1.3 Producir Software Bien Asegurado (PW)

Usar formas de modelado de riesgos —como modelado de amenazas, modelado de ataques o mapeo de superficie de ataque— para ayudar a evaluar el riesgo de seguridad del software.

Rastrear y mantener los requisitos de seguridad, los riesgos y las decisiones de diseño del software.

Cuando sea apropiado, incorporar soporte para el uso de funciones y servicios de seguridad estandarizados (por ejemplo, permitir que el software se integre con sistemas existentes de gestión de registros, gestión de identidades, control de acceso y gestión de vulnerabilidades) en lugar de crear implementaciones propietarias de funciones y servicios de seguridad.

Se utiliza antes de programar para documentar los componentes del sistema, los flujos de datos y los límites de confianza, y luego enumerar amenazas y requisitos.

Ayuda a definir los requisitos de seguridad al identificar dependencias externas conocidas, APIs o servicios con los que el código interactuará, lo que informa el modelado de amenazas y el diseño seguro.

Ayuda a los equipos de seguridad y a los desarrolladores a capturar, gestionar y rastrear los requisitos de seguridad desde el diseño inicial hasta el desarrollo, asegurando la alineación de seguridad en la fase prebuild.

Permite el “modelado de amenazas como código” en la fase prebuild, de modo que los requisitos de seguridad puedan automatizarse y controlarse en versión junto con el código de la aplicación.

Centraliza y estructura los requisitos de seguridad para que estén disponibles para el modelado de amenazas, las revisiones de diseño y la validación temprana.

Útil en la fase de diseño y planificación para mantener una lista estructurada de requisitos de seguridad y vincularlos con casos de prueba, modelos de amenazas o módulos de código, asegurando que la seguridad se aborde antes de programar.

En la fase prebuild, puede definir los requisitos de seguridad exactos derivados del RMF que debe cumplir la base de código, incluyendo las líneas base de controles, y vincularlos con elementos de diseño o tareas de desarrollo.

Contar con (1) una persona calificada que no haya participado en el diseño y/o (2) procesos automatizados en la cadena de herramientas que revisen el diseño del software para confirmar y asegurar que cumple con todos los requisitos de seguridad y aborda satisfactoriamente la información de riesgos identificada.

Analiza las dependencias del proyecto (directas y transitivas) contra la National Vulnerability Database (NVD) y otras fuentes para detectar vulnerabilidades conocidas (CVEs). Ayuda a confirmar si un componente cumple con los requisitos de seguridad antes de su inclusión.

Herramienta automatizada de monitoreo y actualización de dependencias integrada con GitHub. Detecta dependencias vulnerables y crea pull requests para actualizarlas, asegurando que solo se usen versiones seguras.

Gestiona artefactos de cumplimiento del Risk Management Framework (RMF), incluyendo controles NIST 800-53. Puede usarse para confirmar que los componentes de software seleccionados cumplen con las bases de control de seguridad antes de su aprobación.

Linter de JavaScript/TypeScript que aplica estándares de codificación segura y señala patrones inseguros antes de que lleguen a producción. Ayuda a validar que los componentes de código personalizados cumplan con los requisitos de codificación segura.

Plataforma de análisis automatizado de código para identificar vulnerabilidades y problemas de calidad en múltiples lenguajes. Confirma que los componentes de código cumplen con las políticas de seguridad antes de su integración.

Escáner de vulnerabilidades de código abierto para imágenes de contenedores y sistemas de archivos. Garantiza que los componentes containerizados cumplan con los requisitos de vulnerabilidad y cumplimiento antes del despliegue.

Análisis estático de vulnerabilidades para imágenes de contenedores. Se integra en CI/CD para detectar vulnerabilidades en imágenes base y capas antes de su promoción.

Escáner de vulnerabilidades integral para imágenes de contenedores, sistemas de archivos y repositorios Git. Valida que los componentes seleccionados no tengan vulnerabilidades conocidas ni configuraciones inseguras.

Análisis estático de Infrastructure as Code (IaC) para detectar configuraciones de seguridad incorrectas (Terraform, Kubernetes, CloudFormation). Garantiza que los componentes de IaC cumplan con las bases de seguridad definidas antes de su uso.

Escáner de políticas como código para Terraform, Kubernetes, Docker y otros frameworks IaC. Confirma que los componentes de infraestructura cumplan con los requisitos de seguridad y cumplimiento.

Herramienta web de revisión de código. Aunque no es un escáner de vulnerabilidades, aplica revisiones humanas y flujos de aprobación que pueden incluir listas de verificación de validación de requisitos de seguridad antes de aprobar un componente.

Generado durante build/prebuild para validar los datos de los componentes contra criterios de aceptación definidos.

Usado para verificar que todos los componentes cumplen con los requisitos de licencias y seguridad antes de su integración.

Garantiza que solo se obtengan paquetes verificados, firmados y conformes a políticas para los builds.

Actúa como fuente controlada para componentes que cumplen con estándares de seguridad definidos.

