npm - @shiftleftpt/sbd-toe-mcp - Versions diffs - 0.6.2 → 0.7.0 - Mend

@shiftleftpt/sbd-toe-mcp 0.6.2 → 0.7.0

This diff represents the content of publicly available package versions that have been released to one of the supported registries. The information contained in this diff is provided for informational purposes only and reflects changes between package versions as they appear in their respective public registries.

Files changed (38) hide show

package/assets/agent-guide.md +22 -19
package/data/publish/algolia_entities_records_enriched.json +25370 -2
package/data/publish/canonical_controls.json +1239 -0
package/data/publish/canonical_requirements_s7.json +1859 -0
package/data/publish/canonical_roles_s5.json +138 -0
package/data/publish/lifecycle_user_stories.json +6558 -0
package/data/publish/mitigated_threats.json +6945 -0
package/data/publish/practice_assignments.json +16266 -0
package/data/publish/sbdtoe-ontology.yaml +696 -0
package/dist/backend/semantic-index-gateway.js +1 -1
package/dist/index.js +276 -115
package/dist/index.js.map +1 -1
package/dist/resources/sbd-toe-resources.js +6 -1
package/dist/resources/sbd-toe-resources.js.map +1 -1
package/dist/tools/consult-security-requirements.d.ts +38 -0
package/dist/tools/consult-security-requirements.js +115 -0
package/dist/tools/consult-security-requirements.js.map +1 -0
package/dist/tools/get-guide-by-role.d.ts +38 -0
package/dist/tools/get-guide-by-role.js +109 -0
package/dist/tools/get-guide-by-role.js.map +1 -0
package/dist/tools/get-threat-landscape.d.ts +44 -0
package/dist/tools/get-threat-landscape.js +116 -0
package/dist/tools/get-threat-landscape.js.map +1 -0
package/dist/tools/map-review-scope.js +5 -0
package/dist/tools/map-review-scope.js.map +1 -1
package/dist/tools/ontology-loader.d.ts +104 -0
package/dist/tools/ontology-loader.js +206 -0
package/dist/tools/ontology-loader.js.map +1 -0
package/dist/tools/plan-repo-governance.d.ts +25 -38
package/dist/tools/plan-repo-governance.js +71 -498
package/dist/tools/plan-repo-governance.js.map +1 -1
package/dist/tools/resolve-entities.d.ts +26 -0
package/dist/tools/resolve-entities.js +143 -0
package/dist/tools/resolve-entities.js.map +1 -0
package/package.json +4 -1
package/dist/tools/generate-document.d.ts +0 -22
package/dist/tools/generate-document.js +0 -392
package/dist/tools/generate-document.js.map +0 -1

package/data/publish/canonical_controls.json ADDED Viewed

@@ -0,0 +1,1239 @@
+{
+  "agent": "canonical_control_builder",
+  "generated_at": "2026-03-24T13:04:16Z",
+  "items": [
+    {
+      "abstraction_level": "technical",
+      "aliases": [
+        "Arquivo Central de Evidências de Validação",
+        "Automatização em CI/CD (Linters & SAST)",
+        "Gate de Segurança Pré-release",
+        "Gerem exceções técnicas",
+        "Gerem exceções técnicas com mitigação definida, aprovação explícita e prazo de validade",
+        "Gestão de Dependências no Código",
+        "Gestão de Exceções Técnicas",
+        "Governação e Curadoria de Guidelines",
+        "Guidelines de Desenvolvimento Seguro",
+        "Monitorização de Conformidade e Métricas de Segurança",
+        "Perfis de Validação por Nível de Risco (L1–L3)",
+        "Rastreabilidade com Anotações de Segurança",
+        "Rastreiem decisões de segurança",
+        "Rastreiem decisões de segurança através de anotações padronizadas no código e nos testes",
+        "Revisão de Código Segura",
+        "Uso Validado de GenIA",
+        "Validação de Padrões Perigosos e Anti-patterns",
+        "Validações Locais Obrigatórias (Pre-commit)",
+        "🏷️ Anotações e Evidência de Validações"
+      ],
+      "applicable_lifecycle_phases": [
+        "implementation",
+        "review"
+      ],
+      "artifact_types": [
+        "alert_policy",
+        "guideline_catalog",
+        "pipeline_config",
+        "sast_report",
+        "sbom",
+        "sca_report",
+        "test_report",
+        "validation_evidence"
+      ],
+      "chapter_ids": [
+        "06-desenvolvimento-seguro"
+      ],
+      "confidence": 0.95,
+      "control_id": "CTRL-code-integrity-desenvolvimento-seguro-e-validacao-de-codigo-63dedd7460",
+      "control_type": "preventive",
+      "description": "Aplica guidelines, validações automáticas e gates de código para preservar integridade e qualidade do software.",
+      "domain": "code_integrity",
+      "evidence": [
+        "practice_id derived deterministically from chapter '06-desenvolvimento-seguro'",
+        "summary occurrence linked from 010-sbd-manual/06-desenvolvimento-seguro/intro.md",
+        "technical_detail occurrence linked from 010-sbd-manual/06-desenvolvimento-seguro/addon/09-anotacoes-evidencia.md",
+        "token overlap: ['anotacoe', 'seguranca']",
+        "token overlap: ['evidencia', 'validacao']",
+        "token overlap: ['excecao', 'tecnica']",
+        "token overlap: ['seguranca']",
+        "user story title normalized to 'arquivo-central-de-evidencias-de-validacao'",
+        "user story title normalized to 'automatizacao-em-ci-cd-linters-sast'",
+        "user story title normalized to 'gate-de-seguranca-pre-release'",
+        "user story title normalized to 'gestao-de-dependencias-no-codigo'",
+        "user story title normalized to 'gestao-de-excecoes-tecnicas'",
+        "user story title normalized to 'governacao-e-curadoria-de-guidelines'",
+        "user story title normalized to 'guidelines-de-desenvolvimento-seguro'",
+        "user story title normalized to 'monitorizacao-de-conformidade-e-metricas-de-seguranca'",
+        "user story title normalized to 'perfis-de-validacao-por-nivel-de-risco-l1l3'",
+        "user story title normalized to 'rastreabilidade-com-anotacoes-de-seguranca'",
+        "user story title normalized to 'revisao-de-codigo-segura'",
+        "user story title normalized to 'uso-validado-de-genia'",
+        "user story title normalized to 'validacao-de-padroes-perigosos-e-anti-patterns'",
+        "user story title normalized to 'validacoes-locais-obrigatorias-pre-commit'"
+      ],
+      "name": "Desenvolvimento seguro e validação de código",
+      "name_en": "Development Secure And Validation Of Code",
+      "source_practice_ids": [
+        "06-desenvolvimento-seguro:arquivo-central-de-evidencias-de-validacao",
+        "06-desenvolvimento-seguro:automatizacao-em-ci-cd-linters-sast",
+        "06-desenvolvimento-seguro:gate-de-seguranca-pre-release",
+        "06-desenvolvimento-seguro:gestao-de-dependencias-no-codigo",
+        "06-desenvolvimento-seguro:gestao-de-excecoes-tecnicas",
+        "06-desenvolvimento-seguro:governacao-e-curadoria-de-guidelines",
+        "06-desenvolvimento-seguro:guidelines-de-desenvolvimento-seguro",
+        "06-desenvolvimento-seguro:monitorizacao-de-conformidade-e-metricas-de-seguranca",
+        "06-desenvolvimento-seguro:perfis-de-validacao-por-nivel-de-risco-l1l3",
+        "06-desenvolvimento-seguro:rastreabilidade-com-anotacoes-de-seguranca",
+        "06-desenvolvimento-seguro:revisao-de-codigo-segura",
+        "06-desenvolvimento-seguro:uso-validado-de-genia",
+        "06-desenvolvimento-seguro:validacao-de-padroes-perigosos-e-anti-patterns",
+        "06-desenvolvimento-seguro:validacoes-locais-obrigatorias-pre-commit"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "technical",
+      "aliases": [
+        "Assinar e registar proveniência",
+        "Assinar e registar proveniência de todos os artefactos e releases, com validação obrigatória antes de promoção.",
+        "Assinatura automática de artefactos e proveniência conforme SLSA",
+        "Assinatura e proveniência",
+        "Cobertura ampliada (containers e SBOM)",
+        "Contenção de contexto e higiene de logs/outputs",
+        "Design seguro dos pipelines (versionamento, determinismo e revisão)",
+        "Endurecer e isolar runners",
+        "Endurecer e isolar runners por projeto, aplicação ou nível de risco.",
+        "Evidência empírica obrigatória (anti-“relatórios sem execução”)",
+        "Garantir rastreabilidade completa",
+        "Gates por risco (separação sinal/decisão)",
+        "Gestão de exceções (bypass controlado)",
+        "Gestão segura de código fonte",
+        "Integrar scanners automáticos",
+        "Isolamento de runners",
+        "Métricas e conformidade organizacional",
+        "Não-repúdio e ownership de promoções (ações irreversíveis)",
+        "Rastreabilidade ponta-a-ponta (commit→pipeline→release)",
+        "Registar exceções",
+        "Reprodutibilidade e determinismo do pipeline",
+        "Scanners integrados (validação empírica obrigatória)",
+        "Separação formal entre sinal automático e decisão de promoção",
+        "Testes de segurança dinâmicos (DAST)",
+        "Validação de integridade de imagens base",
+        "Versionamento de pipelines em repositórios Git com revisão por PR",
+        "📁 Gestão segura de código fonte",
+        "🖥️ Isolamento e proteção de runners",
+        "🧱 Design seguro dos pipelines"
+      ],
+      "applicable_lifecycle_phases": [
