SDR — C3: Vulnerabilidades e patching

Página estática gerada a partir do Markdown do repositório — o texto abaixo já vem no HTML (adequado a importação por URL em ferramentas que não executam o ver-md.html). Arquivo: sdr-0016d-c3-vulnerabilidades-patching.md

Baixar o .mdAbrir no visualizador MarkdownCatálogo de SDRsInício do site

Fonte: SDRs/sdr-0016d-c3-vulnerabilidades-patching.md

SDR — C3: Vulnerabilidades e patching

Eixo: Modelo de Servicos (Modelo de Servicos | Arquitetura Contratual | Ambos)

Campo Valor
Pai sdr-0016-seguranca-c3-continuidades.md
SSoT Sim — dono do recorte gestão de vulnerabilidades e priorização (execução de patch no C2)
Estado âncora

1. Finalidade

Definir regras construtíveis do C3 para inventário de vulnerabilidades, priorização por risco, classes de severidade e validação pós-patch; o C2 executa mudança e patching no escopo operacional.

2. Instrumentos de governo (prioridade)

  • PPSI — controle 7 (gestão contínua de vulnerabilidades); medida 16.2 (notificações à ETIR).
  • IN GSI/PR nº 3/2021Capítulo V (gestão de mudanças nos aspectos de SI — contexto para janela e aprovação de mudança que carrega patch).

LACUNA-GSI-DSIC: Não há NC no catálogo sdr-0015a que fixe CVSS, janela por classe ou cadência de scan. Citar NIST SP 800-40 r4, FIRST CVSS v3.1/v4.0, CIS Control 7.

3. Regras canônicas (recorte)

  • Inventário alinhado ao CMDB do C2; sem ativo fora do escaneamento sem aceite formal.
  • Priorização: CVSS + contexto + exposição (parâmetros no TR/ANS).
  • Janela e prazo por classe (crítica/alta/média/baixa) — valores no TR/ANS, não neste SDR.
  • Validação pós-patch em amostra; reabertura se vulnerabilidade persistir.

4. Itens PPSI endereçados (amostra)

Medida Descrição curta C1 C2 C3
7.x Gestão de vulnerabilidades SLA, glosa Patch, janela Scan, priorização, verificação
16.2 Notificações de vuln à ETIR Evidência Canal, triagem, encaminhamento

Ligações

Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos SDRs/sdr-*.md (exceto SDRs/templates/ e normas em SDRs/governance/). Este bloco é informativo; use o script na raiz do repositório para diagnóstico estrutural.

Agente Regra Cursor Norma em SDRs/governance/rules/
Verificador de conformidade SDR sdr-conformity-checker.mdc sdr-conformity-checker.md
Detector de implementação sem vínculo SDR implementation-without-sdr-detector.mdc implementation-without-sdr-detector.md
Anti-vibecoding sem SDR no-vibecoding-without-sdr.mdc no-vibecoding-without-sdr.md

Processo: governance/README.md · Rastreabilidade código: traceability.md · Checagem: python scripts/check_sdr_conformity.py (na raiz do repositório).