Gestão de Segurança
Processo centralizado de gestão de vulnerabilidades usando OWASP DefectDojo como Fonte da Verdade de Segurança, conforme ISO/IEC 27001:2022 e ISO/IEC 27701:2019.
Arquitetura: DefectDojo como Fonte da Verdade
O OWASP DefectDojo é a única fonte de verdade para vulnerabilidades, centralizando todos os achados de segurança, deduplicando automaticamente e gerenciando o ciclo de vida completo.
Scans de Segurança Automatizados
Executados durante a FASE 3 (Verificação Automatizada)
Static Application Security Testing. Análise estática do código-fonte para identificar vulnerabilidades.
Software Composition Analysis. Varredura de bibliotecas e dependências para identificar CVEs conhecidas.
Dynamic Application Security Testing. Testes de segurança em aplicação em execução.
Classificação de Severidade e SLAs
| Severidade | CVSS Score | SLA de Correção | Bloqueio de Pipeline |
|---|---|---|---|
Crítico | 9.0 - 10.0 | 24 horas (Hotfix) | SIM - Pipeline FALHA |
Alto | 7.0 - 8.9 | 7 dias | SIM - Pipeline FALHA |
Médio | 4.0 - 6.9 | 30 dias | Não |
Baixo | 0.1 - 3.9 | Próxima release | Não |
Fluxo de Gestão de Vulnerabilidades
Diagrama completo do processo de gestão de vulnerabilidades desde a identificação até o monitoramento contínuo
Carregando diagrama...
Processo de Gestão de Vulnerabilidades - Etapas Detalhadas
1. Identificação (FASE 3)
Pipeline executa scans (SAST/SCA/DAST) e envia resultados via API para DefectDojo.
2. Deduplicação Automática
DefectDojo identifica automaticamente se a vulnerabilidade é nova ou recorrente (mesma CVE/CWE).
3. Triagem e Classificação
Vulnerabilidades são classificadas por severidade e vinculadas a Work Items no Azure DevOps.
4. Correção
Desenvolvedor corrige o código e commit é feito com referência ao Work Item.
5. Auto-Close (Mitigated)
Pipeline detecta correção, envia novo scan para DefectDojo, que fecha automaticamente o finding como "Mitigated".
6. Monitoramento Contínuo
Scan diário de imagens de produção (Trivy) para detectar vulnerabilidades em runtime.