# Gestão de defeitos

## Introdução

A prática de gerenciamento de defeitos envolve a coleta, registro e análise de defeitos de segurança de software, com o objetivo de tomar decisões baseadas em métricas. Isso inclui o gerenciamento adequado dos defeitos, o enriquecimento das informações sobre eles e a utilização de métricas para orientar as decisões de segurança dos projetos individuais e do programa de segurança como um todo. Em níveis mais avançados, essa prática requer um gerenciamento formal e independente de defeitos, juntamente com informações correlacionadas em tempo real para identificar tendências e influenciar a estratégia de segurança.

## Modelo

<table data-full-width="true"><thead><tr><th data-type="number">Nível de maturidade</th><th>Descrição</th><th>Fluxo de rastreamento de defeitos</th><th>Fluxo de métricas e feedback</th></tr></thead><tbody><tr><td>1</td><td>Todos os defeitos são rastreados dentro de cada projeto.</td><td>Implemente um sistema estruturado de rastreamento de defeitos de segurança e baseie suas decisões em informações confiáveis e bem organizadas.</td><td>Classifique de forma consistente todos os defeitos de segurança em toda a organização, estabelecendo SLAs claros para cada classe de gravidade.</td></tr><tr><td>2</td><td>O rastreamento de defeitos é utilizado para influenciar o processo de implantação.</td><td>Classifique de forma consistente todos os defeitos de segurança em toda a organização, estabelecendo SLAs claros para cada classe de gravidade.</td><td>Colete métricas padronizadas de gerenciamento de defeitos e utilize-as para priorizar iniciativas de segurança conduzidas centralmente, garantindo uma abordagem consistente em toda a organização.</td></tr><tr><td>3</td><td>Use o rastreamento de defeitos em vários componentes para identificar padrões e tendências.</td><td>Classifique de forma consistente todos os defeitos de segurança em toda a organização, estabelecendo SLAs claros para cada classe de gravidade.</td><td>Busque a melhoria contínua das métricas de gerenciamento de defeitos de segurança, correlacionando-as com outras fontes de dados e identificando insights valiosos para aprimorar a segurança.</td></tr></tbody></table>

## Como implementar?

1. **Estabeleça um sistema estruturado de rastreamento de defeitos:**
   * Implemente uma ferramenta de gerenciamento de defeitos que permita registrar, acompanhar e analisar de forma organizada todos os defeitos de segurança identificados.
   * Defina campos e categorias relevantes para capturar informações essenciais sobre cada defeito, como gravidade, causa raiz e status de resolução.
2. **Classifique e priorize os defeitos de segurança:**
   * Crie uma classificação consistente para todos os defeitos de segurança, com base em sua gravidade e impacto potencial.
   * Estabeleça Acordos de Nível de Serviço (SLAs) para cada classe de gravidade, definindo prazos e metas para a resolução dos defeitos.
3. **Integre o sistema de gerenciamento de defeitos com outras ferramentas:**
   * Integre o sistema de gerenciamento de defeitos com outras ferramentas relevantes, como ferramentas de desenvolvimento, automação de testes e análise de segurança.
   * Assegure-se de que as informações do sistema de gerenciamento de defeitos estejam sincronizadas com outras ferramentas, permitindo uma visão abrangente e atualizada dos defeitos em todo o ciclo de vida do software.
4. **Realize revisões regulares dos defeitos registrados:**
   * Realize revisões periódicas dos defeitos registrados anteriormente para identificar tendências, padrões e oportunidades de melhoria.
   * Utilize métricas básicas, como taxa de resolução e tempo médio de correção, para identificar "ganhos rápidos" e priorizar ações corretivas.
5. **Coleta de métricas padronizadas:**
   * Estabeleça métricas padronizadas de gerenciamento de defeitos, como taxa de ocorrência de defeitos, taxa de reincidência e tempo médio para resolução.
   * Utilize essas métricas para avaliar o desempenho do programa de segurança, identificar áreas de melhoria e direcionar recursos para iniciativas estratégicas.
6. **Melhoria contínua:**
   * Busque continuamente a melhoria das métricas de gerenciamento de defeitos, refinando-as com base no feedback e nas lições aprendidas.
   * Correlacione as métricas de gerenciamento de defeitos com outras fontes de dados, como análise de vulnerabilidades e relatórios de incidentes de segurança, para obter uma visão abrangente e identificar padrões ou tendências preocupantes.
Nível de maturidade	Descrição	Fluxo de rastreamento de defeitos	Fluxo de métricas e feedback
1	Todos os defeitos são rastreados dentro de cada projeto.	Implemente um sistema estruturado de rastreamento de defeitos de segurança e baseie suas decisões em informações confiáveis e bem organizadas.	Classifique de forma consistente todos os defeitos de segurança em toda a organização, estabelecendo SLAs claros para cada classe de gravidade.
2	O rastreamento de defeitos é utilizado para influenciar o processo de implantação.	Classifique de forma consistente todos os defeitos de segurança em toda a organização, estabelecendo SLAs claros para cada classe de gravidade.	Colete métricas padronizadas de gerenciamento de defeitos e utilize-as para priorizar iniciativas de segurança conduzidas centralmente, garantindo uma abordagem consistente em toda a organização.
3	Use o rastreamento de defeitos em vários componentes para identificar padrões e tendências.	Classifique de forma consistente todos os defeitos de segurança em toda a organização, estabelecendo SLAs claros para cada classe de gravidade.	Busque a melhoria contínua das métricas de gerenciamento de defeitos de segurança, correlacionando-as com outras fontes de dados e identificando insights valiosos para aprimorar a segurança.