Fase 3: Post-Despliegue
Cumplimiento de Seguridad para Post-Despliegue
Fase 3 - Post-Despliegue
La Fase 3, Post-Despliegue, extiende la ciberseguridad de CI/CD más allá del despliegue hacia sistemas en producción activos. Mientras que las fases anteriores se enfocan en prevenir que las vulnerabilidades ingresen al pipeline, la Fase 3 asume que el riesgo continúa después del lanzamiento. Nuevas vulnerabilidades se divulgan diariamente, las configuraciones pueden desviarse y los actores maliciosos atacan directamente los entornos de producción.
El enfoque principal de la Fase 3 es la visibilidad continua, la detección y respuesta post-despliegue de vulnerabilidades en sistemas activos. Garantiza que las organizaciones puedan identificar qué sistemas en ejecución se ven afectados cuando surgen nuevas vulnerabilidades, detectar comportamientos maliciosos o anómalos en tiempo de ejecución y responder rápidamente para minimizar el impacto operativo y de seguridad. La Fase 3 establece un bucle de retroalimentación que conecta la realidad de producción con los equipos de desarrollo y seguridad, permitiendo la mejora continua a lo largo del ciclo de entrega de software. Dentro del alcance de esta fase se incluyen:
– Detección continua de vulnerabilidades para aplicaciones, servicios, contenedores e infraestructura desplegada
– Monitoreo de seguridad en tiempo de ejecución y post-despliegue
– Pruebas de Seguridad Dinámica de Aplicaciones (DAST) sobre sistemas en ejecución
– Integración de feeds de inteligencia de vulnerabilidades y alertas
– Detección de incidentes, alertas y flujos de trabajo de respuesta
– Medición del desempeño de seguridad (por ejemplo, MTTD, MTTR)
– Mecanismos de retroalimentación que informan la remediación y el desarrollo futuro
Actividades Clave de Seguridad en Fase 3
El cumplimiento de los pasos Post-Despliegue incluye:
|
|
| ACTIVIDAD |
PROPÓSITO |
| Detección de anomalías en tiempo de ejecución |
Detectar ataques en producción |
| Escaneo DAST |
Encontrar vulnerabilidades en tiempo de ejecución |
| Integración de feeds de vulnerabilidades |
Actualizar continuamente los datos CVE |
| Alertas y Respuesta |
Clasificar y responder |
A continuación, se presentan las directrices de marcos de referencia de la industria con herramientas de código abierto sugeridas para lograr los objetivos de cumplimiento.
Marcos de Referencia de la Industria
Se presentan las directrices de marcos de referencia de la industria con herramientas de código abierto sugeridas para alcanzar los objetivos de cumplimiento.
1 - 3.0 Marco de Desarrollo de Software Seguro Fase 3 - Tareas
3.0 Pasos Post-Despliegue de CI/CD del Marco de Desarrollo de Software Seguro
3.0 Cumpliendo las Tareas Post-Despliegue del Marco de Desarrollo de Software Seguro
Este capítulo se enfoca específicamente en las herramientas y prácticas DevSecOps relacionadas con las acciones Post-Despliegue del pipeline CI/CD para cumplir las tareas definidas por el Marco de Desarrollo de Software Seguro.
El Marco de Desarrollo de Software Seguro, desarrollado por el Instituto Nacional de Estándares y Tecnología (NIST), proporciona un enfoque integral para garantizar la seguridad a lo largo del proceso de desarrollo de software, desde el diseño inicial hasta el despliegue y mantenimiento. El marco describe prácticas y directrices clave que las organizaciones pueden implementar para asegurar su ciclo de vida de desarrollo de software (SDLC), con un énfasis particular en integrar la seguridad en los procesos automatizados.
|
|
| 3.1 Preparar la Organización (PO) |
Las organizaciones deben asegurarse de que su personal, procesos y tecnología estén preparados para llevar a cabo un desarrollo de software seguro a nivel organizacional. Muchas organizaciones encontrarán que algunas prácticas de PO también son aplicables a subconjuntos de su desarrollo de software, como grupos o proyectos individuales. |
| 3.2 Proteger el Software (PS) |
Las organizaciones deben proteger todos los componentes de su software contra manipulaciones y accesos no autorizados. |
| 3.3 Producir Software Bien Asegurado (PW) |
Las organizaciones deben producir software bien asegurado con un mínimo de vulnerabilidades de seguridad en sus versiones. |
| 3.4 Responder a Vulnerabilidades (RV) |
Las organizaciones deben identificar vulnerabilidades residuales en sus versiones de software y responder apropiadamente para abordar esas vulnerabilidades y prevenir que ocurran vulnerabilidades similares en el futuro. |
1.1 - 3.1 Preparar la Organización (PO)
3.1 Preparar la Organización (PO) Pasos Post Despliegue CI/CD
3.1 Preparar la Organización (PO) Tareas Post Despliegue
Las organizaciones deben asegurar que sus personas, procesos y tecnología estén preparadas para realizar desarrollo de software seguro a nivel organizacional. Muchas organizaciones encontrarán que algunas prácticas PO también son aplicables a subconjuntos de su desarrollo de software, como grupos de desarrollo individuales o proyectos.
PO.1
Definir Requisitos de Seguridad para el Desarrollo de Software: Asegurar que los requisitos de seguridad para el desarrollo de software sean conocidos en todo momento para que puedan ser considerados durante todo el SDLC y minimizar la duplicación de esfuerzos, ya que la información de los requisitos puede recopilarse una vez y compartirse. Esto incluye requisitos de fuentes internas (p. ej., políticas de la organización, objetivos de negocio y estrategia de gestión de riesgos) y fuentes externas (p. ej., leyes y regulaciones aplicables).
Para cumplir con SSDF PO.1 en un contexto post-despliegue usando herramientas de código abierto, el enfoque se desplaza de solo definir a:
- Mantener y aplicar las tareas PO en sistemas en producción.
- Hacer que los requisitos de las tareas sean visibles y trazables en todos los entornos desplegados.
- Auditar y actualizar métodos y procedimientos a medida que cambian las políticas internas y externas.
| Tareas |
Herramientas |
PO.1.1:
Identificar y documentar todos los requisitos de seguridad para las infraestructuras y procesos de desarrollo de software de la organización, y mantener dichos requisitos a lo largo del tiempo.