+        "build",
+        "release"
+      ],
+      "artifact_types": [
+        "artifact_provenance",
+        "artifact_signature",
+        "pipeline_config",
+        "sbom",
+        "sca_report",
+        "test_report"
+      ],
+      "chapter_ids": [
+        "07-cicd-seguro"
+      ],
+      "confidence": 0.95,
+      "control_id": "CTRL-code-integrity-integridade-e-governacao-de-pipelines-d5b14eeef2",
+      "control_type": "preventive",
+      "description": "Protege pipelines CI/CD com determinismo, proveniência, segregação de decisão e evidência executável.",
+      "domain": "code_integrity",
+      "evidence": [
+        "candidate covers all practice tokens",
+        "normalized labels match exactly",
+        "normalized labels share prefix/containment",
+        "practice_id derived deterministically from chapter '07-cicd-seguro'",
+        "short candidate anchored by a strong shared domain token",
+        "summary occurrence linked from 010-sbd-manual/07-cicd-seguro/intro.md",
+        "technical_detail occurrence linked from 010-sbd-manual/07-cicd-seguro/addon/00-gestao-segura-codigo-fonte.md",
+        "technical_detail occurrence linked from 010-sbd-manual/07-cicd-seguro/addon/01-design-seguro-pipelines.md",
+        "technical_detail occurrence linked from 010-sbd-manual/07-cicd-seguro/addon/04-isolamento-runners.md",
+        "token overlap: ['assinatura', 'proveniencia']",
+        "token overlap: ['codigo', 'fonte', 'gestao', 'segura']",
+        "token overlap: ['design', 'pipeline', 'seguro']",
+        "token overlap: ['excecao']",
+        "token overlap: ['integrado', 'scanner']",
+        "token overlap: ['isolamento', 'runner']",
+        "token overlap: ['pipeline', 'revisao', 'versionamento']",
+        "token overlap: ['rastreabilidade']",
+        "user story title normalized to 'assinatura-e-proveniencia'",
+        "user story title normalized to 'cobertura-ampliada-containers-e-sbom'",
+        "user story title normalized to 'contencao-de-contexto-e-higiene-de-logs-outputs'",
+        "user story title normalized to 'design-seguro-dos-pipelines-versionamento-determinismo-e-revisao'",
+        "user story title normalized to 'evidencia-empirica-obrigatoria-anti-relatorios-sem-execucao'",
+        "user story title normalized to 'gates-por-risco-separacao-sinal-decisao'",
+        "user story title normalized to 'gestao-de-excecoes-bypass-controlado'",
+        "user story title normalized to 'gestao-segura-de-codigo-fonte'",
+        "user story title normalized to 'isolamento-de-runners'",
+        "user story title normalized to 'metricas-e-conformidade-organizacional'",
+        "user story title normalized to 'nao-repudio-e-ownership-de-promocoes-acoes-irreversiveis'",
+        "user story title normalized to 'rastreabilidade-ponta-a-ponta-commitpipelinerelease'",
+        "user story title normalized to 'reprodutibilidade-e-determinismo-do-pipeline'",
+        "user story title normalized to 'scanners-integrados-validacao-empirica-obrigatoria'",
+        "user story title normalized to 'separacao-formal-entre-sinal-automatico-e-decisao-de-promocao'",
+        "user story title normalized to 'testes-de-seguranca-dinamicos-dast'",
+        "user story title normalized to 'validacao-de-integridade-de-imagens-base'"
+      ],
+      "name": "Integridade e governação de pipelines",
+      "name_en": "Integridade And Governacao Of Pipelines",
+      "source_practice_ids": [
+        "07-cicd-seguro:assinatura-e-proveniencia",
+        "07-cicd-seguro:cobertura-ampliada-containers-e-sbom",
+        "07-cicd-seguro:contencao-de-contexto-e-higiene-de-logs-outputs",
+        "07-cicd-seguro:design-seguro-dos-pipelines-versionamento-determinismo-e-revisao",
+        "07-cicd-seguro:evidencia-empirica-obrigatoria-anti-relatorios-sem-execucao",
+        "07-cicd-seguro:gates-por-risco-separacao-sinal-decisao",
+        "07-cicd-seguro:gestao-de-excecoes-bypass-controlado",
+        "07-cicd-seguro:gestao-segura-de-codigo-fonte",
+        "07-cicd-seguro:isolamento-de-runners",
+        "07-cicd-seguro:metricas-e-conformidade-organizacional",
+        "07-cicd-seguro:nao-repudio-e-ownership-de-promocoes-acoes-irreversiveis",
+        "07-cicd-seguro:rastreabilidade-ponta-a-ponta-commitpipelinerelease",
+        "07-cicd-seguro:reprodutibilidade-e-determinismo-do-pipeline",
+        "07-cicd-seguro:scanners-integrados-validacao-empirica-obrigatoria",
+        "07-cicd-seguro:separacao-formal-entre-sinal-automatico-e-decisao-de-promocao",
+        "07-cicd-seguro:testes-de-seguranca-dinamicos-dast",
+        "07-cicd-seguro:validacao-de-integridade-de-imagens-base"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "foundational",
+      "aliases": [
+        "Code Clinics Estruturadas e Recorrentes",
+        "Exercícios práticos e simulações",
+        "Formatos de Entrega e DoD por Formato",
+        "Formação contínua por perfil",
+        "KPIs de Capacitação e Reporte (GRC)",
+        "Manutenção e Atualização de Trilhos Formativos",
+        "Medição de eficácia da formação",
+        "Onboarding seguro obrigatório",
+        "Operacionalização de Formação de Terceiros",
+        "Programa de Security Champions",
+        "Threat Modeling Peer-led e Rotativo",
+        "Trilhos Formativos Proporcionais por Risco (L1–L3)",
+        "Validação Formal de Onboarding via Checklist",
+        "Validação de Conhecimento via Quizzes Estruturados",
+        "War Room e Simulações de Incidentes",
+        "✅ Checklist de Onboarding Técnico Seguro",
+        "✅ Quiz de Validação - Formação para Terceiros",
+        "🎓 Trilhos Formativos por Função e Risco",
+        "👥 Manual de Formação por Perfil",
+        "🛡️ Programa de Security Champions",
+        "🤝 Formação Mínima para Terceiros e Fornecedores",
+        "🤝 Inclusão de Terceiros em Programas de Formação"
+      ],
+      "applicable_lifecycle_phases": [
+        "design",
+        "implementation",
+        "operations"
+      ],
+      "artifact_types": [
+        "onboarding_checklist",
+        "quiz_result",
+        "training_plan"
+      ],
+      "chapter_ids": [
+        "13-formacao-onboarding"
+      ],
+      "confidence": 0.95,
+      "control_id": "CTRL-governance-capacitacao-e-onboarding-de-seguranca-f84db7abdf",
+      "control_type": "governance",
+      "description": "Assegura formação contínua, onboarding e medição de eficácia para competências de segurança por perfil.",
+      "domain": "governance",
+      "evidence": [
+        "candidate covers all practice tokens",
+        "normalized labels match exactly",
+        "practice_id derived deterministically from chapter '13-formacao-onboarding'",
+        "technical_detail occurrence linked from 010-sbd-manual/13-formacao-onboarding/addon/02-trilho-formativo.md",
+        "technical_detail occurrence linked from 010-sbd-manual/13-formacao-onboarding/addon/03-programa-champions.md",
+        "technical_detail occurrence linked from 010-sbd-manual/13-formacao-onboarding/addon/06-manual-formação-por-capitulo.md",
+        "technical_detail occurrence linked from 010-sbd-manual/13-formacao-onboarding/addon/10-checklist-onboarding.md",
+        "technical_detail occurrence linked from 010-sbd-manual/13-formacao-onboarding/addon/20-modelo-inclusao-terceiros.md",
+        "technical_detail occurrence linked from 010-sbd-manual/13-formacao-onboarding/addon/21-plano-formacao-terceiros.md",
+        "technical_detail occurrence linked from 010-sbd-manual/13-formacao-onboarding/addon/22-template-quiz-terceiros.md",
+        "token overlap: ['champion', 'programa', 'security']",
+        "token overlap: ['formacao', 'perfil']",
+        "token overlap: ['formacao', 'terceiro']",
+        "token overlap: ['formativo', 'risco', 'trilho']",
+        "token overlap: ['onboarding', 'seguro']",
+        "user story title normalized to 'code-clinics-estruturadas-e-recorrentes'",
+        "user story title normalized to 'exercicios-praticos-e-simulacoes'",
+        "user story title normalized to 'formacao-continua-por-perfil'",
+        "user story title normalized to 'formatos-de-entrega-e-dod-por-formato'",
+        "user story title normalized to 'kpis-de-capacitacao-e-reporte-grc'",
+        "user story title normalized to 'manutencao-e-atualizacao-de-trilhos-formativos'",
+        "user story title normalized to 'medicao-de-eficacia-da-formacao'",
+        "user story title normalized to 'onboarding-seguro-obrigatorio'",
+        "user story title normalized to 'operacionalizacao-de-formacao-de-terceiros'",
+        "user story title normalized to 'programa-de-security-champions'",
+        "user story title normalized to 'threat-modeling-peer-led-e-rotativo'",
+        "user story title normalized to 'trilhos-formativos-proporcionais-por-risco-l1l3'",
+        "user story title normalized to 'validacao-de-conhecimento-via-quizzes-estruturados'",
+        "user story title normalized to 'validacao-formal-de-onboarding-via-checklist'",
+        "user story title normalized to 'war-room-e-simulacoes-de-incidentes'"
