Política de Seguretat de PhotoRobot SDLC
Aquest document defineix la Política de Seguretat del PhotoRobot SDLC. Detalla els requisits de seguretat aplicats al llarg del cicle de desenvolupament de programari a PhotoRobot i dona suport al compliment de les nostres obligacions contractuals sota la DPA i la SLA.
Principis
- Segur per disseny
- Accés de mínim privilegi al codi i a la infraestructura
- Revisió obligatòria de codi
- Gestió de dependències i vulnerabilitats
Flux de treball de desenvolupament
- Tot el codi emmagatzemat al control de versions
- Canvis revisats mitjançant pull requests
- Les pipelines de CI imposen proves automatitzades
Gestió de dependències
- Escaneig regular de vulnerabilitats
- Biblioteques obsoletes actualitzades de manera proactiva
- Només es permeten fonts de paquet fiables
Construcció i desplegament
- Desplegaments mitjançant canals controlats de CI/CD
- Mecanismes de retrocés disponibles
- Registres d'auditoria mantinguts per als desplegaments
Gestió de Secrets
- Secrets emmagatzemats de manera segura (Google Secret Manager)
- No hi ha secrets codificats en repositoris
- Rotació aplicada per a tecles sensibles
Proves
- Proves unitaries, d'integració i de regressió
- Proves de seguretat incloses quan s'aplica
Gestió de llançaments
- Registre de canvis mantingut
- Llançaments versionats
- Desplegaments controlats per a actualitzacions importants