PO.1.2:
Identificar y documentar todos los requisitos de seguridad que el software desarrollado por la organización debe cumplir, y mantener dichos requisitos a lo largo del tiempo.
|
|
Open Policy Agent
Soporta definiciones de políticas de seguridad como código y las aplica en pipelines, CI/CD y en tiempo de ejecución. Aplica políticas en tiempo de ejecución mediante integraciones con Kubernetes, Terraform y plataformas CI/CD.
|
|
InspecLog
Audita periódicamente los entornos desplegados contra estándares de seguridad internos y externos.
|
|
Ortelius Evidence Store
Asocia y versiona metadatos de requisitos de seguridad por servicio y despliegue, habilitando visibilidad continua.
|
|
DefectDojo
Relaciona hallazgos de seguridad con controles de políticas específicas o marcos regulatorios.
|
PO.2
Implementar Roles y Responsabilidades: Asegurar que todos, dentro y fuera de la organización, involucrados en el SDLC estén preparados para desempeñar sus roles y responsabilidades relacionadas con el SDLC durante todo el ciclo de vida.
Para cumplir con SSDF PO.2 en un contexto post-despliegue usando herramientas de código abierto, el enfoque se desplaza a:
- Definir y asignar roles para quienes son responsables de la remediación y configuraciones en tiempo de ejecución.
- Mantener evidencia de qué se desplegó, quién lo desplegó y el impacto sobre todos los activos de software.
- Asegurar la seguridad y gestión de parches con acciones restringidas post-despliegue.
| Tareas |
Herramientas |
PO.2.1:Crear nuevos roles y modificar responsabilidades de roles existentes según sea necesario para abarcar todas las partes del SDLC. Revisar y mantener periódicamente los roles y responsabilidades definidos, actualizándolos según sea necesario.
PO.2.2:
Proporcionar capacitación basada en roles para todo el personal con responsabilidades que contribuyan al desarrollo seguro. Revisar periódicamente la competencia del personal y la capacitación basada en roles, y actualizar la formación según sea necesario.
PO.2.3:
Obtener el compromiso de la alta dirección o autoridad autorizante para el desarrollo seguro, y comunicar ese compromiso a todos los roles y responsabilidades relacionados con el desarrollo.
|
|
Git
Rastrea autoría y revisores de código, etiqueta releases y documenta quién los disparó.
|
|
Ortelius Evidence Store
Asocia servicios desplegados con individuos o equipos responsables, manteniendo un historial de cambios, despliegues y roles.
|
|
Backstage
Lista propietarios de servicios, equipos on-call y rutas de escalamiento, haciendo transparente la responsabilidad post-despliegue en toda la organización.
|
|
DefectDojo
Rastrea hallazgos de seguridad y asigna responsabilidades de resolución.
|
|
Kubernetes RBAC / OPA Gatekeeper
Aplica políticas de acceso y límites de roles en entornos de ejecución.
|
|
ArgoCD
Garantiza que solo los commits/despliegues autorizados afecten producción y registra cada promoción y rollback.
|
|
Falco
Detecta actividad no autorizada en tiempo de ejecución.
|
|
Prometheus + Alertmanager
Alertas basadas en propiedad/roles.
|
PO.3
Implementar Cadenas de Herramientas de Soporte: Usar automatización para reducir el esfuerzo humano y mejorar la precisión, reproducibilidad, usabilidad y cobertura de las prácticas de seguridad durante todo el SDLC, así como proporcionar una forma de documentar y demostrar el uso de estas prácticas. Las cadenas de herramientas y herramientas pueden usarse en distintos niveles de la organización, como a nivel organizacional o por proyecto, y pueden abordar partes específicas del SDLC, como un pipeline de compilación.
Para cumplir con SSDF PO.3 en un contexto post-despliegue usando herramientas de código abierto, el enfoque se desplaza a:
- Asegurar que las cadenas de herramientas soporten detección de vulnerabilidades, seguimiento de SBOMs, cumplimiento y aplicación de políticas para funcionar después del despliegue.
- Mantener la seguridad, actualización e integración de las herramientas de automatización en el entorno en vivo.
- Mantener evidencia de que los outputs de la cadena de herramientas (e.g., SBOMs, reportes de escaneo) siguen siendo confiables y actuales.
| Tareas |
Herramientas |
PO.3.1:
Especificar qué herramientas o tipos de herramientas deben incluirse en cada cadena de herramientas para mitigar riesgos identificados, así como cómo se integrarán los componentes entre sí.
PO.3.2:
Seguir prácticas de seguridad recomendadas para desplegar, operar y mantener herramientas y cadenas de herramientas.
PO.3.3:
Configurar herramientas para generar artefactos que respalden las prácticas de desarrollo seguro definidas por la organización.
|
|
OWASP Dependency Track
Monitorea continuamente SBOMs para CVEs recién divulgados en el software desplegado.
|
|
Ortelius Evidence Store
Mantiene un registro histórico de software desplegado, componentes y sus SBOMs; vincula con propietarios para responsabilidad.
|
|
Syft
Genera SBOMs de imágenes de contenedores o sistemas de archivos desplegados bajo demanda.
|
|
Trivy
Escaneo de vulnerabilidades post-despliegue en contenedores, sistemas de archivos y paquetes; también genera SBOMs.
|
|
Clair
Escaneo continuo de registries de contenedores para vulnerabilidades.
|
|
Grype
Escáner rápido de vulnerabilidades para imágenes de contenedores y sistemas de archivos.
|
|
In-Toto
Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción.
|
|
Sigstore Cosign
Verifica firmas de artefactos desplegados; asegura que coincidan con builds aprobados.
|
|
Sigstore Rekor
Proporciona un registro público e inmutable para firmas y datos de procedencia.
|
|
Open Policy Agent
Aplica políticas de seguridad y cumplimiento en sistemas desplegados (e.g., clusters de Kubernetes).
|
|
Inspec
Audita la infraestructura y aplicaciones desplegadas contra líneas base de seguridad y requisitos de cumplimiento.
|
|
The Hive
Plataforma de respuesta a incidentes para eventos de seguridad post-despliegue.
|
|
Konflux-ci software factory for Tekton
Implementa el framework In-toto usando pipelines-as-code para validación de seguridad de la cadena de suministro.
|
|
DefectDojo
Rastrea vulnerabilidades y asigna tareas de remediación; integra con escáneres para actualizaciones continuas.
|
PO.4
Definir y Usar Criterios para Revisiones de Seguridad del Software: Ayuda a garantizar que el software resultante del SDLC cumpla con las expectativas de la organización al definir y usar criterios para verificar la seguridad del software durante el desarrollo.
Para cumplir con SSDF PO.4 en un contexto post-despliegue usando herramientas de código abierto, el enfoque se desplaza a:
-
Asegurarse de que los datos de seguridad continúen recopilándose después del lanzamiento.
-
Que los logs, SBOMs y resultados de escaneos se conserven y sean resistentes a manipulaciones.
-
Proteger los datos para evitar accesos o modificaciones no autorizadas.
