Securitate, Infrastructură & OperațiuniVulnerabilități & Testare
Patch Management
SLA-uri remediere: Critical 7 zile, High 30 zile, Medium 90 zile — procedură și revizuire
Domeniu de Aplicare
Patch management acoperă trei categorii:
| Categorie | Responsabil patching |
|---|---|
| Platformă (Heroku, servicii managed AWS) | Actualizat de provider; SSM.ro monitorizează advisory-urile furnizorilor |
| Heroku stack / runtime | Actualizat de SSM.ro la lansarea unui nou stack; testat în staging |
| Dependențe aplicație (pachete server-side și client-side) | Gestionat de echipa SSM.ro |
Identificarea Vulnerabilităților
| Sursă | Descriere |
|---|---|
| Analiză statică SAST | Detectează vulnerabilități în codul aplicației |
| Scanare SCA dependențe | Detectează vulnerabilități în pachetele utilizate |
| Advisory-uri Heroku | Notificări de securitate de la platforma Heroku |
| Advisory-uri AWS | Notificări de securitate pentru serviciile AWS utilizate |
| GitHub | Dependabot alerts și security advisories pentru repository |
SLA-uri de Remediere
| Severitate | Termen de remediere |
|---|---|
| Critical | 7 zile |
| High | 30 zile |
| Medium | 90 zile |
| Low | Best-effort, în ciclul următor de release |
Procedura de Patching
Patch identificat (SAST / SCA / advisory)
│
▼
Implementat ca Pull Request în GitHub
│ testat în mediul staging
▼
Merge în branch main (PR review obligatoriu)
│ webhook Heroku declanșat automat
▼
Build & Deploy automat prin pipeline GitHub → HerokuPatchurile critice urmează același flux, dar pe un calendar expediat — nu se așteaptă ciclul normal de release.
Revizuire
Advisory-urile deschise sunt revizuite lunar pentru a evalua noi constatări și a monitoriza progresul remedierilor în curs.