┌──────────────────────────────────────────────────────────────┐
│                          PLAN                                │
│        Governance, Risk & Requirements                       │
├──────────────────────────────────────────────────────────────┤
│ • Requirements & Backlog                                     │
│ • Threat Modeling & Risk Assessment                          │
│ • Secure Architecture & Design Review                        │
│ • Compliance & Regulatory Mapping                            │
└───────────────┬──────────────────────────────────────────────┘
                │
                ▼
┌──────────────────────────────────────────────────────────────┐
│                          CODE                                │
│               Secure Development Practices                   │
├──────────────────────────────────────────────────────────────┤
│ • Secure Coding Standards                                   │
│ • Linting                                                   │
│ • SAST (Static Analysis)                                    │
│ • Secrets Scanning                                          │
│ • Dependency Checks                                         │
│ • Commit Signing                                            │
└───────────────┬──────────────────────────────────────────────┘
                │
                ▼
┌──────────────────────────────────────────────────────────────┐
│                          BUILD                               │
│         Artifact Creation & Supply Chain Security            │
├──────────────────────────────────────────────────────────────┤
│ • Security Gates                                            │
│ • SCA (Software Composition Analysis)                       │
│ • Container Image Scanning                                  │
│ • SBOM Generation                                           │
│ • Artifact Integrity Validation                             │
└───────────────┬──────────────────────────────────────────────┘
                │
                ▼
┌──────────────────────────────────────────────────────────────┐
│                          TEST                                │
│              Quality, Security & Validation                  │
├──────────────────────────────────────────────────────────────┤
│ Security Testing:                                           │
│ • DAST / IAST / API Security                                │
│ • Vulnerability Scanning                                    │
│ • Fuzz Testing                                              │
│                                                            │
│ Functional & Quality:                                      │
│ • Functional Testing                                       │
│ • API Testing                                              │
│ • Performance & Reliability                                │
│ • Accessibility & Compatibility                            │
│                                                            │
│ Code Quality:                                              │
│ • Maintainability (e.g. SonarQube)                         │
└───────────────┬──────────────────────────────────────────────┘
                │
                ▼
┌──────────────────────────────────────────────────────────────┐
│                         RELEASE                              │
│              Governance, Trust & Promotion                   │
├──────────────────────────────────────────────────────────────┤
│ • Policy-Based Approvals                                   │
│ • Artifact Signing                                          │
│ • Secure Promotion (Dev → Test → Prod)                      │
│ • Pre-release Security Checks                              │
│ • Configuration Compliance                                 │
└───────────────┬──────────────────────────────────────────────┘
                │
                ▼
┌──────────────────────────────────────────────────────────────┐
│                         DEPLOY                               │
│             Secure Delivery & Configuration                  │
├──────────────────────────────────────────────────────────────┤
│ • IaC Scanning                                              │
│ • Secrets Management                                        │
│ • Container / Kubernetes Security                           │
│ • Configuration Baselines (e.g. Ansible)                    │
└───────────────┬──────────────────────────────────────────────┘
                │
                ▼
┌──────────────────────────────────────────────────────────────┐
│                        OPERATE                               │
│           Runtime Security & Maintenance                     │
├──────────────────────────────────────────────────────────────┤
│ • Infrastructure Hardening                                  │
│ • Secrets Rotation & Key Management                         │
│ • Runtime Monitoring (optional / external)                  │
│ • Network Segmentation (optional / external)                │
└──────────────────────────────────────────────────────────────┘