-
Que los datos sean recuperables para auditorías, investigaciones y verificaciones de cumplimiento.
| Tareas |
Herramientas |
PO.4.1:
Definir criterios para revisiones de seguridad del software y darles seguimiento durante todo el SDLC.
PO.4.2:
Implementar procesos, mecanismos, etc., para recopilar y proteger la información necesaria en apoyo de los criterios.
|
|
Falco
Detección de seguridad en tiempo de ejecución para contenedores y hosts; genera logs de eventos para comportamientos sospechosos.
|
|
AuditD
Captura eventos de seguridad a nivel de sistema en Linux.
|
|
OSQuery
Telemetría de endpoints y monitoreo de configuración.
|
|
Prometheus y Loki
Recopila y almacena métricas y logs en un formato consultable.
|
|
Ortelius Evidence Store
Mantiene SBOMs versionadas vinculadas a cada despliegue.
|
|
Syft
Genera SBOMs a partir de artefactos desplegados para monitoreo continuo.
|
|
OpenSCAP
Recopila y almacena datos de escaneos de cumplimiento.
|
|
Wazuh SIEM
SIEM con registro de auditoría, detección de amenazas y monitoreo de cumplimiento.
|
|
Grype
Detecta vulnerabilidades CVE en imágenes y sistemas de archivos desplegados.
|
|
In-Toto
Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción.
|
|
Sigstore Rekor
Proporciona un registro público e inmutable para firmas y datos de procedencia.
|
|
Inspec
Audita infraestructura y aplicaciones desplegadas contra estándares de seguridad y cumplimiento.
|
|
Trivy
Escaneo continuo de vulnerabilidades y generación de SBOM para sistemas en ejecución.
|
|
DefectDojo
Almacena y organiza resultados de escaneos de seguridad; integra con Trivy, Grype y Dependency-Track.
|
PO.5
Implementar y Mantener Entornos Seguros para el Desarrollo de Software: Asegurar que todos los componentes de los entornos de desarrollo estén fuertemente protegidos contra amenazas internas y externas para prevenir compromisos del entorno o del software desarrollado o mantenido en ellos. Ejemplos de entornos incluyen desarrollo, construcción, prueba y distribución.
Para cumplir con SSDF PO.5 en un contexto post-despliegue usando herramientas de código abierto, el enfoque se desplaza a:
-
Los requisitos de seguridad de la infraestructura de desarrollo siguen siendo relevantes y aplicables después del lanzamiento del software.
-
Los entornos de construcción, despliegue y monitoreo permanecen endurecidos y conformes.
-
Se valida continuamente que la infraestructura de desarrollo no se haya desviado de su línea base segura.
| Tareas |
Herramientas |
PO.5.1:
Separar y proteger cada entorno involucrado en el desarrollo de software.
PO.5.2:
Proteger y reforzar los endpoints de desarrollo (diseñadores, desarrolladores, testers, constructores, etc.) para realizar tareas relacionadas con el desarrollo usando un enfoque basado en riesgos.
|
|
Inspec
Ejecuta escaneos de cumplimiento continuos en servidores de desarrollo y construcción; aplica benchmarks CIS/NIST.
|
|
OpenSCAP
Verifica la infraestructura contra estándares de seguridad definidos.
|
|
OSQuery
Monitorea nodos de construcción y despliegue en busca de cambios no autorizados.
|
|
Kube-bench
Valida que clusters de Kubernetes para construcción/pruebas cumplan benchmarks CIS.
|
|
Open Policy Agent - GateKeeper
Aplica reglas para la configuración de infraestructura (Kubernetes, Terraform, CI/CD).
|
|
Kyverno
Aplicación de políticas nativas de Kubernetes para la seguridad del cluster.
|
|
Jenkins
Endurece pipelines CI/CD con controles de acceso y logs de auditoría.
|
|
Nexus Repository OSS
Almacena artefactos de construcción de forma segura post-despliegue; aplica controles de acceso.
|
|
Harbor
Registro de contenedores con escaneo de vulnerabilidades y RBAC incorporados.
|
|
Wazuh SIEM
Ingesta logs de seguridad de infraestructura y alerta sobre violaciones.
|
|
Falco
Detecta actividad no autorizada en clusters o nodos de construcción/despliegue.
|
|
Prometheus + Alertmanager
Monitorea métricas de seguridad y genera notificaciones ante incidentes.
|
|
In-Toto
Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción.
|
|
Sigstore Rekor
Mantiene un registro inmutable y a prueba de manipulaciones de archivos de configuración firmados.
|
1.2 - 3.2 Proteger el Software (PS)
3.2 Proteger el Software (PS) Pasos Post Deploy CI/CD
3.2 Proteger el Software (PS) para Tareas Post Deploy
Proteger el Software (PS): Las organizaciones deben proteger todos los componentes de su
software contra manipulaciones y accesos no autorizados.
PS.1
Proteger Todas las Formas de Código contra Accesos No Autorizados y Manipulación : Ayuda a prevenir cambios no autorizados en el código, tanto inadvertidos como intencionales, que podrían eludir o anular las características de seguridad previstas del software. Para el código que no está destinado a ser accesible públicamente, esto ayuda a prevenir el robo del software y puede dificultar o retrasar que los atacantes encuentren vulnerabilidades en el software.
Para cumplir con SSDF PS.1 en un contexto post-despliegue usando herramientas open-source, el enfoque se desplaza de solo definir a:
-
Proteger los artefactos desplegados (binarios, contenedores, scripts, configuraciones) para que no sean alterados en producción
-
Asegurar que la integridad del código post-despliegue sea verificable en cualquier momento
-
Mantener almacenamiento, transporte y recuperación de código y artefactos seguros
-
Mantener un registro de auditoría para todas las modificaciones y accesos
| Tareas |
Herramientas |
PS.1.1:
Almacenar todas las formas de código incluyendo código fuente, código ejecutable y configuración como código según el principio de menor privilegio, de modo que solo personal, herramientas o servicios autorizados tengan acceso.
|
Cosign Sigstore
Firmar y verificar imágenes de contenedores, binarios y otros artefactos.
|
|
Rekor Sigstore
Registro público inmutable para firmas y metadatos.
|
|
In-Toto
Verificación de cadena de suministro de extremo a extremo para asegurar que los artefactos desplegados provienen de fuentes confiables.
|
|
Gnu Privacy GuardG
Firmar y verificar cualquier tipo de archivo, incluyendo tarballs y archivos de configuración.
|
|
Harbor
Registro de contenedores con escaneo de vulnerabilidades integrado, firma de contenido y RBAC.
|
|
Sonatype Nexus OSS
Repositorio seguro de artefactos con controles de acceso.