+      ],
+      "name": "Capacitação e onboarding de segurança",
+      "name_en": "Capacitacao And Onboarding Of Security",
+      "source_practice_ids": [
+        "13-formacao-onboarding:code-clinics-estruturadas-e-recorrentes",
+        "13-formacao-onboarding:exercicios-praticos-e-simulacoes",
+        "13-formacao-onboarding:formacao-continua-por-perfil",
+        "13-formacao-onboarding:formatos-de-entrega-e-dod-por-formato",
+        "13-formacao-onboarding:kpis-de-capacitacao-e-reporte-grc",
+        "13-formacao-onboarding:manutencao-e-atualizacao-de-trilhos-formativos",
+        "13-formacao-onboarding:medicao-de-eficacia-da-formacao",
+        "13-formacao-onboarding:onboarding-seguro-obrigatorio",
+        "13-formacao-onboarding:operacionalizacao-de-formacao-de-terceiros",
+        "13-formacao-onboarding:programa-de-security-champions",
+        "13-formacao-onboarding:threat-modeling-peer-led-e-rotativo",
+        "13-formacao-onboarding:trilhos-formativos-proporcionais-por-risco-l1l3",
+        "13-formacao-onboarding:validacao-de-conhecimento-via-quizzes-estruturados",
+        "13-formacao-onboarding:validacao-formal-de-onboarding-via-checklist",
+        "13-formacao-onboarding:war-room-e-simulacoes-de-incidentes"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "foundational",
+      "aliases": [
+        "Análise de risco residual",
+        "Aplicação da matriz de controlo",
+        "Classificação inicial da aplicação",
+        "Considerar ameaças reais através do Mapeamento de Ameaças por Nível de Risco;",
+        "Mapeamento de ameaças por nível de risco",
+        "Revisão por alteração relevante (event-based)",
+        "Usar o Modelo de Classificação;",
+        "Validação antes do go-live",
+        "📊 Matriz de Controlos Mínimos por Nível de Risco",
+        "🛠️ Análise de Risco Residual",
+        "🛠️ Mapeamento de Ameaças para Validação do Risco"
+      ],
+      "applicable_lifecycle_phases": [
+        "design",
+        "release"
+      ],
+      "artifact_types": [
+        "review_checklist",
+        "risk_matrix"
+      ],
+      "chapter_ids": [
+        "01-classificacao-aplicacoes"
+      ],
+      "confidence": 0.9499999999999998,
+      "control_id": "CTRL-governance-classificacao-e-governacao-por-risco-97aceecf29",
+      "control_type": "governance",
+      "description": "Estabelece classificação de risco, revisão periódica e governação proporcional por criticidade.",
+      "domain": "governance",
+      "evidence": [
+        "candidate covers all practice tokens",
+        "normalized labels match exactly",
+        "normalized labels share prefix/containment",
+        "practice_id derived deterministically from chapter '01-classificacao-aplicacoes'",
+        "summary occurrence linked from 010-sbd-manual/01-classificacao-aplicacoes/intro.md",
+        "technical_detail occurrence linked from 010-sbd-manual/01-classificacao-aplicacoes/addon/04-risco-residual.md",
+        "technical_detail occurrence linked from 010-sbd-manual/01-classificacao-aplicacoes/addon/05-matriz-controlos-por-risco.md",
+        "technical_detail occurrence linked from 010-sbd-manual/01-classificacao-aplicacoes/addon/06-mapeamento-ameacas-risco.md",
+        "token overlap: ['ameaca', 'mapeamento', 'nivel', 'risco']",
+        "token overlap: ['ameaca', 'mapeamento', 'risco']",
+        "token overlap: ['analise', 'residual', 'risco']",
+        "token overlap: ['classificacao']",
+        "token overlap: ['controlo', 'matriz']",
+        "user story title normalized to 'analise-de-risco-residual'",
+        "user story title normalized to 'aplicacao-da-matriz-de-controlo'",
+        "user story title normalized to 'classificacao-inicial-da-aplicacao'",
+        "user story title normalized to 'mapeamento-de-ameacas-por-nivel-de-risco'",
+        "user story title normalized to 'revisao-por-alteracao-relevante-event-based'",
+        "user story title normalized to 'validacao-antes-do-go-live'"
+      ],
+      "name": "Classificação e governação por risco",
+      "name_en": "Classification And Governacao Por Risk",
+      "source_practice_ids": [
+        "01-classificacao-aplicacoes:analise-de-risco-residual",
+        "01-classificacao-aplicacoes:aplicacao-da-matriz-de-controlo",
+        "01-classificacao-aplicacoes:classificacao-inicial-da-aplicacao",
+        "01-classificacao-aplicacoes:mapeamento-de-ameacas-por-nivel-de-risco",
+        "01-classificacao-aplicacoes:revisao-por-alteracao-relevante-event-based",
+        "01-classificacao-aplicacoes:validacao-antes-do-go-live"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "foundational",
+      "aliases": [
+        "Cláusulas contratuais de segurança",
+        "Consolidação de KPIs de governação e maturidade",
+        "Execução de fluxo formal de validação de fornecedores",
+        "Feedback Pós-Projeto e Rating de Contractors",
+        "KPIs de governação",
+        "Monitorização Contínua de Conformidade de Fornecedores (Alertas e Escalação)",
+        "Offboarding Seguro de Contractors e Rescisão de Fornecedores",
+        "Reavaliação contínua e rotação de fornecedores pós-onboarding",
+        "Validação contínua de fornecedores",
+        "✅ Checklist de Offboarding Seguro",
+        "📜 Cláusulas Contratuais de Segurança",
+        "🛠️ Modelo de Validação de Fornecedores e Terceiros"
+      ],
+      "applicable_lifecycle_phases": [
+        "design",
+        "operations"
+      ],
+      "artifact_types": [
+        "alert_policy",
+        "exception_record",
+        "governance_kpi",
+        "sbom",
+        "sca_report",
+        "supplier_assessment"
+      ],
+      "chapter_ids": [
+        "14-governanca-contratacao"
+      ],
+      "confidence": 0.9499999999999998,
+      "control_id": "CTRL-governance-governacao-de-fornecedores-e-excecoes-a9a9ab3628",
+      "control_type": "governance",
+      "description": "Formaliza validação, monitorização, exceções e accountability de terceiros com acesso ao ecossistema.",
+      "domain": "governance",
+      "evidence": [
+        "candidate covers all practice tokens",
+        "normalized labels match exactly",
+        "practice_id derived deterministically from chapter '14-governanca-contratacao'",
+        "technical_detail occurrence linked from 010-sbd-manual/14-governanca-contratacao/addon/02-clausulas-contratuais.md",
+        "technical_detail occurrence linked from 010-sbd-manual/14-governanca-contratacao/addon/03-modelo-validacao-fornecedores.md",
+        "technical_detail occurrence linked from 010-sbd-manual/14-governanca-contratacao/addon/13-checklist-offboarding.md",
+        "token overlap: ['clausula', 'contratuai', 'seguranca']",
+        "token overlap: ['fornecedore', 'validacao']",
+        "token overlap: ['offboarding', 'seguro']",
+        "user story title normalized to 'clausulas-contratuais-de-seguranca'",
+        "user story title normalized to 'consolidacao-de-kpis-de-governacao-e-maturidade'",
+        "user story title normalized to 'execucao-de-fluxo-formal-de-validacao-de-fornecedores'",
+        "user story title normalized to 'feedback-pos-projeto-e-rating-de-contractors'",
+        "user story title normalized to 'kpis-de-governacao'",
+        "user story title normalized to 'monitorizacao-continua-de-conformidade-de-fornecedores-alertas-e-escalacao'",
+        "user story title normalized to 'offboarding-seguro-de-contractors-e-rescisao-de-fornecedores'",
+        "user story title normalized to 'reavaliacao-continua-e-rotacao-de-fornecedores-pos-onboarding'",
+        "user story title normalized to 'validacao-continua-de-fornecedores'"
+      ],
+      "name": "Governação de fornecedores e exceções",
+      "name_en": "Governacao Of Fornecedores And Excecoes",
+      "source_practice_ids": [
+        "14-governanca-contratacao:clausulas-contratuais-de-seguranca",
+        "14-governanca-contratacao:consolidacao-de-kpis-de-governacao-e-maturidade",
+        "14-governanca-contratacao:execucao-de-fluxo-formal-de-validacao-de-fornecedores",
+        "14-governanca-contratacao:feedback-pos-projeto-e-rating-de-contractors",
+        "14-governanca-contratacao:kpis-de-governacao",
+        "14-governanca-contratacao:monitorizacao-continua-de-conformidade-de-fornecedores-alertas-e-escalacao",
+        "14-governanca-contratacao:offboarding-seguro-de-contractors-e-rescisao-de-fornecedores",
+        "14-governanca-contratacao:reavaliacao-continua-e-rotacao-de-fornecedores-pos-onboarding",
+        "14-governanca-contratacao:validacao-continua-de-fornecedores"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "technical",
+      "aliases": [
+        "Aplicação LINDDUN quando existir tratamento de dados pessoais  *(novo)*",
+        "Aprovação formal do Threat Model (baseline e revisões)",
+        "Associar cada ameaça a:",
+        "Atualização do modelo após alteração técnica",
+        "Controlo de acesso, classificação e retenção dos artefactos de Threat Modeling",
+        "Criação do modelo de ameaça",
