SOP-003: Gestão de Vulnerabilidades
SOP-003: Gestão de Vulnerabilidades e Segurança
Documento: SOP-003
Título: Gestão de Vulnerabilidades e Segurança
Versão: 1.0
Data: 2024
Aprovado por: QA Leader
Classificação: ISO/IEC 27001, DefectDojo como Risk Register
1. Objetivo
Este procedimento estabelece o processo de gestão centralizada de vulnerabilidades usando o OWASP DefectDojo como Fonte da Verdade de Segurança, garantindo rastreabilidade, deduplicação e ciclo de vida completo das vulnerabilidades.
2. Escopo
Aplica-se a todas as vulnerabilidades identificadas através de:
- SAST (Static Application Security Testing): SonarCloud
- SCA (Software Composition Analysis): Trivy
- DAST (Dynamic Application Security Testing): OWASP ZAP
- Scan diário de imagens de produção (Trivy)
3. Arquitetura: DefectDojo como Risk Register
3.1 Fonte da Verdade
O DefectDojo é a única fonte de verdade para vulnerabilidades:
- Centraliza todos os achados de segurança
- Deduplica automaticamente
- Gerencia o ciclo de vida completo
- Integra com Azure DevOps via API
3.2 Integrações
Pipeline CI/CD → Scanners (SAST/SCA) → DefectDojo API
↓
Deduplicação
↓
Gestão de Ciclo de Vida
↓
Azure DevOps ← Push Work Items ← DefectDojo
4. Processo de Ingestão Automática
4.1 Pipeline de CI/CD
Durante a FASE 3 (Verificação Automatizada):
-
Pipeline executa scans:
- SAST: SonarCloud
- SCA: Trivy (bibliotecas e OS)
- Unit Tests: Jest/NUnit
-
Script de integração envia relatórios (JSON/XML) para DefectDojo API
-
DefectDojo processa:
- Deduplicação automática
- Classificação de severidade
- Criação/atualização de findings
4.2 Script de Ingestão
Localizado em: pipelines/scripts/defectdojo-ingest.sh
Funções:
- Converter relatórios para formato DefectDojo
- Enviar via API com metadados (commit SHA, branch, etc.)
- Aguardar processamento e deduplicação
5. Deduplicação e Auto-Close
5.1 Deduplicação Automática
O DefectDojo identifica automaticamente se uma vulnerabilidade é:
- Nova: Cria novo finding
- Recorrente: Atualiza finding existente (se mesma CVE/CWE)
5.2 Auto-Close (Mitigated)
Quando o desenvolvedor corrige o código:
- Pipeline detecta que vulnerabilidade foi corrigida
- Envia novo scan para DefectDojo
- DefectDojo compara e fecha automaticamente o finding antigo como "Mitigated"
6. Classificação de Severidade
6.1 Níveis de Severidade (CVSS)
| Severidade | CVSS Score | SLA Correção |
|---|---|---|
| Crítico | 9.0 - 10.0 | 24 horas (Hotfix) |
| Alto | 7.0 - 8.9 | 7 dias |
| Médio | 4.0 - 6.9 | 30 dias |
| Baixo | 0.1 - 3.9 | Próxima release |
6.2 Bloqueio de Pipeline
CRITÉRIO: Pipeline FALHA se:
- Novas vulnerabilidades Críticas ou Altas são detectadas
- Vulnerabilidades Críticas/Altas já existentes permanecem abertas
7. Processo de Triagem
7.1 Fluxo de Triagem
- AppSec/QA analisa novos findings no DefectDojo
- Decisão:
- False Positive: Marca como tal (não impacta métricas)
- True Positive: Prossegue para correção
7.2 Push para Azure DevOps
Para vulnerabilidades True Positive:
- AppSec clica em "Push to Azure DevOps" no DefectDojo
- DefectDojo cria automaticamente Bug Work Item no Azure DevOps
- Bug vinculado ao commit/PR onde vulnerabilidade foi introduzida
- Atribuído ao desenvolvedor responsável
8. SLA de Correção
8.1 Prazos Obrigatórios
| Severidade | Prazo | Ação |
|---|---|---|
| Crítico | 24h | Hotfix (branch direto para main) |
| Alto | 7 dias | Feature branch + PR prioritário |
| Médio | 30 dias | Feature branch normal |
| Baixo | Próxima release | Planejamento normal |
8.2 Monitoramento
- DefectDojo rastreia tempo de abertura
- Alertas automáticos quando SLA está próximo de vencer
- Dashboard no Azure DevOps mostra vulnerabilidades em atraso
9. Scan Diário de Produção
9.1 Processo Contínuo
FASE 5 (Monitoramento):
- Trivy scan diário nas imagens Docker de produção
- Relatório enviado para DefectDojo
- Triagem conforme seção 7
9.2 Dependências
Monitoramento contínuo de:
- Vulnerabilidades em bibliotecas (SCA)
- Vulnerabilidades em base OS (imagens Docker)
- Atualizações de segurança disponíveis
10. Gestão de False Positives
10.1 Critérios para False Positive
- Ferramenta interpretou incorretamente o código
- Vulnerabilidade não aplicável ao contexto
- Mitigação já implementada de outra forma
10.2 Processo
- AppSec/QA marca como "False Positive" no DefectDojo
- Justificativa obrigatória
- Não impacta métricas de segurança
- Mantido no histórico para referência
11. Certificado de Segurança
11.1 Geração Automática
Durante FASE 4 (Validação e Liberação):
Script gera certificado com:
- Resumo do DefectDojo: "0 Vulnerabilidades Abertas Críticas/Altas"
- Lista de vulnerabilidades baixas/médias (se houver)
- Data do último scan completo
- Assinatura do QA Leader
11.2 Inclusão no DHF
Certificado salvo no SharePoint como parte do Design History File.
12. Responsabilidades
| Atividade | Responsável |
|---|---|
| Configuração de scanners | AppSec/DevOps |
| Triagem de findings | AppSec/QA |
| Correção de vulnerabilidades | Dev Team |
| Aprovação de False Positives | AppSec |
| Geração de Certificado | QA Leader |
13. Referências
- ISO/IEC 27001:2022 - Information security management systems
- OWASP Top 10
- SOP-001: SDLC
- SOP-002: Gestão de Riscos
- SOP-004: Verificação e Validação