos para uso seguro de ferramentas de IA generativa na escrita de código e revisão automática

🎯 Objetivo

Estratégias e ciclos para manter validações, KPIs e exceções auditáveis

Modelo completo de validação dos requisitos do catálogo SbD-ToE - princípios, métodos por tipo de requisito, momentos do ciclo de vida e plano detalhado por domínio com tag operacional, método recomendado e evidência esperada.

Critérios de aceitação, validação humana e evidência mínima para modelos de ameaças

Aplicação de testes estáticos ao código-fonte para deteção precoce de vulnerabilidades e falhas de segurança.

Estratégias prescritivas de validação, evidência e controlo para garantir uma adoção segura, auditável e verificável de Infraestrutura como Código.

Técnicas e ferramentas para garantir a presença de controlos de segurança diretamente no código-fonte