Evita el uso de componentes que no cumplen con los requisitos de seguridad o políticas.

Aplica reglas para que solo imágenes escaneadas, firmadas y conformes a políticas sean almacenadas y utilizadas en builds.

Aplica la política de commits firmados en merge requests antes de aceptar código.

Ejecuta consultas de seguridad predefinidas en CI para verificar el código antes de su integración.

Aplica criterios de aceptación de seguridad (por ejemplo, sin CVEs críticas) antes de promover componentes.

Crea PRs para garantizar que se usen versiones seguras definidas por política.

Garantiza que los repositorios cumplan con criterios de configuración antes de permitir merges.

Proporciona un marco para definir prácticas de aseguramiento de seguridad y objetivos de madurez. Ayuda a establecer criterios para procesos de desarrollo seguro, incluyendo prebuild.

Define requisitos detallados de verificación de seguridad para aplicaciones. Puede usarse como referencia para pruebas de seguridad automatizadas y manuales en prebuild.

Plataforma de gestión de vulnerabilidades y orquestación de pruebas de seguridad. Centraliza resultados de escáneres y asegura que los problemas se rastreen según criterios de aceptación.

Escanea dependencias del proyecto buscando vulnerabilidades conocidas (CVEs) y falla builds si no cumplen criterios.

VCS que soporta firma de commits y hooks para aplicar prebuild checks (linting, escaneos de seguridad).

Servicio Git ligero y autohospedado con aplicación de políticas de repositorio (p. ej., commits firmados, revisiones requeridas).

Plataforma Git con integración CI/CD para ejecutar controles de seguridad antes de mergear.

Soporta extensiones para linting, escaneo de vulnerabilidades y enforcement de firma de código pre-commit.

IDE Java con plugins para análisis estático, escaneo de dependencias y enforcement de reglas de codificación segura.

IDE Java con plugins para análisis estático, codificación segura y generación de SBOM.

Framework de pruebas unitarias Java; puede integrarse con suites de pruebas de seguridad.

Framework de pruebas .NET; soporta integración con tests de validación de seguridad.

Framework de pruebas Python; puede ejecutar tests basados en reglas de seguridad como parte de CI.

Herramienta de pruebas automatizadas de navegador; puede validar comportamientos seguros (p. ej., flujos de autenticación).

Pruebas end-to-end de navegador con soporte para escenarios centrados en seguridad.

Herramienta DAST para encontrar problemas de seguridad en aplicaciones en ejecución durante fases de prueba.

Framework de pruebas para Java; se integra con automatización de seguridad.

Framework de pruebas BDD; permite definir tests de aceptación de seguridad en lenguaje natural.

Escanea contenedores, sistemas de archivos y repositorios en busca de vulnerabilidades y errores de configuración.

Escaneo estático de vulnerabilidades en imágenes de contenedor antes del despliegue.

Escáner de vulnerabilidades para contenedores y sistemas de archivos.

Analizador estático específico de Python para problemas de seguridad comunes.

Análisis estático multi-lenguaje usando reglas de seguridad personalizadas o predefinidas.

Analizador estático específico de Rails para vulnerabilidades de seguridad.

Detecta secretos hardcoded en repositorios Git antes del commit o en CI.

Detecta secretos e información sensible en el historial y commits del código.

Framework open-source para firmar artefactos de software (commits, contenedores) usando pruebas criptográficas.

Escanea dependencias del proyecto (directas y transitivas) buscando CVEs conocidas usando NVD y otras fuentes. Puede aplicar criterios de “no vulnerabilidades críticas/altas” antes de aprobar el build.

Garantiza que los componentes seleccionados cumplan criterios de licencias y seguridad antes de integrarse a la línea principal.

Puede bloquear merges o builds que violen reglas de licencias o contengan vulnerabilidades conocidas.

Asegura que los criterios de licencias se cumplan antes de aceptar componentes en el build.

Proporciona inventario de componentes para validar contra criterios de aceptación predefinidos.

Aplica políticas de seguridad, cumplimiento y configuración durante gates de CI/CD antes del release.

Seguir todas las prácticas de codificación segura apropiadas para los lenguajes de desarrollo y el entorno, a fin de cumplir con los requisitos de seguridad de la organización.

Integrado en CI para escanear el código modificado y bloquear merges si las reglas de seguridad fallan; también puede ejecutarse localmente para verificaciones previas al commit.

Se ejecuta en prebuild o pipelines de CI para detectar problemas de seguridad de alta severidad en código Python.

Analiza código Java antes del empaquetado para identificar vulnerabilidades y malas prácticas de codificación.

Integrado en CI/CD para detectar vulnerabilidades en Java antes del lanzamiento.

Se ejecuta en pipelines CI/CD para señalar problemas de seguridad antes de los merges, aplicando quality gates.

Se ejecuta en entornos de prueba antes de producción para identificar problemas de seguridad en tiempo de ejecución.

Escanea instancias de staging/test para detectar vulnerabilidades explotables antes del despliegue.

