# SDR — C3: Vulnerabilidades e patching

> **Eixo:** `Modelo de Servicos` (Modelo de Servicos | Arquitetura Contratual | Ambos)

| Campo | Valor |
|-------|-------|
| **Pai** | [sdr-0016-seguranca-c3-continuidades.md](./sdr-0016-seguranca-c3-continuidades.md) |
| **SSoT** | Sim — dono do recorte **gestão de vulnerabilidades** e **priorização** (execução de *patch* no C2) |
| **Estado** | âncora |

---

## 1. Finalidade

Definir regras construtíveis do C3 para **inventário de vulnerabilidades**, **priorização por risco**, **classes de severidade** e **validação pós-patch**; o C2 executa mudança e *patching* no escopo operacional.

---

## 2. Instrumentos de governo (prioridade)

- **PPSI** — controle **7** (gestão contínua de vulnerabilidades); medida **16.2** (notificações à **ETIR**).
- **IN GSI/PR nº 3/2021** — **Capítulo V** (gestão de mudanças nos aspectos de SI — contexto para janela e aprovação de mudança que carrega *patch*).

**LACUNA-GSI-DSIC:** Não há NC no catálogo [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md) que fixe **CVSS**, **janela por classe** ou **cadência de scan**. Citar **NIST SP 800-40 r4**, **FIRST CVSS** v3.1/v4.0, **CIS Control 7**.

---

## 3. Regras canônicas (recorte)

- Inventário alinhado ao CMDB do C2; sem ativo fora do escaneamento sem aceite formal.
- Priorização: CVSS + contexto + exposição (parâmetros no TR/ANS).
- Janela e prazo por classe (crítica/alta/média/baixa) — valores no TR/ANS, não neste SDR.
- Validação pós-patch em amostra; reabertura se vulnerabilidade persistir.

---

## 4. Itens PPSI endereçados (amostra)

| Medida | Descrição curta | C1 | C2 | C3 |
|--------|------------------|----|----|-----|
| 7.x | Gestão de vulnerabilidades | SLA, glosa | *Patch*, janela | Scan, priorização, verificação |
| 16.2 | Notificações de vuln à ETIR | Evidência | — | Canal, triagem, encaminhamento |

---

## Ligações

- [sdr-0016](./sdr-0016-seguranca-c3-continuidades.md)
- [sdr-0016a](./sdr-0016a-c3-soc-deteccao-resposta.md)
- [sdr-0015a](./sdr-0015a-catalogo-gsi-dsic.md)
- [sdr-0006](./sdr-0006-operacao-c2-niveis-capacidade.md)

---

## Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos `SDRs/sdr-*.md` (exceto `SDRs/templates/` e normas em `SDRs/governance/`). Este bloco é **informativo**; use o script na raiz do repositório para diagnóstico estrutural.

| Agente | Regra Cursor | Norma em `SDRs/governance/rules/` |
|--------|----------------|-------------------------------------|
| Verificador de conformidade SDR | [`sdr-conformity-checker.mdc`](../.cursor/rules/sdr-conformity-checker.mdc) | [`sdr-conformity-checker.md`](./governance/rules/sdr-conformity-checker.md) |
| Detector de implementação sem vínculo SDR | [`implementation-without-sdr-detector.mdc`](../.cursor/rules/implementation-without-sdr-detector.mdc) | [`implementation-without-sdr-detector.md`](./governance/rules/implementation-without-sdr-detector.md) |
| Anti-vibecoding sem SDR | [`no-vibecoding-without-sdr.mdc`](../.cursor/rules/no-vibecoding-without-sdr.mdc) | [`no-vibecoding-without-sdr.md`](./governance/rules/no-vibecoding-without-sdr.md) |

**Processo:** [`governance/README.md`](./governance/README.md) · **Rastreabilidade código:** [`traceability.md`](./traceability.md) · **Checagem:** `python scripts/check_sdr_conformity.py` (na raiz do repositório).