Deploy em producao sem aprovacao manual

INFRA-04

CriticalAchado ConfirmadoDevOpsRodada 3

Descricao

Pipeline de producao disparado automaticamente por push em master. Sem environment com required_reviewers, sem gate de aprovacao e sem concurrency control.

Evidencia

`.github/workflows/Production.yaml` linhas 1-5: `on: push: branches: [ master ]`.

Impacto Tecnico

Dev com push para master pode deployar codigo malicioso sem revisao. Pushes simultaneos causam race condition.

Impacto de Negocio

Janela zero de controle para mudancas em producao.

Recomendacao

Configurar GitHub Environment production com required_reviewers. Adicionar concurrency.

Arquivos Afetados

.github/workflows/Production.yaml

Acoes Relacionadas

ACT-6.1.4Ver acao no plano

{
  "id": "INFRA-04",
  "title": "Deploy em producao sem aprovacao manual",
  "severity": "Critical",
  "type": "achado confirmado",
  "category": "devops",
  "description": "Pipeline de producao disparado automaticamente por push em `master`. Sem environment com required_reviewers, sem gate de aprovacao e sem concurrency control.",
  "evidence": "`.github/workflows/Production.yaml` linhas 1-5: `on: push: branches: [ master ]`.",
  "technicalImpact": "Dev com push para master pode deployar codigo malicioso sem revisao. Pushes simultaneos causam race condition.",
  "businessImpact": "Janela zero de controle para mudancas em producao.",
  "recommendation": "Configurar GitHub Environment `production` com `required_reviewers`. Adicionar `concurrency`.",
  "files": [
    ".github/workflows/Production.yaml"
  ],
  "pass": 3,
  "relatedActions": [
    "ACT-6.1.4"
  ]
}

Deploy em producao sem aprovacao manual

Descricao

Arquivos Afetados

Acoes Relacionadas

Texto Original