|
|
JFrog Artifactory OSS
Gestión de repositorios binarios con permisos granulares.
|
|
Tripwire OSS
Monitorea el sistema de archivos para detectar cambios no autorizados.
|
|
AIDE (Advanced Intrusion Detection Environment)
Crea una línea base de archivos y detecta alteraciones.
|
|
Falco
Detecta actividad sospechosa en entornos de Kubernetes o contenedores, incluyendo cambios de archivos.
|
|
Kubernetes RBAC + OPA Gatekeeper
Aplica políticas basadas en roles para el despliegue de imágenes de contenedores.
|
|
Keycloak
Autenticación/autorización centralizada para registros de artefactos y sistemas CI/CD.
|
|
Wazuh
Plataforma SIEM que monitorea registros de acceso y alerta sobre anomalías.
|
|
Ortelius Evidence Store
Rastrea qué versión de un servicio se despliega dónde y la vincula con su SBOM firmado.
|
|
Syft
Genera SBOMs para artefactos desplegados para verificación posterior.
|
|
OWASP Dependency-Track
Monitorea componentes en artefactos desplegados frente a feeds de CVE.
|
PS.2
Proporcionar un Mecanismo para Verificar la Integridad del Software: Ayuda a los adquirentes de software a asegurarse de que el software que adquieren es legítimo y no ha sido manipulado. Hacer que la información de verificación de integridad del software esté disponible para los adquirentes.
Para cumplir con SSDF PS.2 en un contexto post-despliegue usando herramientas open-source, el enfoque se desplaza a:
-
Mantener copias exactas de cada artefacto de lanzamiento (binarios, contenedores, configuraciones, SBOMs)
-
Registrar y publicar datos de verificación criptográfica (firmas, hashes, certificaciones)
-
Asegurar que los adquirentes puedan confirmar que lo que tienen coincide con la versión oficial y confiable
| Tareas |
Herramientas |
PS.2.1:
Hacer que la información de verificación de integridad del software esté disponible para los adquirentes.
|
Harbor
Registro de contenedores con políticas de retención de imágenes, RBAC y confianza de contenido.
|
|
Sonatype Nexus OSS
Repositorio de artefactos para almacenar binarios y dependencias.
|
|
JFrog Artifactory OSS
Gestión de binarios con retención y control de acceso.
|
|
GitHub
Etiquetar y almacenar binarios de lanzamiento, SBOMs y checksums.
|
|
Sigstore cosign
Firmar y verificar imágenes de contenedores, SBOMs y otros artefactos.
|
|
Sigstore Rekor
Registro de transparencia inmutable para todos los artefactos y metadatos firmados.
|
|
Gnu Privacy Guard
Firmar y verificar tarballs, binarios o archivos SBOM.
|
|
In-Toto
Proporcionar verificación de procedencia de construcción de extremo a extremo.
|
|
Ortelius
Mapea servicios desplegados a versiones específicas y sus SBOMs.
|
|
Syft
Genera SBOMs a partir de artefactos desplegados.
|
|
Hoppr
Kit de utilidades SBOM / cadena de suministro: procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineados a recolección/mantenimiento/compartición de procedencia.
|
|
OWASP Dependency-Track
Monitorea continuamente SBOMs para nuevos CVEs en versiones preservadas.
|
|
AIDE (Advanced Intrusion Detection Environment)
Comprobador de integridad del sistema de archivos para detectar cambios en artefactos almacenados.
|
|
Tripwire OSS
Establecer línea base y monitorear directorios de lanzamiento almacenados para modificaciones.
|
|
Wazuh
SIEM que audita la actividad del repositorio de artefactos.
|
|
AuditD
Auditoría a nivel Linux para accesos a archivos de lanzamiento preservados.
|
|
Kubernetes RBAC / Keycloak
Restringir quién puede subir o modificar artefactos en los registros.
|
PS.3
Archivar y Proteger Cada Lanzamiento de Software: Preservar los lanzamientos de software para ayudar a identificar, analizar y eliminar vulnerabilidades descubiertas en el software después de su liberación.
Para cumplir con SSDF PS.3 en un contexto post-despliegue usando herramientas open-source, el enfoque se desplaza a:
-
Mantener un registro a prueba de manipulaciones de cada componente de software en cada lanzamiento
-
Asegurar que los datos de procedencia permanezcan accesibles para auditorías, investigaciones y respuesta a vulnerabilidades
-
Permitir a adquirentes y usuarios finales verificar de manera independiente el origen e integridad de cada componente
| Tareas |
Herramientas |
PS.3.1:
Archivar de manera segura los archivos y datos de soporte necesarios (por ejemplo, información de verificación de integridad, datos de procedencia) para retenerlos para cada lanzamiento de software.
PS.3.2:
Recopilar, proteger, mantener y compartir los datos de procedencia de todos los componentes de cada lanzamiento de software (por ejemplo, en un bill of materials -SBOM).
|
Syft
Genera SBOMs desde contenedores, VMs o sistemas de archivos desplegados (formatos SPDX & CycloneDX).
|
|
Trivy
Crear SBOMs y escanear vulnerabilidades en sistemas desplegados.
|
|
In-Toto
Registrar pasos de construcción y metadatos de la cadena de suministro como archivos “link” firmados.
|
|
Cosign Attest
Capturar procedencia de construcción y despliegue como certificaciones firmadas.
|
|
Gnu Privacy Guard
Firmar SBOMs y metadatos para distribución offline o privada.
|
|
Rekor
Almacenar firmas y certificaciones en un registro público e inmutable.
|
|
Tripwire OSS
Detectar cambios no autorizados en archivos de procedencia almacenados localmente.
|
|
AIDE (Advanced Intrusion Detection Environment)
Detectar cambios no autorizados en archivos de procedencia almacenados localmente.
|
|
Ortelius Evidence Store
Versionar y rastrear servicios desplegados y sus SBOMs; vincularlos a entornos y lanzamientos. Acceso API/UI para compartir historial de SBOM y componentes de lanzamientos específicos.
|
|
Dependency Track
Monitorear continuamente SBOMs preservados para nuevos CVEs.
|
|
Harbor
Adjuntar SBOMs y firmas a imágenes de contenedores en un registro.
|
|
CycloneDX BOM Portal (OSS)
Alojar y validar SBOMs en una interfaz web accesible.
|
|
Hoppr
Kit de utilidades SBOM / cadena de suministro—procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineados a recolección/mantenimiento/compartición de procedencia.
|
1.3 - 3.3 Producir Software Bien Asegurado (PW)
3.3 Producir Software Bien Asegurado (PW) en los pasos de CI/CD posteriores al despliegue
3.3 Producir Software Bien Asegurado (PW) para tareas posteriores al despliegue
Las organizaciones deben producir software bien asegurado con vulnerabilidades de seguridad mínimas en sus versiones.
