Glossário · Cibersegurança · Cadeia de fornecimento
Segurança da cadeia de fornecimento de software
A segurança da cadeia de fornecimento de software protege a integridade de tudo o que entra numa aplicação: dependências, processos de build e artefactos finais. O objetivo é garantir que o software implementado é exatamente aquele que foi construído, sem componentes manipulados ou introduzidos por um atacante nalgum elo do processo.
Controlos habituais
- Assinaturas de artefactos — assinar e verificar os artefactos garante que não foram alterados entre a construção e a implementação.
- SLSA — enquadramento de níveis que define garantias progressivas sobre a integridade do processo de build e a proveniência do artefacto.
- SBOM — inventário de componentes que permite conhecer as dependências e responder com rapidez perante vulnerabilidades conhecidas.
- Repositórios privados — controlar a origem das dependências evita a substituição por pacotes maliciosos ou falsificados.
Por que razão importa na banca regulada
Os incidentes de cadeia de fornecimento afetam várias organizações em simultâneo através de um único fornecedor ou componente comprometido. O DORA exige às entidades financeiras gerir o risco TIC de terceiros ao longo do ciclo de vida, e o NIS2 situa a segurança da cadeia de fornecimento como um controlo explícito em setores essenciais. Proteger dependências, builds e artefactos com assinaturas, SLSA e SBOM transforma esse requisito normativo em garantias técnicas verificáveis sobre a proveniência e a integridade do software em produção.
Como ajuda a Vermont Solutions
Integridade de extremo a extremo
Acompanhamos as entidades financeiras na proteção da sua cadeia de fornecimento de software com assinaturas, SLSA e SBOM, em linha com as exigências do DORA e do NIS2.
Ver governação e conformidade →Fuentes
Última atualização: 2026-06-21. Conteúdo editorial da Vermont Solutions, citável mediante atribuição.