Ausencia total de security scanning no CI/CD

INFRA-08

HighAchado ConfirmadoDevOpsRodada 3

Descricao

Nenhum SAST, dependency scan nem image scan nos 3 pipelines. Zero resultados para trivy, snyk, semgrep, sonar, codeql.

Evidencia

Grep por SAST/scan tools em `.github/` retornou zero resultados.

Impacto Tecnico

Vulnerabilidades conhecidas em dependencias nunca detectadas. Imagens Docker sem scan de CVEs.

Impacto de Negocio

Sistema pode rodar com vulnerabilidades conhecidas e exploraveis.

Recomendacao

Adicionar trivy para imagens. dotnet list package --vulnerable e npm audit como gates.

Arquivos Afetados

.github/workflows/Production.yaml.github/workflows/Homolog.yaml.github/workflows/Develop.yaml

Acoes Relacionadas

ACT-6.2.3Ver acao no plano

{
  "id": "INFRA-08",
  "title": "Ausencia total de security scanning no CI/CD",
  "severity": "High",
  "type": "achado confirmado",
  "category": "devops",
  "description": "Nenhum SAST, dependency scan nem image scan nos 3 pipelines. Zero resultados para `trivy`, `snyk`, `semgrep`, `sonar`, `codeql`.",
  "evidence": "Grep por SAST/scan tools em `.github/` retornou zero resultados.",
  "technicalImpact": "Vulnerabilidades conhecidas em dependencias nunca detectadas. Imagens Docker sem scan de CVEs.",
  "businessImpact": "Sistema pode rodar com vulnerabilidades conhecidas e exploraveis.",
  "recommendation": "Adicionar `trivy` para imagens. `dotnet list package --vulnerable` e `npm audit` como gates.",
  "files": [
    ".github/workflows/Production.yaml",
    ".github/workflows/Homolog.yaml",
    ".github/workflows/Develop.yaml"
  ],
  "pass": 3,
  "relatedActions": [
    "ACT-6.2.3"
  ]
}

Ausencia total de security scanning no CI/CD

Descricao

Arquivos Afetados

Acoes Relacionadas

Texto Original