PW.1
Diseñar el software para cumplir con los requisitos de seguridad y mitigar los riesgos de seguridad: Identificar y evaluar los requisitos de seguridad del software; determinar qué riesgos de seguridad es probable que enfrente el software durante su operación y cómo el diseño y la arquitectura del software deben mitigar esos riesgos; y justificar cualquier caso en el que el análisis basado en riesgos indique que los requisitos de seguridad deben relajarse o eximirse. Abordar los requisitos y riesgos de seguridad durante el diseño del software (seguro por diseño) es clave para mejorar la seguridad del software y también ayuda a mejorar la eficiencia del desarrollo.
Para cumplir con SSDF PW.1 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Mantener un registro a prueba de manipulaciones de cada componente de software en cada versión
-
Garantizar que los datos de procedencia permanezcan accesibles para auditorías, investigaciones y respuesta a vulnerabilidades
-
Permitir que adquirentes y usuarios posteriores verifiquen de manera independiente el origen y la integridad de cada componente
| Tareas |
Herramientas |
PW.1.1:
Usar formas de modelado de riesgos, como modelado de amenazas, modelado de ataques o mapeo de superficie de ataque, para ayudar a evaluar el riesgo de seguridad del software.
PW.1.2:
Rastrear y mantener los requisitos de seguridad, riesgos y decisiones de diseño del software.
PW.1.3:
Cuando sea apropiado, incorporar soporte para usar funciones y servicios de seguridad estandarizados (por ejemplo, permitir que el software se integre con sistemas existentes de gestión de logs, gestión de identidad, control de acceso y gestión de vulnerabilidades) en lugar de crear implementaciones propietarias de funciones y servicios de seguridad.
|
|
Semgrep
Análisis estático y dinámico que puede ejecutarse contra bases de código desplegadas en entornos espejo de staging para detectar patrones inseguros.
|
|
Wapiti
Escáner de seguridad de aplicaciones web para aplicaciones desplegadas.
|
|
Zap (Zed Attack Proxy)
Pruebas activas y pasivas de aplicaciones en vivo para detectar vulnerabilidades.
|
|
Inspec
Valida que las aplicaciones desplegadas cumplan con estándares de codificación segura.
|
|
Ortelius
Sincronización cada 10 minutos con OSV.dev para detectar nuevas vulnerabilidades en artefactos desplegados.
|
|
OpenSCAP
Escanea sistemas para verificar cumplimiento con líneas base relacionadas con codificación segura.
|
|
Falco
Registro y monitoreo: detecta comportamiento inseguro en tiempo de ejecución (por ejemplo, llamadas al sistema inseguras).
|
|
Wazuh
Monitorea logs de la aplicación y del sistema operativo para eventos relacionados con seguridad.
|
|
AuditD
Captura llamadas de sistema de bajo nivel relacionadas con la ejecución de código.
|
|
Syft
Genera SBOMs para aplicaciones desplegadas con monitoreo continuo.
|
|
Hoppr
Hoppr es un kit de utilidades de SBOM / cadena de suministro: el procesamiento y movimiento de “materiales” de la cadena de suministro se alinea con la recolección, mantenimiento y compartición de procedencia.
|
|
OWASP Dependency-Track
Rastrea continuamente SBOMs para detectar nuevas vulnerabilidades
|
|
Trivy
Escanea contenedores/sistemas de archivos desplegados para CVEs conocidas en código y dependencias.
|
|
Grype
Escaneo enfocado de vulnerabilidades para artefactos desplegados.
|
PW.2
Revisar el diseño del software para verificar el cumplimiento con los requisitos de seguridad y la información de riesgos: Ayudar a garantizar que el software cumpla con los requisitos de seguridad y aborde satisfactoriamente la información de riesgos identificada.
Para cumplir con SSDF PW.2 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Verificación continua de que el código desplegado (fuente o binario) no ha sido manipulado.
-
Evaluación continua de vulnerabilidades en aplicaciones y componentes desplegados.
-
Disparadores de revisión de código posteriores a la liberación cuando se detecta una vulnerabilidad o incidente.
-
Evidencia auditable de que el software desplegado coincide con el código aprobado y revisado.
| Tareas |
Herramientas |
PW.2.1:
Tener (1) una persona calificada (o personas) que no hayan estado involucradas con el diseño y/o (2) procesos automatizados instanciados en la cadena de herramientas que revisen el diseño del software para confirmar y hacer cumplir que cumple con todos los requisitos de seguridad y aborda satisfactoriamente la información de riesgos identificada.
|
|
Sigstore Cosign
Verifica que los contenedores y binarios desplegados hayan sido firmados en tiempo de compilación.
|
|
Rekor
Almacena datos de verificación y attestations en un log evidente ante manipulaciones.
|
|
In-Toto
Garantiza que el código desplegado coincida con los pasos revisados del pipeline de build.
|
|
Tripwire OSS
Monitorea archivos desplegados para detectar cambios no autorizados.
|
|
Semgrep
Revisa código desplegado en espejo para detectar problemas de seguridad o violaciones de políticas.
|
|
GitHub CodeQL
Consultas avanzadas de código para detectar patrones de vulnerabilidad.
|
|
Wapiti
Escaneo de vulnerabilidades web contra endpoints desplegados.
|
|
Ortelius
Rastrea vulnerabilidades en endpoints en vivo para tiempos de remediación rápidos.
|
|
Zap (Zed Attack Proxy)
Pruebas DAST automatizadas y manuales para aplicaciones en vivo.
|
|
Nikto
Escaneo de vulnerabilidades enfocado en servidores.
|
|
OpenSCAP
Mapea resultados a líneas base de cumplimiento.
|
|
DefectDojo
Rastrea vulnerabilidades encontradas durante revisiones posteriores al despliegue y las vincula con la remediación.
|
PW.4
Reutilizar software existente y bien asegurado cuando sea factible en lugar de duplicar funcionalidad: Reducir los costos del desarrollo de software, acelerar el desarrollo y disminuir la probabilidad de introducir vulnerabilidades de seguridad adicionales en el software reutilizando módulos y servicios de software cuya postura de seguridad ya haya sido verificada. Esto es particularmente importante para software que implementa funcionalidades de seguridad, como módulos y protocolos criptográficos.
Nota: PW.3 fue movido a PW.4
Para cumplir con SSDF PW.4 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
La detección de vulnerabilidades se ejecuta continuamente en entornos de producción o equivalentes a producción.
-
Los resultados se triagean y asignan rápidamente.
