QA & RA

Quality Assurance & Regulatory Affairs

Detalhamento do processo de verificação entre o Gate de Segurança e a Aprovação do DAST.

Processo Detalhado: Gate de Segurança → DAST Aprovado

Fluxo completo com todos os pontos de decisão e caminhos possíveis entre o Gate de Segurança (após SCA/SAST) até a aprovação do DAST.

Carregando diagrama...

Pontos de Decisão Críticos

Gate de Segurança (SCA/SAST) - BLOQUEIO AUTOMÁTICO

Após os scans de SAST (SonarCloud) e SCA (Trivy), o script defectdojo-check.sh consulta o DefectDojo para verificar vulnerabilidades críticas/altas ativas na branch atual.

  • Critério: 0 vulnerabilidades Críticas ou Altas
  • Se 1+ vulns encontradas: Pipeline bloqueado (Exit Code 1), notificação ao Dev Team, Bug criado automaticamente no Azure DevOps
  • Se 0 vulns: Gate aprovado, pipeline continua para Deploy Staging

Testes E2E em Staging - VALIDAÇÃO CRÍTICA

Após deploy em staging, três níveis de testes E2E são executados sequencialmente:

  • Smoke Tests: Validação básica de sistema (< 2 min). Bloqueio: Se falhar, pipeline bloqueado
  • Sanity Tests: Funcionalidades críticas básicas (< 5 min). Bloqueio: Se falhar, pipeline bloqueado
  • E2E Tests: Fluxos críticos completos (10-30 min). Aviso: Falhas geram notificação mas não bloqueiam pipeline

DAST (OWASP ZAP) - VALIDAÇÃO FINAL DE SEGURANÇA

Após todos os testes E2E, o OWASP ZAP executa um scan dinâmico na aplicação em staging:

  • Execução: Container Docker executa zap-baseline.py
  • Ingestão: Relatório JSON enviado para DefectDojo via script defectdojo-ingest.sh
  • Processamento: DefectDojo deduplica, classifica e cria/atualiza findings
  • Gate Final: Consulta DefectDojo para vulnerabilidades críticas/altas. Se encontrar → Pipeline bloqueado. Se não → DAST Aprovado

Pontos de Integração com Outros Processos

Integração com DefectDojo

O DefectDojo é a fonte única da verdade para segurança. Ambos os gates (pós-SCA/SAST e pós-DAST) consultam o DefectDojo para verificar vulnerabilidades ativas.

  • Ingestão automática de relatórios SAST, SCA e DAST
  • Deduplicação automática de findings
  • Auto-close de vulnerabilidades corrigidas
  • Bloqueio de pipeline se vulnerabilidades críticas/altas encontradas

Integração com Azure DevOps

Todo o processo de QA&RA está integrado ao Azure DevOps:

  • Pipelines executam todos os stages de verificação
  • Bugs criados automaticamente quando vulnerabilidades bloqueiam pipeline
  • Work Items de Change Request para mudanças em produção
  • Test Cases vinculados aos requisitos e resultados de E2E

Integração com Processo de Release (FASE 4)

Apenas após DAST aprovado, o processo segue para FASE 4:

  • Testes funcionais manuais (Azure Test Plans)
  • Testes de usabilidade somativos (IEC 62366)
  • Geração automática do DHF
  • Aprovação do QA Leader para release

Documentação Relacionada

SOP-003: Gestão de VulnerabilidadesSOP-005: Controle de Mudança (GMUD)SOP-004: Verificação e ValidaçãoProcessos Automatizados