+        "Documentar decisões, riscos aceites e ações futuras",
+        "Gate de controlo de consistência no CI/CD",
+        "Identificar ameaças relevantes usando modelos reconhecidos",
+        "Justificação formal de risco aceite",
+        "Realizar threat modeling com base no nível de risco da aplicação",
+        "Reutilização controlada e revisão de modelos anteriores",
+        "Validação de arquitetura com threat modeling",
+        "Validação de impacto no negócio",
+        "⚙️ Threat Modeling em CI/CD",
+        "🏗️ Integração do Threat Modeling na Validação de Arquitetura",
+        "🛠️ Riscos de Processo no Threat Modeling",
+        "🛠️ Validação e Evidência no Threat Modeling",
+        "🛡️ Metodologias e Ferramentas de Threat Modeling"
+      ],
+      "applicable_lifecycle_phases": [
+        "design",
+        "implementation"
+      ],
+      "artifact_types": [
+        "pipeline_config",
+        "risk_acceptance_record",
+        "threat_model"
+      ],
+      "chapter_ids": [
+        "03-threat-modeling"
+      ],
+      "confidence": 0.95,
+      "control_id": "CTRL-governance-threat-modeling-e-gestao-de-risco-272c9a8ed0",
+      "control_type": "governance",
+      "description": "Mantém modelos de ameaça, revisões formais e decisões de risco rastreáveis ao longo do ciclo de vida.",
+      "domain": "governance",
+      "evidence": [
+        "candidate covers all practice tokens",
+        "practice_id derived deterministically from chapter '03-threat-modeling'",
+        "summary occurrence linked from 010-sbd-manual/03-threat-modeling/intro.md",
+        "technical_detail occurrence linked from 010-sbd-manual/03-threat-modeling/addon/01-metodologias-e-ferramentas.md",
+        "technical_detail occurrence linked from 010-sbd-manual/03-threat-modeling/addon/02-riscos-processo-threat-modeling.md",
+        "technical_detail occurrence linked from 010-sbd-manual/03-threat-modeling/addon/03-validacao-evidencia-threat-modeling.md",
+        "technical_detail occurrence linked from 010-sbd-manual/03-threat-modeling/addon/06-threat-modeling-ci.md",
+        "technical_detail occurrence linked from 010-sbd-manual/03-threat-modeling/addon/09-validacao-arquitetura.md",
+        "token overlap: ['aceite', 'risco']",
+        "token overlap: ['ameaca', 'modelo']",
+        "token overlap: ['ameaca']",
+        "token overlap: ['arquitetura', 'modeling', 'threat', 'validacao']",
+        "token overlap: ['modeling', 'threat', 'validacao']",
+        "token overlap: ['modeling', 'threat']",
+        "user story title normalized to 'aplicacao-linddun-quando-existir-tratamento-de-dados-pessoais-novo'",
+        "user story title normalized to 'aprovacao-formal-do-threat-model-baseline-e-revisoes'",
+        "user story title normalized to 'atualizacao-do-modelo-apos-alteracao-tecnica'",
+        "user story title normalized to 'controlo-de-acesso-classificacao-e-retencao-dos-artefactos-de-threat-modeling'",
+        "user story title normalized to 'criacao-do-modelo-de-ameaca'",
+        "user story title normalized to 'gate-de-controlo-de-consistencia-no-ci-cd'",
+        "user story title normalized to 'justificacao-formal-de-risco-aceite'",
+        "user story title normalized to 'reutilizacao-controlada-e-revisao-de-modelos-anteriores'",
+        "user story title normalized to 'validacao-de-arquitetura-com-threat-modeling'",
+        "user story title normalized to 'validacao-de-impacto-no-negocio'"
+      ],
+      "name": "Threat modeling e gestão de risco",
+      "name_en": "Threat Modeling And Management Of Risk",
+      "source_practice_ids": [
+        "03-threat-modeling:aplicacao-linddun-quando-existir-tratamento-de-dados-pessoais-novo",
+        "03-threat-modeling:aprovacao-formal-do-threat-model-baseline-e-revisoes",
+        "03-threat-modeling:atualizacao-do-modelo-apos-alteracao-tecnica",
+        "03-threat-modeling:controlo-de-acesso-classificacao-e-retencao-dos-artefactos-de-threat-modeling",
+        "03-threat-modeling:criacao-do-modelo-de-ameaca",
+        "03-threat-modeling:gate-de-controlo-de-consistencia-no-ci-cd",
+        "03-threat-modeling:justificacao-formal-de-risco-aceite",
+        "03-threat-modeling:reutilizacao-controlada-e-revisao-de-modelos-anteriores",
+        "03-threat-modeling:validacao-de-arquitetura-com-threat-modeling",
+        "03-threat-modeling:validacao-de-impacto-no-negocio"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "foundational",
+      "aliases": [
+        "*Rollback* e salvaguarda de *destroy*",
+        "Builders e Runners Ephemerais, Assinados e com Auditoria",
+        "Ciclo contínuo de revisão e reavaliação de exceções",
+        "Construção de imagens a partir de bases seguras, minimalistas e pinned por digest",
+        "Controlo e validação de drift operacional",
+        "Controlo sistemático e periódico por capítulo SbD-ToE",
+        "Designação formal de owners de segurança por aplicação",
+        "Enforcement automático",
+        "Enforcement automático de políticas",
+        "Enforcement automático de políticas de segurança no pipeline",
+        "Enforcement de políticas: OPA, Sentinel, Conftest",
+        "Evidência operacional auditável",
+        "Exceções temporárias a findings/policies com TTL, compensações e revalidação",
+        "Formalização de modelo de governação por nível de risco",
+        "Garantia de rastreabilidade completa entre código, recursos e ambientes",
+        "Gestão de segredos e identidades para IaC",
+        "Governação de Registries com Allowlist e Digest-Only",
+        "Janela de mudança e aprovações por papel",
+        "Preparação Técnica e Validação de Contractors pré-Acesso",
+        "Processo formal de exceções com alçadas por nível de risco",
+        "Promoção por estágios com aprovação explícita e revalidação por ambiente",
+        "RBAC Mínimo e ServiceAccounts Dedicadas",
+        "Rastreabilidade *end-to-end*",
+        "Rastreabilidade ficheiro → recurso → ambiente",
+        "Rastreabilidade organizacional",
+        "Rastreabilidade, versionamento e naming",
+        "Repositório de conformidade por aplicação (controlo sistemático)",
+        "Reprodutibilidade de incidentes em runtime",
+        "Revisão Trimestral de Acesso de Contractors (Least Privilege)",
+        "Sandboxing Avançado com gVisor/Kata para Workloads Críticas",
+        "Segregação de ambientes, tagging e permissões mínimas",
+        "Segregação rigorosa e versionamento",
+        "Segregação rigorosa e versionamento de ambientes",
+        "Separação entre ação automática e autorização irreversível",
+        "Trilho de Formação Obrigatória pré-Acesso (Contractors)",
+        "Usar imagens base minimalistas, mantidas e verificadas.",
+        "Validação automática de vulnerabilidades em imagens no pipeline CI/CD",
+        "Validação periódica de aplicações (ciclo de conformidade)",
+        "Versionamento semântico e *changelog* técnico",
+        "🏢 Segregação de Ambientes e Validação Operacional",
+        "📊 Monitorização e Reação a Incidentes de Runtime",
+        "🔗 Modelo de Rastreabilidade Organizacional",
+        "🧮 Controlo Sistemático das Práticas do SbD-ToE",
+        "🧱 Imagens Base Seguras e Minimalistas"
+      ],
+      "applicable_lifecycle_phases": [
+        "build",
+        "deployment",
+        "design",
+        "implementation",
+        "operations"
+      ],
+      "artifact_types": [
+        "access_review",
+        "approval_record",
+        "artifact_provenance",
+        "artifact_signature",
+        "identity_binding",
+        "pipeline_config",
+        "secret_config"
+      ],
+      "chapter_ids": [
+        "08-iac-infraestrutura",
+        "09-containers-imagens",
+        "11-deploy-seguro",
+        "14-governanca-contratacao"
+      ],
+      "confidence": 0.95,
+      "control_id": "CTRL-identity-gestao-de-identidades-acessos-e-ownership-d0919c69af",
+      "control_type": "preventive",
+      "description": "Controla identidades, privilégios mínimos, ownership e segregação de acesso em toolchains e operações.",
+      "domain": "identity",
+      "evidence": [
+        "candidate covers all practice tokens",
+        "normalized labels share prefix/containment",
+        "practice_id derived deterministically from chapter '08-iac-infraestrutura'",
+        "practice_id derived deterministically from chapter '09-containers-imagens'",
+        "practice_id derived deterministically from chapter '11-deploy-seguro'",
+        "practice_id derived deterministically from chapter '14-governanca-contratacao'",
+        "summary occurrence linked from 010-sbd-manual/08-iac-infraestrutura/intro.md",
+        "summary occurrence linked from 010-sbd-manual/09-containers-imagens/intro.md",
+        "technical_detail occurrence linked from 010-sbd-manual/09-containers-imagens/addon/01-imagens-base.md",
+        "technical_detail occurrence linked from 010-sbd-manual/11-deploy-seguro/addon/05-monitorizacao-e-reacao.md",
