3.1 Preparar la Organización (PO)
3.1 Preparar la Organización (PO) Tareas Post Despliegue
Las organizaciones deben asegurar que sus personas, procesos y tecnología estén preparadas para realizar desarrollo de software seguro a nivel organizacional. Muchas organizaciones encontrarán que algunas prácticas PO también son aplicables a subconjuntos de su desarrollo de software, como grupos de desarrollo individuales o proyectos.
PO.1 Definir Requisitos de Seguridad para el Desarrollo de Software: Asegurar que los requisitos de seguridad para el desarrollo de software sean conocidos en todo momento para que puedan ser considerados durante todo el SDLC y minimizar la duplicación de esfuerzos, ya que la información de los requisitos puede recopilarse una vez y compartirse. Esto incluye requisitos de fuentes internas (p. ej., políticas de la organización, objetivos de negocio y estrategia de gestión de riesgos) y fuentes externas (p. ej., leyes y regulaciones aplicables).
Para cumplir con SSDF PO.1 en un contexto post-despliegue usando herramientas de código abierto, el enfoque se desplaza de solo definir a:
- Mantener y aplicar las tareas PO en sistemas en producción.
- Hacer que los requisitos de las tareas sean visibles y trazables en todos los entornos desplegados.
- Auditar y actualizar métodos y procedimientos a medida que cambian las políticas internas y externas.
| Tareas | Herramientas |
|---|---|
|
PO.1.1:
Identificar y documentar todos los requisitos de seguridad para las infraestructuras y procesos de desarrollo de software de la organización, y mantener dichos requisitos a lo largo del tiempo.
PO.1.2:
Identificar y documentar todos los requisitos de seguridad que el software desarrollado por la organización debe cumplir, y mantener dichos requisitos a lo largo del tiempo. |
|
|
Open Policy Agent
Soporta definiciones de políticas de seguridad como código y las aplica en pipelines, CI/CD y en tiempo de ejecución. Aplica políticas en tiempo de ejecución mediante integraciones con Kubernetes, Terraform y plataformas CI/CD. |
|
|
InspecLog
Audita periódicamente los entornos desplegados contra estándares de seguridad internos y externos. |
|
|
Ortelius Evidence Store
Asocia y versiona metadatos de requisitos de seguridad por servicio y despliegue, habilitando visibilidad continua. |
|
|
DefectDojo
Relaciona hallazgos de seguridad con controles de políticas específicas o marcos regulatorios. |
PO.2 Implementar Roles y Responsabilidades: Asegurar que todos, dentro y fuera de la organización, involucrados en el SDLC estén preparados para desempeñar sus roles y responsabilidades relacionadas con el SDLC durante todo el ciclo de vida.
Para cumplir con SSDF PO.2 en un contexto post-despliegue usando herramientas de código abierto, el enfoque se desplaza a:
- Definir y asignar roles para quienes son responsables de la remediación y configuraciones en tiempo de ejecución.
- Mantener evidencia de qué se desplegó, quién lo desplegó y el impacto sobre todos los activos de software.
- Asegurar la seguridad y gestión de parches con acciones restringidas post-despliegue.
| Tareas | Herramientas |
|---|---|
|
PO.2.1:
Crear nuevos roles y modificar responsabilidades de roles existentes según sea necesario para abarcar todas las partes del SDLC. Revisar y mantener periódicamente los roles y responsabilidades definidos, actualizándolos según sea necesario.
PO.2.2:
Proporcionar capacitación basada en roles para todo el personal con responsabilidades que contribuyan al desarrollo seguro. Revisar periódicamente la competencia del personal y la capacitación basada en roles, y actualizar la formación según sea necesario.
