SDR — C3: Validação ofensiva (pentest, red/purple, ASM, BAS)

Página estática gerada a partir do Markdown do repositório — o texto abaixo já vem no HTML (adequado a importação por URL em ferramentas que não executam o ver-md.html). Arquivo: sdr-0016e-c3-validacao-ofensiva.md

Baixar o .mdAbrir no visualizador MarkdownCatálogo de SDRsInício do site

Fonte: SDRs/sdr-0016e-c3-validacao-ofensiva.md

SDR — C3: Validação ofensiva (pentest, red/purple, ASM, BAS)

Eixo: Modelo de Servicos (Modelo de Servicos | Arquitetura Contratual | Ambos)

Campo Valor
Pai sdr-0016-seguranca-c3-continuidades.md
SSoT Sim — dono do recorte testes de intrusão e validação ofensiva
Estado âncora

1. Finalidade

Definir regras construtíveis do C3 para programa de pentest, testes internos/externos, red/purple team, ASM e BAS, alinhadas ao PPSI controle 18 e medidas 16.12–16.14 (contexto AppSec).

2. Instrumentos de governo (prioridade)

  • PPSI — controle 18 (testes de intrusão — medidas 18.1–18.5); medidas 16.13 (pentest de aplicações), 16.12 (SAST — hardening de SDLC, interface com C3).

LACUNA-GSI-DSIC explícita: Não há no catálogo sdr-0015a norma GSI/PR ou NC DSIC que discipline pentest, red team, BAS ou ASM. Todo o detalhe técnico deste recorte deve citar apenas padrão de mercado após registrar LACUNA-GSI-DSIC na frase.

Padrões de mercado: NIST SP 800-115; OWASP WSTG; PTES; OSSTMM; MITRE ATT&CK (TTPs para exercícios).

3. Regras canônicas (recorte)

  • Programa anual (cadência no TR/ANS) com escopo aprovado e evidência de reteste após correção.
  • Separação de papéis: quem testa não opera o mesmo alvo em produção sem vedação explícita (sdr-0001).
  • Correção de achados: C2 executa; C3 valida reabertura; C1 mede prazo.

4. Itens PPSI endereçados (amostra)

Medida Descrição curta C1 C2 C3
18.1–18.5 Programa de pentest Contrato, evidência Correção Execução do teste
16.13 Pentest de aplicações Ateste Deploy corrigido Teste, relatório
16.12 SAST (apoio) Gate Pipeline Ferramenta, política

Ligações

Agentes de conformidade (Cursor)

Os três agentes abaixo aplicam-se à edição e à revisão dos arquivos SDRs/sdr-*.md (exceto SDRs/templates/ e normas em SDRs/governance/). Este bloco é informativo; use o script na raiz do repositório para diagnóstico estrutural.

Agente Regra Cursor Norma em SDRs/governance/rules/
Verificador de conformidade SDR sdr-conformity-checker.mdc sdr-conformity-checker.md
Detector de implementação sem vínculo SDR implementation-without-sdr-detector.mdc implementation-without-sdr-detector.md
Anti-vibecoding sem SDR no-vibecoding-without-sdr.mdc no-vibecoding-without-sdr.md

Processo: governance/README.md · Rastreabilidade código: traceability.md · Checagem: python scripts/check_sdr_conformity.py (na raiz do repositório).