+        "technical_detail occurrence linked from 010-sbd-manual/11-deploy-seguro/addon/08-segregacao-e-validacao-operacional.md",
+        "technical_detail occurrence linked from 010-sbd-manual/14-governanca-contratacao/addon/04-rastreabilidade-organizacional.md",
+        "technical_detail occurrence linked from 010-sbd-manual/14-governanca-contratacao/addon/11-controlos-praticas-sbd.md",
+        "token overlap: ['ambiente', 'rastreabilidade', 'recurso']",
+        "token overlap: ['ambiente', 'segregacao']",
+        "token overlap: ['automatico', 'enforcement', 'politica']",
+        "token overlap: ['automatico', 'enforcement']",
+        "token overlap: ['base', 'imagen', 'minimalista', 'segura']",
+        "token overlap: ['base', 'imagen', 'minimalista']",
+        "token overlap: ['controlo', 'sbd', 'sistematico', 'toe']",
+        "token overlap: ['enforcement', 'politica']",
+        "token overlap: ['incidente', 'runtime']",
+        "token overlap: ['operacional', 'validacao']",
+        "token overlap: ['organizacional', 'rastreabilidade']",
+        "token overlap: ['versionamento']",
+        "user story title normalized to 'builders-e-runners-ephemerais-assinados-e-com-auditoria'",
+        "user story title normalized to 'ciclo-continuo-de-revisao-e-reavaliacao-de-excecoes'",
+        "user story title normalized to 'construcao-de-imagens-a-partir-de-bases-seguras-minimalistas-e-pinned-por-digest'",
+        "user story title normalized to 'controlo-e-validacao-de-drift-operacional'",
+        "user story title normalized to 'controlo-sistematico-e-periodico-por-capitulo-sbd-toe'",
+        "user story title normalized to 'designacao-formal-de-owners-de-seguranca-por-aplicacao'",
+        "user story title normalized to 'enforcement-automatico-de-politicas'",
+        "user story title normalized to 'evidencia-operacional-auditavel'",
+        "user story title normalized to 'excecoes-temporarias-a-findings-policies-com-ttl-compensacoes-e-revalidacao'",
+        "user story title normalized to 'formalizacao-de-modelo-de-governacao-por-nivel-de-risco'",
+        "user story title normalized to 'gestao-de-segredos-e-identidades-para-iac'",
+        "user story title normalized to 'governacao-de-registries-com-allowlist-e-digest-only'",
+        "user story title normalized to 'janela-de-mudanca-e-aprovacoes-por-papel'",
+        "user story title normalized to 'preparacao-tecnica-e-validacao-de-contractors-pre-acesso'",
+        "user story title normalized to 'processo-formal-de-excecoes-com-alcadas-por-nivel-de-risco'",
+        "user story title normalized to 'promocao-por-estagios-com-aprovacao-explicita-e-revalidacao-por-ambiente'",
+        "user story title normalized to 'rastreabilidade-end-to-end'",
+        "user story title normalized to 'rastreabilidade-ficheiro-recurso-ambiente'",
+        "user story title normalized to 'rastreabilidade-organizacional'",
+        "user story title normalized to 'rastreabilidade-versionamento-e-naming'",
+        "user story title normalized to 'rbac-minimo-e-serviceaccounts-dedicadas'",
+        "user story title normalized to 'repositorio-de-conformidade-por-aplicacao-controlo-sistematico'",
+        "user story title normalized to 'reprodutibilidade-de-incidentes-em-runtime'",
+        "user story title normalized to 'revisao-trimestral-de-acesso-de-contractors-least-privilege'",
+        "user story title normalized to 'rollback-e-salvaguarda-de-destroy'",
+        "user story title normalized to 'sandboxing-avancado-com-gvisor-kata-para-workloads-criticas'",
+        "user story title normalized to 'segregacao-de-ambientes-tagging-e-permissoes-minimas'",
+        "user story title normalized to 'separacao-entre-acao-automatica-e-autorizacao-irreversivel'",
+        "user story title normalized to 'trilho-de-formacao-obrigatoria-pre-acesso-contractors'",
+        "user story title normalized to 'validacao-automatica-de-vulnerabilidades-em-imagens-no-pipeline-ci-cd'",
+        "user story title normalized to 'validacao-periodica-de-aplicacoes-ciclo-de-conformidade'",
+        "user story title normalized to 'versionamento-semantico-e-changelog-tecnico'"
+      ],
+      "name": "Gestão de identidades, acessos e ownership",
+      "name_en": "Management Of Identidades Acessos And Ownership",
+      "source_practice_ids": [
+        "08-iac-infraestrutura:enforcement-automatico-de-politicas",
+        "08-iac-infraestrutura:gestao-de-segredos-e-identidades-para-iac",
+        "08-iac-infraestrutura:janela-de-mudanca-e-aprovacoes-por-papel",
+        "08-iac-infraestrutura:rastreabilidade-ficheiro-recurso-ambiente",
+        "08-iac-infraestrutura:rastreabilidade-versionamento-e-naming",
+        "08-iac-infraestrutura:rollback-e-salvaguarda-de-destroy",
+        "08-iac-infraestrutura:segregacao-de-ambientes-tagging-e-permissoes-minimas",
+        "09-containers-imagens:builders-e-runners-ephemerais-assinados-e-com-auditoria",
+        "09-containers-imagens:construcao-de-imagens-a-partir-de-bases-seguras-minimalistas-e-pinned-por-digest",
+        "09-containers-imagens:excecoes-temporarias-a-findings-policies-com-ttl-compensacoes-e-revalidacao",
+        "09-containers-imagens:governacao-de-registries-com-allowlist-e-digest-only",
+        "09-containers-imagens:promocao-por-estagios-com-aprovacao-explicita-e-revalidacao-por-ambiente",
+        "09-containers-imagens:rbac-minimo-e-serviceaccounts-dedicadas",
+        "09-containers-imagens:sandboxing-avancado-com-gvisor-kata-para-workloads-criticas",
+        "09-containers-imagens:validacao-automatica-de-vulnerabilidades-em-imagens-no-pipeline-ci-cd",
+        "11-deploy-seguro:controlo-e-validacao-de-drift-operacional",
+        "11-deploy-seguro:evidencia-operacional-auditavel",
+        "11-deploy-seguro:rastreabilidade-end-to-end",
+        "11-deploy-seguro:reprodutibilidade-de-incidentes-em-runtime",
+        "11-deploy-seguro:separacao-entre-acao-automatica-e-autorizacao-irreversivel",
+        "11-deploy-seguro:versionamento-semantico-e-changelog-tecnico",
+        "14-governanca-contratacao:ciclo-continuo-de-revisao-e-reavaliacao-de-excecoes",
+        "14-governanca-contratacao:controlo-sistematico-e-periodico-por-capitulo-sbd-toe",
+        "14-governanca-contratacao:designacao-formal-de-owners-de-seguranca-por-aplicacao",
+        "14-governanca-contratacao:formalizacao-de-modelo-de-governacao-por-nivel-de-risco",
+        "14-governanca-contratacao:preparacao-tecnica-e-validacao-de-contractors-pre-acesso",
+        "14-governanca-contratacao:processo-formal-de-excecoes-com-alcadas-por-nivel-de-risco",
+        "14-governanca-contratacao:rastreabilidade-organizacional",
+        "14-governanca-contratacao:repositorio-de-conformidade-por-aplicacao-controlo-sistematico",
+        "14-governanca-contratacao:revisao-trimestral-de-acesso-de-contractors-least-privilege",
+        "14-governanca-contratacao:trilho-de-formacao-obrigatoria-pre-acesso-contractors",
+        "14-governanca-contratacao:validacao-periodica-de-aplicacoes-ciclo-de-conformidade"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "operational",
+      "aliases": [
+        "*Deploy* progressivo com estratégias *canary*/*blue-green*",
+        "*Gates* de aprovação no *deploy*",
+        "*Rollback* estruturado por tipo (binário, configuração, BD, infra)",
+        "*Rollback* rápido e testado",
+        "Controlo de execução com *feature flags*",
+        "Deploy apenas de artefactos assinados",
+        "Monitorização pós-deploy",
+        "Validação em *staging* antes da promoção",
+        "Validação humana obrigatória após deploy automatizado",
+        "Validações técnicas pré-deploy com *gates* condicionais",
+        "🔧 Validações de Segurança antes de Deploy",
+        "🧠 Modelo de Controlo de Execução em Runtime"
+      ],
+      "applicable_lifecycle_phases": [
+        "deployment",
+        "operations"
+      ],
+      "artifact_types": [
+        "alert_policy",
+        "artifact_provenance",
+        "artifact_signature",
+        "deployment_plan",
+        "operational_evidence",
+        "rollback_plan"
+      ],
+      "chapter_ids": [
+        "11-deploy-seguro"
+      ],
+      "confidence": 0.95,
+      "control_id": "CTRL-infrastructure-deploy-seguro-e-reversivel-ae204be5f0",
+      "control_type": "corrective",
+      "description": "Controla promoção, rollback e validação pós-deploy para reduzir impacto operacional de alterações.",
+      "domain": "infrastructure",
+      "evidence": [
+        "practice_id derived deterministically from chapter '11-deploy-seguro'",
+        "technical_detail occurrence linked from 010-sbd-manual/11-deploy-seguro/addon/01-modelo-controle-execucao.md",
+        "technical_detail occurrence linked from 010-sbd-manual/11-deploy-seguro/addon/04-validacoes-pre-deploy.md",
+        "token overlap: ['ante', 'validacao']",
+        "token overlap: ['controlo', 'execucao']",
+        "user story title normalized to 'controlo-de-execucao-com-feature-flags'",
+        "user story title normalized to 'deploy-apenas-de-artefactos-assinados'",
