Segurança como Código
O que é Segurança como Código?
Segurança como CódigoPrática de exprimir controlos, testes e infraestrutura de segurança como código-fonte para que sejam versionados, revistos, automatizados e entregues continuamente com as aplicações.
Segurança como Código (SaC) generaliza a ideia de política como código a todos os artefactos de segurança: regras de deteção, hardening de IaC, permissões IAM, configuração de segredos, modelos de ameaça e portas de segurança de CI/CD ficam guardados como código no Git e são entregues pelas mesmas pipelines que as aplicações. Componentes típicos incluem módulos Terraform com defaults seguros, bundles de políticas Rego/Sentinel, regras CodeQL ou Semgrep, deteções Falco/Sigma e manifestos Kubernetes com security context embutido. A abordagem oferece histórico, revisão por pares, testes automatizados, deteção de drift e rollouts reproduzíveis, substituindo o hardening manual por entrega contínua e auditável integrada em DevSecOps.
● Exemplos
- 01
Módulo Terraform que provisiona um cluster EKS com endpoints privados e audit logs por defeito.
- 02
Conjunto de regras Semgrep versionado num repositório de segurança, obrigatório antes do merge.
● Perguntas frequentes
O que é Segurança como Código?
Prática de exprimir controlos, testes e infraestrutura de segurança como código-fonte para que sejam versionados, revistos, automatizados e entregues continuamente com as aplicações. Pertence à categoria Segurança em nuvem da cibersegurança.
O que significa Segurança como Código?
Prática de exprimir controlos, testes e infraestrutura de segurança como código-fonte para que sejam versionados, revistos, automatizados e entregues continuamente com as aplicações.
Como funciona Segurança como Código?
Segurança como Código (SaC) generaliza a ideia de política como código a todos os artefactos de segurança: regras de deteção, hardening de IaC, permissões IAM, configuração de segredos, modelos de ameaça e portas de segurança de CI/CD ficam guardados como código no Git e são entregues pelas mesmas pipelines que as aplicações. Componentes típicos incluem módulos Terraform com defaults seguros, bundles de políticas Rego/Sentinel, regras CodeQL ou Semgrep, deteções Falco/Sigma e manifestos Kubernetes com security context embutido. A abordagem oferece histórico, revisão por pares, testes automatizados, deteção de drift e rollouts reproduzíveis, substituindo o hardening manual por entrega contínua e auditável integrada em DevSecOps.
Como se defender contra Segurança como Código?
As defesas contra Segurança como Código costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Segurança como Código?
Nomes alternativos comuns: SaC, DevSecOps como código.
● Termos relacionados
- cloud-security№ 839
Política como Código
Prática de definir regras de segurança, conformidade e governança em código legível por máquina para que sejam versionadas, testadas, revistas e aplicadas automaticamente.
- cloud-security№ 756
OPA (Open Policy Agent)
Motor de políticas generalista, graduado pela CNCF, que desacopla decisões de autorização das aplicações e do controlo de admissão do Kubernetes usando a linguagem Rego.
- cloud-security№ 600
Segurança do Kubernetes
Proteção de um cluster Kubernetes — API server, plano de controlo, nós, workloads e rede — contra configurações incorretas, comprometimento e movimentação lateral.
- compliance№ 204
Conformidade
Disciplina que assegura o cumprimento de requisitos legais, regulatórios, contratuais e internos de segurança através de controlos documentados, evidências e avaliação contínua.
- cloud-security№ 1014
Segurança de Service Mesh
Conjunto de controlos de identidade, cifragem e autorização que um service mesh fornece para proteger tráfego serviço-a-serviço em ambientes cloud-native.
- network-security№ 1262
Rede Zero Trust
Arquitetura de rede que nunca confia em utilizadores, dispositivos ou serviços por defeito e exige verificação contínua baseada em identidade para cada ligação.