Test di penetrazione periodici (almeno una volta all'anno) effettuati da fornitori terzi
- Correzione immediata di eventuali vulnerabilità critiche individuate
- La pipeline CI/CD include:
- SAST (Semgrep)
- Scansione delle dipendenze (Gemnasium)
- Scansione dei container (Trivy)
- Rilevamento dei segreti (Gitleaks)
- Scansione delle licenze (License Finder)
- Analisi del codice con SonarQube
- Scansione runtime dei carichi di lavoro delle applicazioni
- I risultati non vengono condivisi pubblicamente, ma è possibile ottenere un certificato di dichiarazione di sicurezza su richiesta e previa sottoscrizione di un accordo di non divulgazione
Correlato a