+        "user story title normalized to 'deploy-progressivo-com-estrategias-canary-blue-green'",
+        "user story title normalized to 'gates-de-aprovacao-no-deploy'",
+        "user story title normalized to 'monitorizacao-pos-deploy'",
+        "user story title normalized to 'rollback-estruturado-por-tipo-binario-configuracao-bd-infra'",
+        "user story title normalized to 'rollback-rapido-e-testado'",
+        "user story title normalized to 'validacao-em-staging-antes-da-promocao'",
+        "user story title normalized to 'validacao-humana-obrigatoria-apos-deploy-automatizado'",
+        "user story title normalized to 'validacoes-tecnicas-pre-deploy-com-gates-condicionais'"
+      ],
+      "name": "Deploy seguro e reversível",
+      "name_en": "Deploy Secure And Reversivel",
+      "source_practice_ids": [
+        "11-deploy-seguro:controlo-de-execucao-com-feature-flags",
+        "11-deploy-seguro:deploy-apenas-de-artefactos-assinados",
+        "11-deploy-seguro:deploy-progressivo-com-estrategias-canary-blue-green",
+        "11-deploy-seguro:gates-de-aprovacao-no-deploy",
+        "11-deploy-seguro:monitorizacao-pos-deploy",
+        "11-deploy-seguro:rollback-estruturado-por-tipo-binario-configuracao-bd-infra",
+        "11-deploy-seguro:rollback-rapido-e-testado",
+        "11-deploy-seguro:validacao-em-staging-antes-da-promocao",
+        "11-deploy-seguro:validacao-humana-obrigatoria-apos-deploy-automatizado",
+        "11-deploy-seguro:validacoes-tecnicas-pre-deploy-com-gates-condicionais"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "technical",
+      "aliases": [
+        "Assinatura e Proveniência de artefactos IaC",
+        "Backend remoto, locking e rastreabilidade",
+        "Catálogo de módulos internos certificados, pinados por versão e com origem auditável",
+        "Controlo estrito da origem, integridade e versão dos módulos utilizados",
+        "Determinismo e reprodutibilidade do `plan`",
+        "Deteção e correção de *drift*",
+        "Exceções formais em IaC",
+        "Governança e origem confiável de módulos",
+        "Minimização de contexto e proteção de informação sensível em IaC",
+        "Revisão formal de plan antes de apply",
+        "Revisão formal e humana do plan",
+        "Revisão formal e humana do plan, com critérios de impacto claramente definidos",
+        "Separação de funções (SoD) e controlo de execução de `apply`",
+        "Validações automáticas e bloqueantes",
+        "Validações automáticas e bloqueantes (lint, segurança, policies) antes de qualquer apply",
+        "Validações automáticas integradas"
+      ],
+      "applicable_lifecycle_phases": [
+        "deployment",
+        "design"
+      ],
+      "artifact_types": [
+        "artifact_provenance",
+        "artifact_signature",
+        "environment_inventory",
+        "iac_plan",
+        "policy_report"
+      ],
+      "chapter_ids": [
+        "08-iac-infraestrutura"
+      ],
+      "confidence": 0.95,
+      "control_id": "CTRL-infrastructure-infraestrutura-como-codigo-governada-5228bca905",
+      "control_type": "preventive",
+      "description": "Endurece IaC com rastreabilidade de planos, validações automáticas, separação de funções e controlo de drift.",
+      "domain": "infrastructure",
+      "evidence": [
+        "practice_id derived deterministically from chapter '08-iac-infraestrutura'",
+        "summary occurrence linked from 010-sbd-manual/08-iac-infraestrutura/intro.md",
+        "token overlap: ['automatica', 'validacao']",
+        "token overlap: ['formal', 'plan', 'revisao']",
+        "token overlap: ['modulo', 'origem']",
+        "user story title normalized to 'assinatura-e-proveniencia-de-artefactos-iac'",
+        "user story title normalized to 'backend-remoto-locking-e-rastreabilidade'",
+        "user story title normalized to 'detecao-e-correcao-de-drift'",
+        "user story title normalized to 'determinismo-e-reprodutibilidade-do-plan'",
+        "user story title normalized to 'excecoes-formais-em-iac'",
+        "user story title normalized to 'governanca-e-origem-confiavel-de-modulos'",
+        "user story title normalized to 'minimizacao-de-contexto-e-protecao-de-informacao-sensivel-em-iac'",
+        "user story title normalized to 'revisao-formal-de-plan-antes-de-apply'",
+        "user story title normalized to 'separacao-de-funcoes-sod-e-controlo-de-execucao-de-apply'",
+        "user story title normalized to 'validacoes-automaticas-integradas'"
+      ],
+      "name": "Infraestrutura como código governada",
+      "name_en": "Infraestrutura Como Code Governada",
+      "source_practice_ids": [
+        "08-iac-infraestrutura:assinatura-e-proveniencia-de-artefactos-iac",
+        "08-iac-infraestrutura:backend-remoto-locking-e-rastreabilidade",
+        "08-iac-infraestrutura:detecao-e-correcao-de-drift",
+        "08-iac-infraestrutura:determinismo-e-reprodutibilidade-do-plan",
+        "08-iac-infraestrutura:excecoes-formais-em-iac",
+        "08-iac-infraestrutura:governanca-e-origem-confiavel-de-modulos",
+        "08-iac-infraestrutura:minimizacao-de-contexto-e-protecao-de-informacao-sensivel-em-iac",
+        "08-iac-infraestrutura:revisao-formal-de-plan-antes-de-apply",
+        "08-iac-infraestrutura:separacao-de-funcoes-sod-e-controlo-de-execucao-de-apply",
+        "08-iac-infraestrutura:validacoes-automaticas-integradas"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "operational",
+      "aliases": [
+        "Alertas com SLAs definidosUm alerta sem prazo de resposta é apenas ruído.",
+        "Classificação e Cobertura de Domínios de Monitorização",
+        "Correlação de Eventos e Deteção Comportamental",
+        "Definição de eventos e métricas críticas",
+        "Integração com SIEM e Normalização de Eventos",
+        "Integração com processos de resposta a incidentes",
+        "Logging estruturado e centralizado",
+        "Métricas de eficácia (MTTD/MTTR)",
+        "Proporcionalidade de Controlos por Risco (L1–L3) e Domínios",
+        "Rastreabilidade e Conformidade com Regulações (SSDF, NIS2, ISO 27001)",
+        "Segurança e Integridade de Logs",
+        "Validação e *Tuning* de Alertas",
+        "📉 Integração com Sistemas de Deteção (SIEM)",
+        "🗃️ Logging Estruturado e Centralizado",
+        "🧬 Correlação e Deteção de Anomalias",
+        "🧭 Domínios e Abrangência da Monitorização"
+      ],
+      "applicable_lifecycle_phases": [
+        "operations"
+      ],
+      "artifact_types": [
+        "alert_policy",
+        "incident_metrics",
+        "log_stream"
+      ],
+      "chapter_ids": [
+        "12-monitorizacao-operacoes"
+      ],
+      "confidence": 0.9499999999999998,
+      "control_id": "CTRL-monitoring-monitorizacao-e-resposta-operacional-1797f0af70",
+      "control_type": "detective",
+      "description": "Define logs, alertas, correlação e integração com resposta a incidentes para deteção operacional sustentada.",
+      "domain": "monitoring",
+      "evidence": [
+        "candidate covers all practice tokens",
+        "normalized labels match exactly",
+        "practice_id derived deterministically from chapter '12-monitorizacao-operacoes'",
+        "technical_detail occurrence linked from 010-sbd-manual/12-monitorizacao-operacoes/addon/01-dominios-monitorizacao.md",
+        "technical_detail occurrence linked from 010-sbd-manual/12-monitorizacao-operacoes/addon/02-controles-logging-centralizado.md",
+        "technical_detail occurrence linked from 010-sbd-manual/12-monitorizacao-operacoes/addon/04-integracao-siem.md",
+        "technical_detail occurrence linked from 010-sbd-manual/12-monitorizacao-operacoes/addon/06-correlacao-anomalias.md",
+        "token overlap: ['centralizado', 'estruturado', 'logging']",
+        "token overlap: ['correlacao', 'detecao']",
+        "token overlap: ['dominio', 'monitorizacao']",
+        "token overlap: ['integracao', 'siem']",
+        "user story title normalized to 'alertas-com-slas-definidosum-alerta-sem-prazo-de-resposta-e-apenas-ruido'",
+        "user story title normalized to 'classificacao-e-cobertura-de-dominios-de-monitorizacao'",
+        "user story title normalized to 'correlacao-de-eventos-e-detecao-comportamental'",
+        "user story title normalized to 'definicao-de-eventos-e-metricas-criticas'",
+        "user story title normalized to 'integracao-com-processos-de-resposta-a-incidentes'",
+        "user story title normalized to 'integracao-com-siem-e-normalizacao-de-eventos'",
+        "user story title normalized to 'logging-estruturado-e-centralizado'",
+        "user story title normalized to 'metricas-de-eficacia-mttd-mttr'",
+        "user story title normalized to 'proporcionalidade-de-controlos-por-risco-l1l3-e-dominios'",
+        "user story title normalized to 'rastreabilidade-e-conformidade-com-regulacoes-ssdf-nis2-iso-27001'",
+        "user story title normalized to 'seguranca-e-integridade-de-logs'",
+        "user story title normalized to 'validacao-e-tuning-de-alertas'"
