2.3 Producir Software Bien Asegurado (PW)

Evita que código inseguro sea empaquetado y desplegado.

Asegura que los artefactos desplegados cumplan con configuraciones base seguras.

Aplica listas de componentes aprobados y configuraciones base de seguridad antes del despliegue.

Genera SBOMs para aplicaciones desplegadas para monitoreo continuo.

Aplica listas de componentes aprobados y configuraciones base de seguridad antes del despliegue.

Escaneo de vulnerabilidades enfocado en artefactos desplegados.

Garantiza que los artefactos de construcción coincidan exactamente con el diseño aprobado de seguridad, sin desviaciones ni diferencias ambientales.

Asegura que todos los artefactos desplegados se construyan desde un entorno trazable y verificable que cumpla con las bases de seguridad del diseño.

Aplica reglas de construcción seguras, evita cambios no autorizados y produce resultados idénticos en todos los agentes de construcción.

Fortalece la seguridad de la cadena de suministro al detectar modificaciones no autorizadas entre el código fuente y el despliegue.

Implementa principios de diseño seguro como superficie de ataque mínima y selección verificada de dependencias.

Asegura que los artefactos provengan de un proceso de construcción confiable y verificado y que no hayan sido alterados.

Proporciona garantía criptográfica de que los artefactos desplegados son auténticos y no han sido manipulados.

Aplica integridad y responsabilidad en toda la canalización de construcción y despliegue.

Protege la integridad de los canales de despliegue y distribución de actualizaciones.

Genera y gestiona claves para firmar artefactos de construcción. Implementa TLS/SSL para comunicación segura entre agentes de construcción y repositorios de artefactos.

Firma el código fuente, commits y resultados de construcción y verifica las firmas antes de desplegar artefactos.

Incorpora firma y verificación criptográfica en pipelines de construcción Java/.NET.

Valida que los entornos de despliegue cumplan los requisitos de integridad basados en hardware antes del despliegue.

Publica atestaciones criptográficas de procedencia de construcción o aprobaciones de despliegue y proporciona un registro de auditoría descentralizado e inalterable de los datos de confianza de los artefactos.

Aplica políticas de diseño de despliegue seguro (por ejemplo, imágenes base aprobadas, configuraciones no permitidas).

Aplica los requisitos de diseño de seguridad en tiempo de construcción (por ejemplo, aprobación de dependencias, umbrales de CVE). Aplica políticas consistentes desde la construcción hasta el tiempo de ejecución.

Asegura que las cargas de trabajo desplegadas cumplan con los requisitos de seguridad para autenticación mutua y confianza cero, y vincula la identidad de la carga de trabajo con la procedencia en tiempo de construcción para garantizar la integridad del despliegue.

Pre-descarga dependencias para construcciones herméticas, genera SBOMs y asegura construcciones reproducibles con seguimiento explícito de dependencias y checksums verificables.

Incorpora modelos de amenazas en CI/CD, asegurando que los requisitos de seguridad estén vinculados a los componentes arquitectónicos antes de la construcción. (Cumple PW.1.1 y PW.1.2)

Ayuda a refinar los requisitos de seguridad relacionados con la exposición de la red y el inventario de activos. (Cumple PW.1.1)

Integra los requisitos de seguridad en los modelos del sistema, que luego pueden ser validados en la construcción y despliegue. (Cumple PW.1.1)

Incorpora modelos de amenazas en CI/CD, asegurando que los requisitos de seguridad estén vinculados a los componentes arquitectónicos antes de la construcción. (Cumple PW.1.1)

Herramienta de gestión de requisitos para definir, rastrear y validar requisitos de seguridad. Documenta los requisitos de seguridad y los vincula a commits y resultados de construcción. (Cumple PW.1.1 y PW.1.2)

Herramienta de gestión de requisitos usando texto plano y control de versiones para trazabilidad. Soporta trazabilidad desde el diseño hasta la construcción, asegurando que los requisitos se reflejen en los artefactos finales. (Cumple PW.1.2)

Herramienta de marco de trabajo de cumplimiento y gestión de riesgos de código abierto para rastrear controles RMF (NIST 800-37). Los requisitos de seguridad se mapean a controles de cumplimiento formales que pueden verificarse en artefactos de construcción y despliegue. (Cumple PW.1.2)

Control automatizado de cumplimiento de diseño en CI/CD

Valida que las configuraciones de despliegue coincidan con la arquitectura de seguridad aprobada.