-
Existe una ruta automatizada o semiautomatizada hacia la remediación (por ejemplo, parcheo, reconstrucción de imágenes o actualización de componentes).
-
Toda la actividad es auditable y está vinculada a los artefactos de liberación.
| Tareas |
Herramientas |
PW.4.1:
Adquirir y mantener componentes de software bien asegurados (por ejemplo, bibliotecas, módulos, middleware, frameworks) de proveedores comerciales, de código abierto y otros desarrolladores externos para ser utilizados por el software de la organización.
PW.4.2:
Crear y mantener componentes de software bien asegurados internamente siguiendo procesos SDLC para cubrir necesidades comunes de desarrollo interno que no puedan satisfacerse mejor con componentes de terceros.
PW.4.4:
Verificar que los componentes de software comerciales, de código abierto y todos los demás componentes de terceros adquiridos cumplan con los requisitos definidos por la organización durante todo su ciclo de vida.
|
|
Git
Almacena reportes de vulnerabilidades firmados y metadatos de commits de parches.
|
|
Rekor
Registra de forma inmutable resultados de escaneo, remediaciones y firmas.
|
|
Ortelius
La auditoría y retención de evidencia rastrea qué entornos están ejecutando qué versión, permitiendo el redespliegue dirigido de builds parchados.
|
|
Trivy
Escanea contenedores en ejecución, sistemas de archivos y clústeres Kubernetes; también genera SBOMs.
|
|
Grype
Escaneo de vulnerabilidades impulsado por SBOM para imágenes y directorios.
|
|
Clair
Monitorea registros de contenedores para detectar imágenes vulnerables.
|
|
OpenVAS / Greenbone
Escaneo de vulnerabilidades de red y hosts.
|
|
Syft
Genera SBOMs desde entornos desplegados.
|
|
OWASP Dependency-Track
Monitorea SBOMs para detectar nuevos CVEs y violaciones de políticas.
|
|
Vulnix
Escaneo de vulnerabilidades basado en Nix a partir de entradas SBOM.
|
|
Kyverno
Controlador de admisión nativo de Kubernetes que aplica umbrales de vulnerabilidad.
|
|
Falco
Detecta anomalías en tiempo de ejecución que pueden indicar explotación.
|
|
Nikto
Escaneo de vulnerabilidades enfocado en servidores.
|
|
Keel
Automatiza redespliegues de contenedores cuando se publica una nueva imagen.
|
|
Kured
Reinicios automatizados de nodos Kubernetes para parcheo del kernel.
|
|
DefectDojo
Centraliza datos de vulnerabilidades provenientes de escáneres; asigna tareas de remediación y rastrea SLAs.
|
|
The Hive
Respuesta a incidentes y coordinación para eventos urgentes de vulnerabilidades.
|
PW.5
Crear código fuente adhiriéndose a prácticas de codificación segura: Disminuir la cantidad de vulnerabilidades de seguridad en el software y reducir costos minimizando las vulnerabilidades introducidas durante la creación del código fuente que cumplan o superen los criterios de severidad de vulnerabilidad definidos por la organización.
Para cumplir con SSDF PW.5 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Verificación continua de la integridad, el cumplimiento y la postura de seguridad del software desplegado.
-
Validaciones continuas para asegurar que el software en ejecución siga cumpliendo los requisitos de seguridad que tenía al momento de la liberación.
-
Detección de drift, nuevas vulnerabilidades introducidas y cambios de configuración.
-
Mantenimiento de evidencia verificable de estas validaciones a lo largo del tiempo.
| Tareas |
Herramientas |
PW.5.1:
Seguir todas las prácticas de codificación segura apropiadas para los lenguajes de desarrollo y el entorno, con el fin de cumplir los requisitos de la organización.
|
|
Trivy
Escaneos continuos de contenedores desplegados, sistemas de archivos y clústeres Kubernetes.
|
|
Grype
Detecta CVEs en SBOMs o imágenes desplegadas.
|
|
Clair
Escaneo continuo de vulnerabilidades para imágenes en registros.
|
|
Syft
Genera SBOMs desde sistemas en ejecución para monitoreo continuo.
|
|
Inspec
Define y ejecuta validaciones de cumplimiento (CIS, NIST, políticas específicas de la organización) contra entornos desplegados.
|
|
OpenSCAP
Evalúa sistemas en ejecución contra líneas base de seguridad.
|
|
Kube-bench
Valida despliegues de Kubernetes contra benchmarks CIS.
|
|
Kube-hunter
Identifica posibles rutas de ataque en clústeres Kubernetes desplegados.
|
|
Falco
Detecta cambios en tiempo de ejecución en archivos, procesos y comportamiento de red.
|
|
AIDE
Monitoreo de integridad de archivos para asegurar que binarios/configuraciones no sean alterados.
|
|
osquery
Consulta el estado del sistema para detectar cambios de configuración no autorizados.
|
|
Open Policy Agent
Aplica políticas continuas de cumplimiento en tiempo de ejecución.
|
|
Kyverno
Motor de políticas nativo de Kubernetes para prevenir actualizaciones inseguras.
|
|
DefectDojo
Centraliza resultados de verificación y rastrea problemas a lo largo del tiempo.
|
|
Rekor
Almacena reportes de verificación firmados en un registro a prueba de manipulaciones.
|
PW.6
Configurar los procesos de compilación, intérprete y build para mejorar la seguridad del ejecutable: Disminuir la cantidad de vulnerabilidades de seguridad en el software y reducir costos eliminando vulnerabilidades antes de que ocurran las pruebas.
Para cumplir con SSDF PW.6 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Ejecutar escaneos programados sobre contenedores en ejecución, máquinas virtuales y registros; integrarlos con monitoreo de SBOM
-
Mantener SBOMs para el software desplegado; monitorear nuevos CVEs.
-
Puntuar hallazgos (CVSS, EPSS); priorizar correcciones según severidad y explotabilidad.
-
Reconstruir/redesplegar automáticamente cuando haya imágenes parchadas disponibles.
| Tareas |
Herramientas |
PW.6.1:
Usar compiladores, intérpretes y herramientas de build que ofrezcan funcionalidades para mejorar la seguridad del ejecutable.
