2.4 Responder a Vulnerabilidades (RV)
2.4 Responder a Vulnerabilidades (RV) para Tareas de Build y Deploy
Responder a Vulnerabilidades (RV): Las organizaciones deben identificar las vulnerabilidades residuales en sus versiones de software y responder adecuadamente para abordar dichas vulnerabilidades y prevenir que ocurran vulnerabilidades similares en el futuro.
RV.1
Identificar y Confirmar Vulnerabilidades de Forma Continua: Ayuda a garantizar que las vulnerabilidades se identifiquen más rápidamente para que puedan ser remediadas de manera más ágil de acuerdo con el riesgo, reduciendo la ventana de oportunidad para los atacantes.
Para cumplir con SSDF RV.1 en un contexto de compilación y despliegue utilizando herramientas de código abierto, el enfoque se centra en recopilar continuamente información sobre vulnerabilidades (VDP + fuentes públicas), monitorear componentes y confirmar problemas en todas las versiones compatibles.
| Tareas | Herramientas |
|---|---|
|
RV.1.1:
Recopilar información de adquirentes de software, usuarios y fuentes públicas sobre posibles vulnerabilidades en el software y componentes de terceros que utiliza, e investigar todos los reportes creíbles.
RV.1.2:
Revisar, analizar y/o probar el código del software para identificar o confirmar la presencia de vulnerabilidades previamente no detectadas.
RV.1.3:
Tener una política que aborde la divulgación y remediación de vulnerabilidades, e implementar los roles, responsabilidades y procesos necesarios para respaldar esa política. |
|
|
OSV-Scanner
Escanea continuamente manifiestos/locks contra OSV; excelente para confirmar nuevas divulgaciones en todas las versiones soportadas. |
|
|
Ortelius
Sincroniza continuamente las versiones del Software Bill of Material de los artefactos construidos con OSV.dev, reportando vulnerabilidades descubiertas después de la compilación. |
|
|
Base de Datos de Vulnerabilidades OSV
Consulta la base de datos de vulnerabilidades OSV.dev para CVEs de paquetes de código abierto. |
|
|
Grype
Escanea imágenes de contenedores y SBOMs en busca de vulnerabilidades conocidas. |
|
|
Vulners CLI/API
Agrega múltiples fuentes públicas de vulnerabilidades. |
|
|
cve-bin-tool
Verifica binarios instalados en busca de CVEs conocidos. |
|
|
Semgrep
SAST para múltiples lenguajes; reglas personalizables. Ejecutar al hacer merge en la rama principal. |
|
|
Bandit
Lint de seguridad para Python. Agregar a la etapa de construcción de proyectos Python. |
|
|
SonarQube Community Edition
SAST y controles de calidad. Ejecutar en el paso de construcción; bloquear despliegue si se encuentran problemas de alta severidad. |
|
|
OWASP ZAP
DAST; escaneo pasivo rápido en la aplicación de staging desplegada. |
|
|
Política de Seguridad GitHub
Ubicación pública para reporteros. |
|
|
Plantillas Disclose.io
Programa de Divulgación de Vulnerabilidades. |
|
|
Guía de Divulgación de Vulnerabilidades OpenSSF
Manual para implementar la divulgación. |
RV.2
Evaluar, Priorizar y Remediar Vulnerabilidades: Ayuda a garantizar que las vulnerabilidades se remedien de acuerdo con el riesgo, reduciendo la ventana de oportunidad para los atacantes.
Para cumplir con SSDF RV.2 en un contexto de compilación y despliegue usando herramientas de código abierto, el enfoque se centra en:
-
Registrar cada vulnerabilidad
-
Analizar el riesgo (explotabilidad e impacto)
-
Elegir respuestas, publicar avisos y entregar remediaciones mediante mecanismos confiables; incluir mitigaciones temporales cuando sea necesario.
| Tareas | Herramientas |
|---|---|
|
RV.2.1:
Analizar cada vulnerabilidad para recopilar información suficiente sobre el riesgo y planificar su remediación u otra respuesta al riesgo.