+      ],
+      "name": "Monitorização e resposta operacional",
+      "name_en": "Monitorizacao And Resposta Operacional",
+      "source_practice_ids": [
+        "12-monitorizacao-operacoes:alertas-com-slas-definidosum-alerta-sem-prazo-de-resposta-e-apenas-ruido",
+        "12-monitorizacao-operacoes:classificacao-e-cobertura-de-dominios-de-monitorizacao",
+        "12-monitorizacao-operacoes:correlacao-de-eventos-e-detecao-comportamental",
+        "12-monitorizacao-operacoes:definicao-de-eventos-e-metricas-criticas",
+        "12-monitorizacao-operacoes:integracao-com-processos-de-resposta-a-incidentes",
+        "12-monitorizacao-operacoes:integracao-com-siem-e-normalizacao-de-eventos",
+        "12-monitorizacao-operacoes:logging-estruturado-e-centralizado",
+        "12-monitorizacao-operacoes:metricas-de-eficacia-mttd-mttr",
+        "12-monitorizacao-operacoes:proporcionalidade-de-controlos-por-risco-l1l3-e-dominios",
+        "12-monitorizacao-operacoes:rastreabilidade-e-conformidade-com-regulacoes-ssdf-nis2-iso-27001",
+        "12-monitorizacao-operacoes:seguranca-e-integridade-de-logs",
+        "12-monitorizacao-operacoes:validacao-e-tuning-de-alertas"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "operational",
+      "aliases": [
+        "Gestão de Segredos Fora da Imagem com OIDC e Workload Identity",
+        "Gestão de segredos",
+        "Gestão segura de segredos no *deploy*",
+        "Proibir segredos estáticos",
+        "🔐 Gestão e injeção segura de segredos"
+      ],
+      "applicable_lifecycle_phases": [
+        "build",
+        "deployment",
+        "operations",
+        "release"
+      ],
+      "artifact_types": [
+        "identity_binding",
+        "secret_config"
+      ],
+      "chapter_ids": [
+        "07-cicd-seguro",
+        "09-containers-imagens",
+        "11-deploy-seguro"
+      ],
+      "confidence": 0.9499999999999998,
+      "control_id": "CTRL-secrets-gestao-de-segredos-e-identidades-operacionais-e2c86cdfe9",
+      "control_type": "preventive",
+      "description": "Controla segredos, credenciais efémeras e identidades de workload para reduzir exposição e abuso operacional.",
+      "domain": "secrets",
+      "evidence": [
+        "candidate covers all practice tokens",
+        "practice_id derived deterministically from chapter '07-cicd-seguro'",
+        "practice_id derived deterministically from chapter '09-containers-imagens'",
+        "practice_id derived deterministically from chapter '11-deploy-seguro'",
+        "summary occurrence linked from 010-sbd-manual/07-cicd-seguro/intro.md",
+        "technical_detail occurrence linked from 010-sbd-manual/07-cicd-seguro/addon/03-gestao-segredos-pipeline.md",
+        "token overlap: ['gestao', 'segredo']",
+        "token overlap: ['segredo']",
+        "user story title normalized to 'gestao-de-segredos'",
+        "user story title normalized to 'gestao-de-segredos-fora-da-imagem-com-oidc-e-workload-identity'",
+        "user story title normalized to 'gestao-segura-de-segredos-no-deploy'"
+      ],
+      "name": "Gestão de segredos e identidades operacionais",
+      "name_en": "Management Of Segredos And Identidades Operacionais",
+      "source_practice_ids": [
+        "07-cicd-seguro:gestao-de-segredos",
+        "09-containers-imagens:gestao-de-segredos-fora-da-imagem-com-oidc-e-workload-identity",
+        "11-deploy-seguro:gestao-segura-de-segredos-no-deploy"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "operational",
+      "aliases": [
+        "Alertas sobre Vulnerabilidades em Componentes Usados",
+        "Auditoria Periódica de Bibliotecas Copiadas Manualmente",
+        "Automação da atualização com avaliação de impacto",
+        "Configurar package managers para usarem apenas repositórios internos.",
+        "Exceções a CVEs formais e temporárias",
+        "Gerar SBOM em cada build (CycloneDX/SPDX); arquivar.",
+        "Gestão de dependências seguras",
+        "Integrar SCA com bloqueio automático para CVEs críticos (limiares por Lx).",
+        "Inventário e SBOM por Build",
+        "Proibir bibliotecas copiadas manualmente",
+        "Repositórios internos como fonte única",
+        "SBOM em cada build",
+        "SCA",
+        "SCA automático com *gates*",
+        "Validação Automática de Compatibilidade de Licenças",
+        "Validação de release (*go/no-go*)",
+        "bots de atualização",
+        "exceções",
+        "📦 Inventário de Dependências e SBOM"
+      ],
+      "applicable_lifecycle_phases": [
+        "build",
+        "release"
+      ],
+      "artifact_types": [
+        "alert_policy",
+        "dependency_inventory",
+        "sbom",
+        "sca_report"
+      ],
+      "chapter_ids": [
+        "05-dependencias-sbom-sca"
+      ],
+      "confidence": 0.9499999999999998,
+      "control_id": "CTRL-supply-chain-inventario-e-analise-de-dependencias-6b0fd9f7fb",
+      "control_type": "detective",
+      "description": "Garante inventário de componentes, análise de vulnerabilidades e rastreabilidade de dependências terceiras.",
+      "domain": "supply_chain",
+      "evidence": [
+        "candidate covers all practice tokens",
+        "normalized labels share prefix/containment",
+        "practice_id derived deterministically from chapter '05-dependencias-sbom-sca'",
+        "short candidate anchored by a strong shared domain token",
+        "summary occurrence linked from 010-sbd-manual/05-dependencias-sbom-sca/intro.md",
+        "technical_detail occurrence linked from 010-sbd-manual/05-dependencias-sbom-sca/addon/01-inventario-sbom.md",
+        "token overlap: ['atualizacao']",
+        "token overlap: ['automatico', 'sca']",
+        "token overlap: ['build', 'cada', 'sbom']",
+        "token overlap: ['excecao']",
+        "token overlap: ['interno', 'repositorio']",
+        "token overlap: ['inventario', 'sbom']",
+        "token overlap: ['sca']",
+        "user story title normalized to 'alertas-sobre-vulnerabilidades-em-componentes-usados'",
+        "user story title normalized to 'auditoria-periodica-de-bibliotecas-copiadas-manualmente'",
+        "user story title normalized to 'automacao-da-atualizacao-com-avaliacao-de-impacto'",
+        "user story title normalized to 'excecoes-a-cves-formais-e-temporarias'",
+        "user story title normalized to 'gestao-de-dependencias-seguras'",
+        "user story title normalized to 'inventario-e-sbom-por-build'",
+        "user story title normalized to 'proibir-bibliotecas-copiadas-manualmente'",
+        "user story title normalized to 'repositorios-internos-como-fonte-unica'",
+        "user story title normalized to 'sbom-em-cada-build'",
+        "user story title normalized to 'sca-automatico-com-gates'",
+        "user story title normalized to 'validacao-automatica-de-compatibilidade-de-licencas'",
+        "user story title normalized to 'validacao-de-release-go-no-go'"
+      ],
+      "name": "Inventário e análise de dependências",
+      "name_en": "Inventario And Analysis Of Dependencias",
+      "source_practice_ids": [
+        "05-dependencias-sbom-sca:alertas-sobre-vulnerabilidades-em-componentes-usados",
+        "05-dependencias-sbom-sca:auditoria-periodica-de-bibliotecas-copiadas-manualmente",
+        "05-dependencias-sbom-sca:automacao-da-atualizacao-com-avaliacao-de-impacto",
+        "05-dependencias-sbom-sca:excecoes-a-cves-formais-e-temporarias",
+        "05-dependencias-sbom-sca:gestao-de-dependencias-seguras",
+        "05-dependencias-sbom-sca:inventario-e-sbom-por-build",
+        "05-dependencias-sbom-sca:proibir-bibliotecas-copiadas-manualmente",
+        "05-dependencias-sbom-sca:repositorios-internos-como-fonte-unica",
+        "05-dependencias-sbom-sca:sbom-em-cada-build",
+        "05-dependencias-sbom-sca:sca-automatico-com-gates",
+        "05-dependencias-sbom-sca:validacao-automatica-de-compatibilidade-de-licencas",
+        "05-dependencias-sbom-sca:validacao-de-release-go-no-go"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "technical",
+      "aliases": [
+        "Aplicação de políticas formais de segurança no runtime com OPA/Kyverno",
+        "Aprovação, depreciação e revogação de Golden Base Images (catálogo organizacional)",
+        "Assinar imagens e verificar proveniência antes da execução.",
+        "Assinatura e verificação de proveniência de imagens com Cosign e Rekor",
+        "Enforcement Centralizado e Auditável de Políticas no Runtime",
+        "Geração e Rastreabilidade de SBOM em Imagens",
+        "Golden Base Images com Patching Automático",
+        "Monitorização e Resposta a Incidentes em Runtime",
+        "Segmentação de Rede e NetworkPolicy",
+        "🧬 SBOM de Containers e Rastreabilidade de Runtime"
+      ],
+      "applicable_lifecycle_phases": [
+        "build",
+        "deployment",
+        "operations"
+      ],
+      "artifact_types": [
+        "alert_policy",
+        "artifact_provenance",
+        "artifact_signature",
+        "container_image",
+        "sbom",
+        "sca_report",