PW.6.2:
Determinar qué funcionalidades de compiladores, intérpretes y herramientas de build deben usarse y cómo debe configurarse cada una, luego implementar y usar las configuraciones aprobadas.
|
|
Trivy
Trivy ejecuta escaneos semanales sobre todas las imágenes de contenedores y hosts de producción → los resultados son firmados y registrados en Rekor.
|
|
Syft
Regenera SBOMs para artefactos desplegados y marca nuevos CVEs.
|
|
DefectDojo
Puntuación CVSS + asignación de SLA a los responsables.
|
|
Keel
Reconstrucción/redespliegue automático cuando haya imágenes parchadas disponibles.
|
|
Kured
Reinicios automatizados de nodos Kubernetes para parcheo del kernel.
|
|
Argo Rollouts
Usa despliegues canary/escalonados para versiones parchadas.
|
|
OpenVAS
Ejecuta escaneos programados en contenedores en ejecución, máquinas virtuales y registros; se integra con monitoreo de SBOM.
|
|
Rekor
Almacena registros firmados de detección, triage, corrección y verificación.
|
PW.7
Revisar y/o analizar código legible por humanos para identificar vulnerabilidades y verificar el cumplimiento con los requisitos de seguridad: Ayudar a identificar vulnerabilidades para que puedan corregirse antes de que el software sea liberado y así prevenir su explotación. El uso de métodos automatizados reduce el esfuerzo y los recursos necesarios para detectar vulnerabilidades. El código legible por humanos incluye código fuente, scripts y cualquier otra forma de código que la organización considere legible por humanos.
Para cumplir con SSDF PW.7 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Mantener un registro que demuestre que la versión desplegada pasó por el proceso requerido por la organización de revisión de código y/o análisis automatizado.
-
Garantizar que todos los parches de emergencia/hotfix enviados después del despliegue también sean revisados o analizados, incluso si se hace después de la liberación.
-
Mantener evidencia lista para auditoría.
| Tareas |
Herramientas |
PW.7.1:
Determinar si debe utilizarse revisión de código (una persona observa directamente el código para encontrar problemas) y/o análisis de código (se usan herramientas para encontrar problemas en el código, ya sea de forma totalmente automatizada o en conjunto con una persona), según lo definido por la organización.
PW.7.2:
Realizar la revisión de código y/o el análisis de código con base en los estándares de codificación segura de la organización, y registrar y triagear todos los problemas descubiertos y las remediaciones recomendadas en el flujo de trabajo del equipo de desarrollo o en el sistema de seguimiento de issues.
|
|
Semgrep
Ejecuta SAST contra el código exacto vinculado a los binarios desplegados; incluye escaneo de dependencias.
|
|
GitHub CodeQL
Vuelve a ejecutar el análisis de código en espejos de producción.
|
|
DefectDojo
Mantiene registros inmutables de todas las revisiones, aprobaciones y ejecuciones de análisis automatizado.
|
|
Rekor
Commits firmados, historial de ramas protegidas y resultados de escaneo.
|
PW.8
Probar código ejecutable para identificar vulnerabilidades y verificar el cumplimiento con los requisitos de seguridad: Ayudar a identificar vulnerabilidades para que puedan ser corregidas antes de que el software sea liberado con el fin de prevenir su explotación. El uso de métodos automatizados reduce el esfuerzo y los recursos necesarios para detectar vulnerabilidades y mejora la trazabilidad y la repetibilidad. El código ejecutable incluye binarios, bytecode ejecutado directamente y código fuente,
y cualquier otra forma de código que la organización considere ejecutable.
Para cumplir con SSDF PW.8 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Probar continuamente los ejecutables desplegados para detectar vulnerabilidades
-
Verificar el cumplimiento con los requisitos de seguridad
-
Retroalimentar los hallazgos al desarrollo
| Tareas |
Herramientas |
PW.8.1:
Determinar si debe realizarse pruebas de código ejecutable para encontrar vulnerabilidades no identificadas por revisiones, análisis o pruebas previas y, de ser así, qué tipos de pruebas deben utilizarse.
PW.8.2:
Definir el alcance de las pruebas, diseñarlas, ejecutarlas y documentar los resultados, incluyendo el registro y triage de todos los problemas descubiertos y las remediaciones recomendadas en el flujo de trabajo del equipo de desarrollo o en el sistema de seguimiento de issues.
|
|
Trivy
Escanea contenedores y sistemas de archivos desplegados para detectar CVEs conocidas en código y dependencias.
|
|
Grype
Escaneo enfocado de vulnerabilidades para artefactos desplegados.
|
|
Ortelius
Sincronización cada 10 minutos con OSV.dev para detección de nuevas vulnerabilidades en artefactos desplegados.
|
|
OpenVAS / Greenbone
Escaneo de vulnerabilidades de red y hosts.
|
|
Inspec
Mapea resultados de escaneo a estándares de seguridad (NIST, CIS, OWASP ASVS).
|
|
OpenSCAP
Resultados de escaneo de cumplimiento, perfiles base, documentación de excepciones.
|
|
Wapiti
DAST, fuzzing y monitoreo en tiempo de ejecución para detectar comportamiento inseguro.
|
|
Zap (Zed Attack Proxy)
Reportes de DAST y fuzzing.
|
PW.9
Configurar el software para que tenga configuraciones seguras por defecto: Ayudar a mejorar la seguridad del software en el momento de la instalación para reducir la probabilidad de que el software sea desplegado con configuraciones de seguridad débiles, poniéndolo en mayor riesgo de compromiso.
Para cumplir con SSDF PW.9 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Verificar el software y la infraestructura desplegados contra la línea base de configuración segura de la organización (por ejemplo, NIST 800-53, CIS Benchmarks, DISA STIGs).
-
Usar policy-as-code y herramientas de gestión de configuración para mantener los sistemas desplegados en cumplimiento.
-
Integrar validaciones de configuración dentro del monitoreo en tiempo de ejecución
| Tareas |
Herramientas |
PW.9.1:
Definir una línea base segura determinando cómo configurar cada ajuste que tenga efecto en la seguridad o que sea un ajuste relacionado con seguridad, de modo que la configuración por defecto sea segura y no debilite las funciones de seguridad proporcionadas por la plataforma, la infraestructura de red o los servicios.
PW.9.2:
Implementar las configuraciones por defecto (o grupos de configuraciones por defecto, si aplica) y documentar cada configuración para los administradores del software.
|
|
Ortelius
Monitorea continuamente drift en configuraciones de contenedores.
|
|
Inspec
Compara sistemas desplegados contra líneas base seguras de configuración (NIST, CIS, STIG).
|
|
OpenSCAP
Compara sistemas desplegados contra líneas base seguras de configuración (NIST, CIS, STIG).
|
|
Falco
Monitorea continuamente cambios de configuración; alerta o autorremedia desviaciones.
|
|
Wazuh
Logs de detección de drift y acciones de remediación.
|
|
Ansible
Policy-as-code y gestión de configuración para asegurar que todos los despliegues coincidan con la línea base.
|
|
Saltstack
Playbooks de configuración, logs de enforcement e historial de cambios de políticas.
|
|
Git
Almacena resultados de escaneo firmados y registros de detección de drift en sistemas evidentes ante manipulaciones.
|
1.4 - 3.4 Responder a Vulnerabilidades (RV)
3.4 Responder a Vulnerabilidades (RV) en los pasos CI/CD post-despliegue
3.4 Responder a Vulnerabilidades (RV) Tareas posteriores al despliegue
Responder a Vulnerabilidades (RV): Las organizaciones deben identificar vulnerabilidades residuales en sus versiones de software y responder de manera adecuada para abordarlas y prevenir que ocurran nuevamente en el futuro.