Aplica reglas de segmentación de red, requisitos de cifrado y configuraciones seguras por defecto.

Agrega automatización de revisión de IaC al proceso de construcción.

Revisión automatizada de código para asegurar alineación con los requisitos de diseño de seguridad.

Verificación de cumplimiento de configuraciones antes del despliegue.

Garantiza que los requisitos de diseño impulsados por el modelo de amenazas estén implementados.

Verificación de arquitectura post-construcción/pre-despliegue. Detecta desviaciones respecto a la arquitectura prevista.

Revisa los manifiestos de Kubernetes para cumplimiento de diseño antes del despliegue. Asegura que la configuración de seguridad de los pods coincida con los diseños aprobados.

PRs automatizados de actualización de dependencias con alertas de vulnerabilidades. Ayuda a verificar que las dependencias cumplan los requisitos de seguridad (p. ej., sin CVEs conocidos, versiones mínimas).

Herramienta de seguimiento del Marco de Gestión de Riesgos. Puede mapear los requisitos de seguridad a nivel de diseño a controles NIST 800-53 y verificar que dichos controles estén implementados en las configuraciones de construcción.

Se ejecuta en pipelines CI/CD o como pre-commit hook para bloquear merges si el código viola las reglas de seguridad o arquitectura aprobadas antes de la construcción.

Escáner de vulnerabilidades basado en SBOM para imágenes/sistemas de archivos. Verifica que las dependencias en la construcción cumplan con las bases de seguridad y estén libres de componentes no permitidos.

Análisis estático de vulnerabilidades para imágenes de contenedor. Confirma que las imágenes finales cumplan con los requisitos de seguridad de diseño antes del despliegue.

Escaneo de IaC y aplicación de políticas (basado en OPA). Aplica el diseño de seguridad aprobado en configuraciones de Terraform, Kubernetes, Docker y AWS CloudFormation antes del despliegue.

Herramienta de flujo de trabajo para revisión y aprobación de código. Garantiza revisión humana contra los requisitos de diseño y seguridad antes de fusionar a las ramas de lanzamiento.

Garantiza que los manifiestos cumplan con los valores predeterminados seguros antes del despliegue.

Valida que las configuraciones predeterminadas cumplan con los requisitos de seguridad.

Detecta y bloquea valores predeterminados inseguros en Terraform, Helm o CloudFormation antes del lanzamiento.

Valida los valores predeterminados fortalecidos en la provisión de infraestructura en la nube.

Verificación automatizada de cumplimiento de configuraciones durante CI/CD.

Automatiza pruebas de cumplimiento para valores predeterminados seguros.

Incorpora valores predeterminados fortalecidos en imágenes de contenedor o VM antes del lanzamiento.

Validación previa al despliegue de valores predeterminados seguros en manifiestos.

Garantiza que las imágenes del sistema operativo desplegadas cumplan con los valores predeterminados fortalecidos.

Formato SBOM para documentar componentes/configuraciones exactas en el build final; ayuda a verificar que los valores predeterminados seguros estén presentes.

Estándar SBOM para registrar todos los componentes, licencias y procedencia; puede confirmar la inclusión de dependencias fortalecidas.

Catálogo de Helm charts, operadores OLM, etc., verificados; puede hacer cumplir el uso de paquetes seguros por defecto.

Gestor de repositorios para almacenar artefactos firmados y verificados con controles de acceso.

Hospeda artefactos y hace cumplir comprobaciones de políticas antes de su promoción.

Registro OCI con escaneo de vulnerabilidades, firma de contenido y aplicación de políticas para imágenes.

Firma de commits/tags en GitLab CE para verificar procedencia.

Detecta patrones de código que violan los requisitos de seguridad.

Escanea imágenes de contenedores, IaC y configuraciones para valores predeterminados inseguros.

App de GitHub que aplica políticas de seguridad en repositorios.

Modelo de madurez de seguridad para guiar prácticas de valores predeterminados seguros.

Requisitos de seguridad de aplicaciones para verificar valores predeterminados seguros.

Rastreo central de vulnerabilidades; garantiza que los problemas encontrados en builds se solucionen antes del lanzamiento.

Detecta dependencias conocidas vulnerables en los builds.