+        "signature_attestation"
+      ],
+      "chapter_ids": [
+        "09-containers-imagens"
+      ],
+      "confidence": 0.95,
+      "control_id": "CTRL-supply-chain-supply-chain-segura-de-imagens-e-containers-8a8af25a4d",
+      "control_type": "preventive",
+      "description": "Assegura hardening, assinatura, promoção controlada e políticas de runtime para imagens e workloads containerizadas.",
+      "domain": "supply_chain",
+      "evidence": [
+        "practice_id derived deterministically from chapter '09-containers-imagens'",
+        "summary occurrence linked from 010-sbd-manual/09-containers-imagens/intro.md",
+        "technical_detail occurrence linked from 010-sbd-manual/09-containers-imagens/addon/06-inventario-sbom.md",
+        "token overlap: ['assinatura', 'imagen', 'proveniencia']",
+        "token overlap: ['rastreabilidade', 'sbom']",
+        "user story title normalized to 'aplicacao-de-politicas-formais-de-seguranca-no-runtime-com-opa-kyverno'",
+        "user story title normalized to 'aprovacao-depreciacao-e-revogacao-de-golden-base-images-catalogo-organizacional'",
+        "user story title normalized to 'assinatura-e-verificacao-de-proveniencia-de-imagens-com-cosign-e-rekor'",
+        "user story title normalized to 'enforcement-centralizado-e-auditavel-de-politicas-no-runtime'",
+        "user story title normalized to 'geracao-e-rastreabilidade-de-sbom-em-imagens'",
+        "user story title normalized to 'golden-base-images-com-patching-automatico'",
+        "user story title normalized to 'monitorizacao-e-resposta-a-incidentes-em-runtime'",
+        "user story title normalized to 'segmentacao-de-rede-e-networkpolicy'"
+      ],
+      "name": "Supply chain segura de imagens e containers",
+      "name_en": "Supply Chain Secure Of Imagens And Containers",
+      "source_practice_ids": [
+        "09-containers-imagens:aplicacao-de-politicas-formais-de-seguranca-no-runtime-com-opa-kyverno",
+        "09-containers-imagens:aprovacao-depreciacao-e-revogacao-de-golden-base-images-catalogo-organizacional",
+        "09-containers-imagens:assinatura-e-verificacao-de-proveniencia-de-imagens-com-cosign-e-rekor",
+        "09-containers-imagens:enforcement-centralizado-e-auditavel-de-politicas-no-runtime",
+        "09-containers-imagens:geracao-e-rastreabilidade-de-sbom-em-imagens",
+        "09-containers-imagens:golden-base-images-com-patching-automatico",
+        "09-containers-imagens:monitorizacao-e-resposta-a-incidentes-em-runtime",
+        "09-containers-imagens:segmentacao-de-rede-e-networkpolicy"
+      ],
+      "warnings": []
+    },
+    {
+      "abstraction_level": "operational",
+      "aliases": [
+        "Avaliação crítica de cobertura real e limitações",
+        "Critérios de release e aceitação de risco",
+        "DAST autenticado em Staging",
+        "Decisão Assistida para Findings de Testes de Segurança",
+        "Estratégia formal de testes por aplicação",
+        "Feedback Automático de Findings às Equipas",
+        "Fuzzing dirigido a APIs críticas",
+        "Gates de segurança no CI/CD",
+        "Gestão Centralizada de Findings com Triagem e SLA",
+        "IAST com Instrumentação em Staging",
+        "PenTesting ofensivo baseado em risco",
+        "Regressões de segurança automatizadas",
+        "Reprodutibilidade de resultados críticos de testes de segurança",
+        "SAST obrigatório em Pull Request",
+        "Separação formal entre sinal automático e decisão de bloqueio/override",
+        "Validação Empírica de Exploitabilidade de Findings",
+        "Validação humana da interpretação final dos resultados",
+        "🌀 Fuzzing de Segurança",
+        "🔁 Validação de Regressões de Segurança",
+        "🛠️ Evidência, Reprodutibilidade e Auditabilidade em Testes de Segurança",
+        "🛠️ Integração dos Testes de Segurança no Pipeline CI/CD"
+      ],
+      "applicable_lifecycle_phases": [
+        "release",
+        "testing"
+      ],
+      "artifact_types": [
+        "finding_register",
+        "pipeline_config",
+        "release_gate",
+        "test_report"
+      ],
+      "chapter_ids": [
+        "10-testes-seguranca"
+      ],
+      "confidence": 0.95,
+      "control_id": "CTRL-testing-testes-de-seguranca-baseados-em-risco-55dcb62d34",
+      "control_type": "detective",
+      "description": "Combina testes automatizados e decisão humana para validar risco real antes da promoção a produção.",
+      "domain": "testing",
+      "evidence": [
+        "practice_id derived deterministically from chapter '10-testes-seguranca'",
+        "short candidate anchored by a strong shared domain token",
+        "technical_detail occurrence linked from 010-sbd-manual/10-testes-seguranca/addon/04-fuzzing.md",
+        "technical_detail occurrence linked from 010-sbd-manual/10-testes-seguranca/addon/05-validacao-regressao.md",
+        "technical_detail occurrence linked from 010-sbd-manual/10-testes-seguranca/addon/07-integracao-pipeline.md",
+        "technical_detail occurrence linked from 010-sbd-manual/10-testes-seguranca/addon/10-evidencia-reprodutibilidade.md",
+        "token overlap: ['cd', 'ci', 'seguranca']",
+        "token overlap: ['regressoe', 'seguranca']",
+        "token overlap: ['reprodutibilidade', 'seguranca', 'teste']",
+        "token overlap: ['seguranca']",
+        "user story title normalized to 'avaliacao-critica-de-cobertura-real-e-limitacoes'",
+        "user story title normalized to 'criterios-de-release-e-aceitacao-de-risco'",
+        "user story title normalized to 'dast-autenticado-em-staging'",
+        "user story title normalized to 'decisao-assistida-para-findings-de-testes-de-seguranca'",
+        "user story title normalized to 'estrategia-formal-de-testes-por-aplicacao'",
+        "user story title normalized to 'feedback-automatico-de-findings-as-equipas'",
+        "user story title normalized to 'fuzzing-dirigido-a-apis-criticas'",
+        "user story title normalized to 'gates-de-seguranca-no-ci-cd'",
+        "user story title normalized to 'gestao-centralizada-de-findings-com-triagem-e-sla'",
+        "user story title normalized to 'iast-com-instrumentacao-em-staging'",
+        "user story title normalized to 'pentesting-ofensivo-baseado-em-risco'",
+        "user story title normalized to 'regressoes-de-seguranca-automatizadas'",
+        "user story title normalized to 'reprodutibilidade-de-resultados-criticos-de-testes-de-seguranca'",
+        "user story title normalized to 'sast-obrigatorio-em-pull-request'",
+        "user story title normalized to 'separacao-formal-entre-sinal-automatico-e-decisao-de-bloqueio-override'",
+        "user story title normalized to 'validacao-empirica-de-exploitabilidade-de-findings'",
+        "user story title normalized to 'validacao-humana-da-interpretacao-final-dos-resultados'"
+      ],
+      "name": "Testes de segurança baseados em risco",
+      "name_en": "Tests Of Security Baseados In Risk",
+      "source_practice_ids": [
+        "10-testes-seguranca:avaliacao-critica-de-cobertura-real-e-limitacoes",
+        "10-testes-seguranca:criterios-de-release-e-aceitacao-de-risco",
+        "10-testes-seguranca:dast-autenticado-em-staging",
+        "10-testes-seguranca:decisao-assistida-para-findings-de-testes-de-seguranca",
+        "10-testes-seguranca:estrategia-formal-de-testes-por-aplicacao",
+        "10-testes-seguranca:feedback-automatico-de-findings-as-equipas",
+        "10-testes-seguranca:fuzzing-dirigido-a-apis-criticas",
+        "10-testes-seguranca:gates-de-seguranca-no-ci-cd",
+        "10-testes-seguranca:gestao-centralizada-de-findings-com-triagem-e-sla",
+        "10-testes-seguranca:iast-com-instrumentacao-em-staging",
+        "10-testes-seguranca:pentesting-ofensivo-baseado-em-risco",
+        "10-testes-seguranca:regressoes-de-seguranca-automatizadas",
+        "10-testes-seguranca:reprodutibilidade-de-resultados-criticos-de-testes-de-seguranca",
+        "10-testes-seguranca:sast-obrigatorio-em-pull-request",
+        "10-testes-seguranca:separacao-formal-entre-sinal-automatico-e-decisao-de-bloqueio-override",
+        "10-testes-seguranca:validacao-empirica-de-exploitabilidade-de-findings",
+        "10-testes-seguranca:validacao-humana-da-interpretacao-final-dos-resultados"
+      ],
+      "warnings": []
+    }
+  ],
+  "run_id": "20260324T130416Z",
+  "source": {
+    "branch": "master",
+    "commit_sha": "e2465c6420d1cbb16208913ac5b24c35fa209e42",
+    "corpus_root": "manuals_src/docs/sbd-toe",
+    "repo_url": "git@github.com:Shiftleftpt/SbD-ToE-Manual.git"
+  },
+  "stats": {
+    "errors": 0,
+    "processed_files": 4,
+    "processed_sections": 0,
+    "skipped": 0,
+    "warnings": 0
+  },
+  "summary": {
+    "canonical_controls": 14,
+    "coverage_ratio": 1.0,
+    "domains": [
+      "code_integrity",
+      "governance",
+      "identity",
+      "infrastructure",
+      "monitoring",
+      "secrets",
+      "supply_chain",
+      "testing"
+    ]
+  },
+  "version": "0.1.0",
+  "warnings": []
+}