Previene builds que incluyan componentes con vulnerabilidades que superen los umbrales de severidad definidos.

Firma y verifica la integridad y autenticidad del código fuente y las dependencias precompiladas antes de la compilación.

Verifica las firmas criptográficas de archivos fuente y dependencias antes de la construcción.

Audita y escanea las dependencias en busca de vulnerabilidades de seguridad y problemas de licencias antes de incluirlas en la construcción.

Sistema de construcción integrado en CI/CD para aplicar configuraciones de seguridad y cumplimiento durante la compilación.

Analiza capas de imágenes de contenedores para identificar componentes de código abierto, licencias y posibles vulnerabilidades antes de usarlas en las construcciones.

Detecta licencias, derechos de autor y paquetes en el código fuente antes de la construcción para garantizar cumplimiento y seguridad.

Escanea código fuente e imágenes de contenedores en busca de vulnerabilidades conocidas antes de incluirlas en la construcción.

Genera SBOMs a partir del código fuente y dependencias antes de la construcción para documentar y verificar los componentes.

Escanea las dependencias del proyecto (por ejemplo, Maven, npm, Python) contra la NVD para CVEs conocidas antes de la compilación, permitiendo la remediación temprana de librerías vulnerables.

Principalmente una herramienta de pruebas de seguridad de aplicaciones dinámicas (DAST), pero en precompilación no se usa generalmente; puede ejecutarse contra compilaciones locales para detectar fallas tempranas en tiempo de ejecución. Aplicabilidad limitada a PW.7 precompilación.

Realiza SAST y revisa la calidad del código para múltiples lenguajes, detectando vulnerabilidades, errores y malos olores en el código antes de la compilación o integración.

Escanea código JavaScript y manifiestos de paquetes en busca de librerías vulnerables conocidas antes del empaquetado.

Realiza escaneo de dependencias para problemas de licencias y vulnerabilidades antes de la compilación. La versión comercial SaaS es propietaria.

Herramienta SAST ligera y personalizable. Utiliza reglas para detectar problemas de seguridad y patrones inseguros en el código fuente antes de la compilación.

Escanea código Python en busca de problemas de seguridad comunes antes de la compilación (por ejemplo, uso inseguro de funciones, contraseñas codificadas).

Herramienta de análisis estático para IaC (Terraform, YAML de Kubernetes, etc.) para encontrar configuraciones incorrectas antes del despliegue.

Análisis estático para código C/C++ para detectar comportamientos indefinidos, problemas de memoria y vulnerabilidades comunes antes de la compilación.

Plugin para SpotBugs que detecta vulnerabilidades específicas de Java antes de la compilación.

Realiza análisis profundo del código usando un lenguaje de consultas para detectar vulnerabilidades antes de la compilación. Excelente para SAST automatizado en pipelines de CI.

Escanea Java, Apex, JavaScript, XML y otros códigos en busca de errores, código no utilizado y posibles problemas de seguridad antes de la compilación.

Análisis estático para bytecode Java; detecta patrones de errores y posibles vulnerabilidades precompilación (cuando se ejecuta sobre archivos de clase compilados en CI antes del empaquetado).

Automatiza las revisiones de pull requests — aplica las pautas de seguridad/contribución y previene que patrones inseguros se fusionen al código antes de la compilación.

Motor SAST que analiza el código fuente contra reglas de seguridad antes de la compilación, detectando vulnerabilidades tempranamente.

Análisis estático para código Python para encontrar problemas de seguridad comunes antes del empaquetado.

Plugin de seguridad para SpotBugs para detectar vulnerabilidades en código Java/Scala/Groovy antes de la compilación.

Análisis estático para C/C++ para detectar fallos de seguridad antes de generar los artefactos de compilación.

Análisis estático basado en reglas para Java, Apex, JavaScript y XML para detectar vulnerabilidades y problemas de codificación.

Detección de errores y vulnerabilidades en código Java antes de generar la salida de compilación.

Análisis semántico de código para encontrar vulnerabilidades antes de la compilación.

Herramienta SCA que identifica dependencias vulnerables en los manifiestos antes del empaquetado.

Analiza dependencias de JavaScript y Node.js para detectar vulnerabilidades conocidas antes de la liberación.

Herramienta SSCA para escanear dependencias de código fuente y imágenes base antes de la compilación para detectar CVEs.

Genera SBOMs desde código fuente antes de la compilación para verificar el inventario de componentes.

Analiza archivos de Infrastructure-as-Code (Terraform, Kubernetes YAML, etc.) para detectar configuraciones incorrectas antes del despliegue.

Busca secretos en el código y en el historial de Git antes de la compilación.

Busca secretos e información sensible en el código y en el historial de Git antes de la compilación.

Detecta configuraciones incorrectas y valores predeterminados inseguros en archivos de IaC antes de la compilación.

Motor de políticas como código para aplicar reglas de configuración segura en pipelines previos a la compilación.

Valida archivos de configuración YAML, asegurando la corrección de su estructura antes de realizar más verificaciones de seguridad.