Política de Desenvolvimento Seguro (SSDLC / DevSecOps)

1. Objetivo e escopo

Garantir que segurança e privacidade sejam consideradas desde o design e ao longo do ciclo de desenvolvimento de software, reduzindo a introdução de vulnerabilidades.

2. Codificação segura e referências

• Boas práticas de codificação segura tomando o OWASP (ex.: Top 10) como referência.
• Gestão de segredos em cofre, nunca em código; validação de entradas e saídas.
• Capacitação contínua da equipe (ver Treinamento & Conscientização).

3. Processo seguro (SDLC / DevSecOps)

• Segurança incorporada do design ao deploy: requisitos, revisão e testes.
• Revisão por pares (code review) antes da integração (ver Gestão de Mudanças).
• Pipelines CI/CD com verificações automatizadas e deploys controlados com rollback.

4. Análise automatizada (SCA/DAST)

• SCA e análise de dependências no pipeline (alertas de vulnerabilidade em bibliotecas).
• DAST e testes dinâmicos aplicados conforme a criticidade; ampliados na entrada em produção.
• Achados tratados conforme a Gestão de Vulnerabilidades.

5. Versionamento e segregação de ambientes

• Versionamento seguro (git) com histórico preservado e controle de acesso ao repositório.
• Segregação entre desenvolvimento, homologação e produção, com credenciais e acessos distintos por ambiente.
• Ambientes de clientes isolados em VPC dedicada.

6. Correção de falhas reportadas

• Falhas reportadas por clientes, testes internos ou avaliações são registradas (issues/PRs), priorizadas por risco e corrigidas.
• Canal de contato para reporte de falhas de segurança disponível à contratante.

Aprovação

Documento oficial publicado pela Bix Tecnologia. Diretrizes de caráter geral e orientador; detalhamentos operacionais constam em normas internas complementares.