RV.2.2:
Planificar e implementar respuestas al riesgo para las vulnerabilidades. |
|
|
GUAC
Agrega SBOMs, certificaciones y vulnerabilidades para entender el alcance y priorizar correcciones. |
|
|
Renovate
Automatiza actualizaciones de dependencias/PRs de parches con políticas conscientes del riesgo. |
|
|
Ortelius
Muestra el alcance de cada vulnerabilidad en los entornos en vivo. |
|
|
DefectDojo
Centraliza vulnerabilidades de herramientas SAST/DAST/SCA; agrega puntuación de riesgo. |
|
|
OWASP Dependency-Track
Seguimiento de vulnerabilidades basado en SBOM, incluye puntuación CVSS y metadatos. |
|
|
EPSS (Exploit Prediction Scoring System)
Evalúa la probabilidad de explotación para CVEs (priorización basada en riesgo). |
|
|
Vulners API
Proporciona enlaces de explotación, PoCs y contexto adicional por CVE. |
|
|
Calculadora CVSS (FIRST)
Puntuación de impacto estandarizada para respaldar decisiones de triaje. |
|
|
Sigstore / Cosign
Firma builds remediadas antes de desplegar (mecanismo de entrega confiable). |
|
|
OWASP ModSecurity CRS
Reglas WAF temporales para mitigar vulnerabilidades web sin parchear. |
|
|
Falco
Detección y mitigación en tiempo de ejecución para problemas de contenedores/Kubernetes sin parchear. |
RV.3
Analizar Vulnerabilidades para Identificar sus Causas Raíz: Ayuda a reducir la frecuencia de vulnerabilidades en el futuro.
Para cumplir con SSDF RV.3 en un contexto de construcción y despliegue usando herramientas de código abierto, el enfoque se centra en:
-
Capturar causas raíz y lecciones aprendidas
-
Detectar patrones recurrentes a lo largo del tiempo
| Tareas | Herramientas |
|---|---|
|
RV.3.1:
Analizar las vulnerabilidades identificadas para determinar sus causas raíz.
RV.3.2:
Analizar las causas raíz a lo largo del tiempo para identificar patrones, como la falta de seguimiento consistente de una práctica de codificación segura específica.
RV.3.3:
Revisar el software para detectar vulnerabilidades similares, eliminar una clase de vulnerabilidades y corregirlas proactivamente en lugar de esperar informes externos.
RV.3.4:
Revisar el proceso SDLC y actualizarlo si es apropiado para prevenir (o reducir la probabilidad de) que la causa raíz se repita en actualizaciones del software o en nuevo software creado. |
|
|
Semgreps
Escribir reglas específicas de la organización para detectar patrones de causa raíz; escanear repositorios para eliminar clases de errores. |
|
|
CodeQL
Consultas profundas de código para identificar los constructos de codificación precisos que conducen a vulnerabilidades. |
|
|
SonarQube CE
Proporciona trazas de problemas, violaciones de reglas y puntos críticos, incluidos indicadores de causa raíz. |
|
|
DefectDojo
Realiza seguimiento de vulnerabilidades y metadatos, permite adjuntar notas de causa raíz por cada problema. |
|
|
Dependency-Track
Seguimiento a largo plazo de componentes vulnerables para identificar problemas recurrentes de dependencias. |
|
|
Grafeas
API de metadatos para seguimiento de eventos de seguridad a través de builds/lanzamientos. |
|
|
cwe-checker
Detecta patrones de debilidad (CWEs) en binarios, útil para artefactos compilados. |
|
|
Joern
Plataforma de análisis de código de código abierto para buscar patrones de errores a gran escala. |
|
|
OpenSAMM (Modelo de Madurez de Aseguramiento de Software OWASP)
Marco para mejorar las prácticas de ciclo de vida de desarrollo seguro. |
|
|
OpenSSF Scorecards
Automatiza revisiones de seguridad de repositorios (protección de ramas, fijación de dependencias, endurecimiento de CI). |
|
|
OSCAL (NIST)
Estándar para documentar cumplimiento y mejoras de seguridad en el SDLC. |
|
|
Allstar (por OpenSSF)
Aplica políticas de seguridad en organizaciones/repositorios de GitHub. |