RV.1
Identificar y confirmar vulnerabilidades de forma continua: Ayudar a garantizar que las vulnerabilidades se identifiquen más rápidamente para que puedan ser remediadas con mayor rapidez de acuerdo con el riesgo, reduciendo la ventana de oportunidad para los atacantes.
Para cumplir con SSDF RV.1 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Escaneo continuo de entornos en vivo para detectar nuevas vulnerabilidades
-
Correlación de vulnerabilidades detectadas con componentes desplegados y datos SBOM
-
Validación de si las vulnerabilidades son explotables en el entorno específico
-
Priorización de la remediación según severidad, explotabilidad e impacto operativo
| Tareas |
Herramientas |
RV.1.1:
Recopilar información de adquirentes de software, usuarios y fuentes públicas sobre posibles vulnerabilidades en el software y componentes de terceros, e investigar todos los reportes creíbles.
RV.1.2:
Revisar, analizar y/o probar el código del software para identificar o confirmar la presencia de vulnerabilidades previamente no detectadas.
RV.1.3:
Contar con una política de divulgación y remediación de vulnerabilidades, e implementar los roles, responsabilidades y procesos necesarios para dar soporte a dicha política.
|
|
OWASP Dependency Track
Se integra con SBOMs en vivo para detectar y alertar vulnerabilidades después del despliegue.
|
|
Ortelius
Vincula las vulnerabilidades detectadas directamente con versiones desplegadas del servicio para trazabilidad.
|
|
DefectDojo
Centro de gestión de vulnerabilidades con métricas y seguimiento.
|
|
Trivy
Identifica vulnerabilidades en imágenes ya desplegadas en entornos Kubernetes o Docker.
|
|
Grype
Funciona con SBOMs generados por Syft para comprobar continuamente nuevos CVEs.
|
|
OpenSCAP
Proporciona escaneos programados de cumplimiento junto con escaneos de vulnerabilidades.
|
|
VEX (Vulnerability Exploitability eXchange) + OpenVEX
Ayuda a los equipos a priorizar la remediación filtrando vulnerabilidades no explotables.
|
|
Syft
Genera SBOMs en vivo para ser consumidos por herramientas como Dependency-Track o Grype.
|
|
Hoppr
Kit de herramientas de cadena de suministro y SBOM que permite gestionar y mover artefactos de procedencia.
|
RV.2
Evaluar, priorizar y remediar vulnerabilidades: Ayudar a garantizar que las vulnerabilidades sean remediadas de acuerdo con el riesgo para reducir la ventana de oportunidad para los atacantes.
Para cumplir con SSDF RV.2 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Determinar qué vulnerabilidades son más relevantes en el entorno desplegado
-
Usar explotabilidad, impacto de negocio y requisitos de cumplimiento para la priorización
-
Ejecutar acciones de remediación o mitigación de manera oportuna en entornos en vivo
-
Rastrear el estado de remediación hasta su cierre con registros auditables
| Tareas |
Herramientas |
RV.2.1:
Analizar cada vulnerabilidad para obtener suficiente información de riesgo para planificar su remediación u otra respuesta de riesgo.
RV.2.2:
Planificar e implementar respuestas de riesgo para vulnerabilidades.
|
|
DefectDojo
Centraliza la puntuación de riesgo, la gestión de flujos de trabajo y el seguimiento del progreso de remediación.
|
|
OWASP Dependency Track
Proporciona priorización de vulnerabilidades en tiempo real e integración con sistemas de seguimiento de issues.
|
|
Ortelius
Permite priorización y evaluación de impacto de vulnerabilidades según el entorno desplegado.
|
|
Jenkins + OPA (Open Policy Agent)
Aplicación de SLAs de remediación y automatización del despliegue de versiones corregidas.
|
|
Trivy + Grype
Escaneo continuo e integración con CI/CD para promover artefactos parcheados.
|
|
GitHub/GitLab Issues + bots de automatización
Asegura que ninguna vulnerabilidad quede sin una acción de remediación rastreada.
|
|
Kube-bench + Falco (seguridad en runtime)
Proporciona señales en tiempo real para priorizar correcciones de seguridad operativa.
|
RV.3
Analizar vulnerabilidades para identificar sus causas raíz: Ayudar a reducir la frecuencia de vulnerabilidades en el futuro.
Para cumplir con SSDF RV.3 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Determinar si la vulnerabilidad se originó en el código, dependencias, procesos de build o configuraciones de despliegue
-
Documentar lecciones aprendidas para evitar recurrencias
-
Retroalimentar los resultados hacia los requisitos de seguridad, pipelines y capacitación de desarrolladores
| Tareas |
Herramientas |
RV.3.1:
Analizar las vulnerabilidades identificadas para determinar sus causas raíz.
RV.3.2:
Analizar las causas raíz a lo largo del tiempo para identificar patrones, como la falta de adopción consistente de prácticas seguras de codificación.
RV.3.3:
Revisar el software para vulnerabilidades similares y eliminar clases completas de vulnerabilidades de forma proactiva, en lugar de esperar reportes externos.
RV.3.4:
Revisar el proceso SDLC y actualizarlo si es necesario para evitar la recurrencia de la causa raíz en futuras versiones del software o en nuevo desarrollo.
|
|
Ortelius
Soporta análisis forense rastreando cuándo y dónde un componente vulnerable ingresó al sistema.
|
|
DefectDojo
Mantiene datos históricos para identificar tendencias en el origen de vulnerabilidades.
|
|
GitHub
Soporta trazabilidad forense y análisis de responsabilidad en la causa raíz.
|
|
Syft + OWASP Dependency Track
Permite análisis de diferencias de SBOM para investigaciones de causa raíz.
|
|
Semgrep
Ayuda a determinar si las vulnerabilidades provienen de problemas a nivel de código.
|
|
OpenSCAP
Permite mapear la causa raíz hacia debilidades de configuración del sistema.
|
|
Trivy + Grype
Proporciona contexto temporal para análisis de líneas de tiempo de la causa raíz.
|
|
osquery
Soporta inspección profunda durante análisis forense de vulnerabilidades.
|