Controles e Stack DevSecOps
SCM: Proteção do Código-Fonte
Branch protection: PRs obrigatórios, CODEOWNERS, status checks. Secret scanning (GitHub, GitLab, TruffleHog). Assinatura de commits (GPG). Webhooks para notificar violações.
CI: SAST, SCA e IaC Scan
SAST: SonarQube, Semgrep (bugs, vulnerabilidades, code smells). SCA + SBOM: Syft/CycloneDX para SBOM, Grype/Trivy para CVEs. IaC scan: Checkov, tfsec (Terraform), kube-score (K8s). Gates: bloquear se Critical/High.
CI: Assinaturas e Integridade
cosign (Sigstore) para assinar imagens Docker. in-toto para integridade. SLSA (Supply-chain Levels for Software Artifacts): níveis 1-4. Armazenar attestations em registry ou Rekor (transparency log).
Registry: Scan e Retenção
Harbor ou Artifactory com scan integrado (Trivy, Clair, Anchore). Policies: bloquear pull de imagens com CVE Critical. Retenção: deletar imagens antigas/não usadas. Webhooks para CI/CD.
CD/Cluster: Verificação de Assinaturas
Kyverno ou OPA/Gatekeeper com policy verifyImages. Apenas imagens assinadas com chave confiável podem rodar. NeuVector ou Falco para runtime security (detecção de comportamento anômalo).
RBAC e SoD
Segregation of Duties: devs não fazem deploy em prod sem aprovação. RBAC granular (K8s, Cloud IAM). Auditoria de quem fez o quê. Integração com SIEM (Splunk, ELK) para análise forense.
Observabilidade e Resposta
OpenTelemetry para traces, métricas, logs. Correlação: alerta→trace→log→commit. Integração com ITSM (ServiceNow, Jira) e on-call (PagerDuty/Opsgenie). Runbooks automatizados de remediation.
Compliance e Auditoria
Evidências automatizadas: SBOM, scans, assinaturas, aprovações. Relatórios para auditores (SOX, PCI-DSS, LGPD, HIPAA). Dashboards executivos: % cobertura, CVEs resolvidos, tempo médio de patch.
Processo de Implementação
Descoberta e Metas de Risco
Assessment de segurança atual: quais controles existem? Definir metas: % de CVE High/Critical aceitável, prazo para patch, cobertura SBOM. Requisitos regulatórios (SOX, PCI, LGPD).
Blueprint por Categoria
Definir ferramentas e políticas para: SCM, SAST, SCA, IaC, assinaturas, registry, admission control, runtime security, SIEM. Priorizar por risco/impacto.
Piloto (Warn Mode)
Implementar controles em modo "aviso" (não bloquear). Ajustar thresholds, reduzir falsos positivos. Treinar times. Após estabilização, habilitar bloqueios (gates).
Escala e Operação
Expandir para todos os repositórios/clusters. Automação de remediation (ex: auto-update de deps com Renovate/Dependabot). Revisão trimestral de policies. Métricas de melhoria contínua.
Timeline e Ganhos
Assessment
1-2 semanas
Blueprint
2-3 semanas
Piloto
4-6 semanas
Escala
8-12 semanas
Resultados esperados
- Builds assinados: >95%
- SBOM gerado: 100%
- CVE Critical/High: detecção em D+1
- Tempo de patch CVE Critical: < 7 dias
- Falsos positivos: < 5% (após tuning)
- Compliance: evidências automatizadas para auditoria
Fluxo Supply Chain Seguro
Checkpoints ao longo do pipeline:
- SCM: Branch protection, secret scanning, signed commits
- PR/MR: Code review obrigatório, CODEOWNERS, status checks
- CI Build: SAST (SonarQube), SCA (Syft+Grype), IaC scan (Checkov)
- CI Artifact: Gerar SBOM (CycloneDX), assinar imagem (cosign), provenance (in-toto/SLSA)
- Registry: Scan CVEs (Trivy), retention policies, webhook para CD
- CD Deploy: GitOps (Argo CD), policy verifyImages (Kyverno), RBAC/SoD
- Runtime: Falco/NeuVector detecta anomalias, alertas para SIEM/on-call
- Observabilidade: Correlação alerta→trace→log→commit para root cause
Ferramentas por Categoria
SAST/SCA
SAST: SonarQube, Semgrep, Snyk Code
SCA: Snyk, Grype, OWASP Dependency-Check
Container
Scan: Trivy, Grype, Clair, Anchore
Registry: Harbor, Artifactory, Nexus
IaC
Terraform: Checkov, tfsec, Snyk IaC
K8s: kube-score, kubesec, Polaris
Assinatura
Cosign: Sigstore (sign/verify)
Provenance: in-toto, SLSA attestations
Policies
K8s: OPA/Gatekeeper, Kyverno
Runtime: Falco, NeuVector, Aqua, Prisma
SBOM
Geração: Syft, CycloneDX, SPDX
Análise: Grype (scan SBOM), Dependency-Track