Servicio Git autohospedado con soporte de firma y políticas.

Plataforma Git con firma, escaneo e integración de políticas CI/CD.

Pruebas automatizadas para confirmar que los valores predeterminados funcionen.

Automatización de pruebas funcionales/UI para verificar configuraciones seguras.

Automatización de pruebas funcionales/UI para verificar configuraciones seguras.

Escáner DAST para verificar que los valores predeterminados de la aplicación no sean explotables.

Framework de pruebas Java para comprobaciones de seguridad/funcionales.

Framework BDD para verificar requisitos funcionales y de seguridad.

Escáner de vulnerabilidades de imágenes para registros OCI.

Escáner de vulnerabilidades basado en SBOM para builds e imágenes.

Detecta patrones de código y valores predeterminados inseguros en Python.

Encuentra patrones que violan políticas en el código.

Detecta problemas de seguridad y valores predeterminados específicos de Rails.

Detecta secretos en el código (previene exposición de credenciales predeterminadas).

Encuentra secretos en repositorios/historial para evitar valores predeterminados inseguros.

Detecta dependencias conocidas vulnerables en los builds.

Automatiza verificaciones de licencias/seguridad; bloquea componentes no conformes.

Escaneo de licencias/dependencias; garantiza cumplimiento con políticas predeterminadas.

Detecta licencias, derechos de autor y metadatos de seguridad en los artefactos.

Inspección de imágenes de contenedor para detalles de dependencias/componentes.

Política como código para build & deploy; bloquea valores predeterminados inseguros en configuraciones/manifiestos.

rebuilderd verifica de manera independiente que los paquetes binarios puedan reproducirse desde la fuente, lo que es un mecanismo sólido para la integridad/validación de componentes de terceros y para preservar/verificar evidencia de integridad de lanzamientos.

Funciona como el repositorio central de artefactos confiable.

Funciona como el repositorio central de artefactos confiable.

Funciona como el repositorio central de artefactos confiable.

Garantiza que el contenido del repositorio sea auténtico y no haya sido alterado.

Asegura que los artefactos almacenados cumplan los requisitos de vulnerabilidad antes del despliegue.

Aplica verificaciones de procedencia al ingresar artefactos al repositorio.

Protege contra la manipulación del repositorio y de las actualizaciones.

Controla la entrada en la cadena de suministro y el almacenamiento interno de artefactos.

Relaciona los artefactos del repositorio con pipelines de compilación seguros.

Se ejecuta como parte de la pipeline CI para escanear automáticamente el código en busca de fallas de seguridad, violaciones de políticas y patrones inseguros antes de construir los artefactos. Soporta reglas como código para aplicar políticas de compilación segura.

Analizador estático enfocado en Python que revisa funciones inseguras, criptografía débil y problemas de seguridad comunes antes del empaquetado o despliegue.

Análisis estático legado de Java; puede usarse para señalar patrones de código inseguros conocidos antes de la compilación. Ha sido reemplazado por SpotBugs.

Reemplazo moderno de FindBugs. Escáner de bytecode de Java para aplicar prácticas de código seguro antes de compilar los artefactos finales.

Plataforma SAST completa; puede integrarse en CI/CD para aplicar gates de calidad, deteniendo compilaciones que incumplan reglas de seguridad.

Se ejecuta contra aplicaciones construidas/etapas en entornos previos al despliegue para detectar vulnerabilidades explotables, asegurando que no se promueva ninguna versión insegura.

Escáner de vulnerabilidades de aplicaciones web que puede formar parte de la etapa de QA de la compilación para asegurar que el lanzamiento sea seguro.

Escanea dependencias conocidas como vulnerables en la compilación, bloqueando versiones inseguras para su despliegue.

SAST rápido basado en reglas con integración CI.

Calidad general de código + reglas básicas de seguridad.

Linters SAST para Python.

Linters SAST para Go.

Linters SAST para Rails.

Linters SAST para Java.

Escaneo de vulnerabilidades en imágenes/sistemas de archivos contra SBOMs.

Escaneo de vulnerabilidades en imágenes/sistemas de archivos contra SBOMs.

Genera SBOMs (SPDX/CycloneDX) durante la construcción.

Monitoreo continuo de SBOM y alertas post-build.

Bloquea commits/builds que contengan secretos; ejecutarse en CI y como pre-commit hooks.

