Managementul Dependințelor

Analiză SAST + SCA dependențe; SLA-uri remediere: Critical 7 zile, High 30 zile

Instrumente de Scanare

Platforma SSM.ro utilizează două instrumente de scanare automată pentru dependențe și cod:

Instrument	Tip	Acoperire	Frecvență
Analiză statică SAST	SAST (Static Application Security Testing)	Aplicație — detectează vulnerabilități în codul sursă	Continuu, la fiecare build
Scanare SCA dependențe	SCA (Software Composition Analysis)	Dependențe pachete — detectare vulnerabilități cunoscute	Continuu, la fiecare build

Surse de Advisory-uri

Pe lângă scanarea automată, echipa urmărește:

Advisory-uri Heroku — notificări de securitate pentru stack-ul și add-on-urile utilizate
Advisory-uri AWS — notificări pentru serviciile AWS utilizate (S3, Lambda, API Gateway etc.)
GitHub security advisories — Dependabot alerts pentru dependențele din repository

Fluxul de Remediere

Vulnerabilitate identificată (SAST / SCA / advisory)
    │
    ▼
Triaj: evaluare severitate și impact real
    │
    ▼
Remediere: patch implementat ca Pull Request
    │ testat în staging
    ▼
Merge în main (PR review obligatoriu)
    │
    ▼
Deploy automat → Heroku producție

SLA-uri de Remediere

Severitate	Termen maxim de remediere
Critical	7 zile
High	30 zile
Medium	90 zile
Low	Best-effort, în ciclul următor de release

Vulnerabilitățile Critical urmează același flux de PR dar pe un calendar expediat — nu se așteaptă ciclul normal de release.

Revizuire Periodică

Advisory-urile deschise sunt revizuite lunar pentru:

Evaluarea noilor constatări apărute
Monitorizarea progresului remedierilor în curs
Ajustarea priorităților în funcție de riscul real

Scope

Pachete server-side — toate dependențele aplicației
Pachete client-side — toate dependențele JavaScript din frontend/tooling
Heroku stack / runtime — actualizat de SSM.ro la lansarea unui nou stack; testat în staging înainte de promovarea în producție
Platforma (Heroku, AWS managed services) — actualizat de provider; SSM.ro monitorizează advisory-urile