Proporciona métodos, guías y herramientas de apoyo para builds deterministas, asegurando integridad y verificabilidad de los outputs de fuente a binario.

Sistema de construcción con ejecución hermética (sandbox) y seguimiento explícito de dependencias, previniendo dependencias ocultas o no verificadas.

Sistema de construcción de alta velocidad y determinista que soporta reproducibilidad y configuración estricta como código.

Aplica resolución controlada de dependencias y soporta builds reproducibles para proyectos Java y basados en JVM.

Crea entornos de build reproducibles y controlados para imágenes Linux embebidas, previniendo desviaciones ambientales.

Usa toolchains preconstruidos y entornos sandbox para builds Android seguros y reproducibles.

Herramienta CLI para pre-descarga de dependencias, soporta builds herméticos, genera SBOMs y asegura builds de contenedores aislados de red con gestión reproducible de dependencias.

Kit de utilidades SBOM / cadena de suministro—procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineado a la recolección/mantenimiento/compartición de la procedencia.

Se ejecuta automáticamente en CI antes de construir el artefacto de despliegue.

Se integra con CI/CD para garantizar código limpio antes del release.

Detecta inyecciones SQL, XSS o patrones de deserialización insegura en la base de código.

Protege contra la filtración de secretos en los artefactos desplegados.

Requiere dos revisores para cualquier cambio en módulos críticos de seguridad.

Proporciona un registro verificable de auditoría para la finalización de la revisión de seguridad.

Proporciona un registro verificable de auditoría para la finalización de la revisión de seguridad.

Escanea continuamente las dependencias en cada build para nuevos CVEs. Puede ejecutarse en cada commit o de forma nocturna en CI/CD.

Puede automatizarse en CI/CD para re-probar entornos de staging en busca de vulnerabilidades a medida que se despliega nuevo código.

Enfocado en bibliotecas JavaScript; detecta vulnerabilidades recién divulgadas en paquetes frontend/back-end durante los builds.

Escanea dependencias en busca de vulnerabilidades y problemas de licencias, integrándose con los builds para capturar nuevos hallazgos.

Se ejecuta en CI/CD para proyectos Python para detectar problemas de seguridad recién introducidos.

Detección de vulnerabilidades conocidas – Compara componentes y configuraciones de IaC contra buenas prácticas de seguridad y marcos de cumplimiento conocidos (CIS Benchmarks, NIST, PCI-DSS).

Re-escanea código C/C++ después de cada build para asegurar que no se introdujeron nuevos problemas.

Extensión de SpotBugs que detecta fallas de seguridad en bytecode Java continuamente durante el ciclo de build.

Realiza consultas de seguridad continuas en el código con cada pull request o escaneo programado.

Ejecuta revisiones de calidad de código y reglas de seguridad en cada commit/build.

Análisis estático de Java integrado en la pipeline de build para detección continua de vulnerabilidades.

Automatiza reglas de revisión de PR relacionadas con seguridad, evitando que código inseguro se fusione.

Ejecutar como un paso de CI después de construir la imagen, antes de subir al registro

Confirma que el ejecutable final cumple con los umbrales de vulnerabilidad.

Alimenta SBOM en herramientas SCA como Dependency-Track para monitoreo continuo

Asegura que el artefacto final cumpla con los requisitos de configuración segura.

Paso de aplicación de línea base antes de la promoción a producción.

Pruebas de seguridad en tiempo de ejecución antes del lanzamiento.

Proporciona evidencia verificable para cumplimiento y auditorías.

Automatiza el endurecimiento de la línea base durante la creación de imágenes.

Produce imágenes de contenedor seguras por defecto.

Punto de control en CI para bloquear valores predeterminados inseguros antes de ser compilados/desplegados.

Evita que los valores predeterminados inseguros de IaC lleguen al despliegue.

Evita que los valores predeterminados inseguros de IaC lleguen al despliegue.

Genera evidencia de cumplimiento antes de la promoción de artefactos.

Asegura que solo se puedan desplegar artefactos endurecidos y verificados.

Verifica que los valores predeterminados endurecidos cumplan con los requisitos de CIS antes del lanzamiento.

Aplicación de políticas para manifiestos y configuraciones durante la compilación.

Codifica valores predeterminados seguros como políticas aplicables en CI/CD.