PO.2.3:
Obtener el compromiso de la alta dirección o autoridad autorizante para el desarrollo seguro, y comunicar ese compromiso a todos los roles y responsabilidades relacionados con el desarrollo. |
|
|
Git
Rastrea autoría y revisores de código, etiqueta releases y documenta quién los disparó. |
|
|
Ortelius Evidence Store
Asocia servicios desplegados con individuos o equipos responsables, manteniendo un historial de cambios, despliegues y roles. |
|
|
Backstage
Lista propietarios de servicios, equipos on-call y rutas de escalamiento, haciendo transparente la responsabilidad post-despliegue en toda la organización. |
|
|
DefectDojo
Rastrea hallazgos de seguridad y asigna responsabilidades de resolución. |
|
|
Kubernetes RBAC / OPA Gatekeeper
Aplica políticas de acceso y límites de roles en entornos de ejecución. |
|
|
ArgoCD
Garantiza que solo los commits/despliegues autorizados afecten producción y registra cada promoción y rollback. |
|
|
Falco
Detecta actividad no autorizada en tiempo de ejecución. |
|
|
Prometheus + Alertmanager
Alertas basadas en propiedad/roles. |
PO.3 Implementar Cadenas de Herramientas de Soporte: Usar automatización para reducir el esfuerzo humano y mejorar la precisión, reproducibilidad, usabilidad y cobertura de las prácticas de seguridad durante todo el SDLC, así como proporcionar una forma de documentar y demostrar el uso de estas prácticas. Las cadenas de herramientas y herramientas pueden usarse en distintos niveles de la organización, como a nivel organizacional o por proyecto, y pueden abordar partes específicas del SDLC, como un pipeline de compilación.
Para cumplir con SSDF PO.3 en un contexto post-despliegue usando herramientas de código abierto, el enfoque se desplaza a:
- Asegurar que las cadenas de herramientas soporten detección de vulnerabilidades, seguimiento de SBOMs, cumplimiento y aplicación de políticas para funcionar después del despliegue.
- Mantener la seguridad, actualización e integración de las herramientas de automatización en el entorno en vivo.
- Mantener evidencia de que los outputs de la cadena de herramientas (e.g., SBOMs, reportes de escaneo) siguen siendo confiables y actuales.
| Tareas | Herramientas |
|---|---|
|
PO.3.1:
Especificar qué herramientas o tipos de herramientas deben incluirse en cada cadena de herramientas para mitigar riesgos identificados, así como cómo se integrarán los componentes entre sí.
PO.3.2:
Seguir prácticas de seguridad recomendadas para desplegar, operar y mantener herramientas y cadenas de herramientas.
PO.3.3:
Configurar herramientas para generar artefactos que respalden las prácticas de desarrollo seguro definidas por la organización. |
|
|
OWASP Dependency Track
Monitorea continuamente SBOMs para CVEs recién divulgados en el software desplegado. |
|
|
Ortelius Evidence Store
Mantiene un registro histórico de software desplegado, componentes y sus SBOMs; vincula con propietarios para responsabilidad. |
|
|
Syft
Genera SBOMs de imágenes de contenedores o sistemas de archivos desplegados bajo demanda. |
|
|
Trivy
Escaneo de vulnerabilidades post-despliegue en contenedores, sistemas de archivos y paquetes; también genera SBOMs. |
|
|
Clair
Escaneo continuo de registries de contenedores para vulnerabilidades. |
|
|
Grype
Escáner rápido de vulnerabilidades para imágenes de contenedores y sistemas de archivos. |
|
|
In-Toto
Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción. |
|
|
Sigstore Cosign
Verifica firmas de artefactos desplegados; asegura que coincidan con builds aprobados. |
|
|
Sigstore Rekor
Proporciona un registro público e inmutable para firmas y datos de procedencia. |
|
|
Open Policy Agent
Aplica políticas de seguridad y cumplimiento en sistemas desplegados (e.g., clusters de Kubernetes). |
|
|
Inspec
Audita la infraestructura y aplicaciones desplegadas contra líneas base de seguridad y requisitos de cumplimiento. |
|
|
The Hive
Plataforma de respuesta a incidentes para eventos de seguridad post-despliegue. |
|
|
Konflux-ci software factory for Tekton
Implementa el framework In-toto usando pipelines-as-code para validación de seguridad de la cadena de suministro. |
|
|
DefectDojo
Rastrea vulnerabilidades y asigna tareas de remediación; integra con escáneres para actualizaciones continuas. |
PO.4 Definir y Usar Criterios para Revisiones de Seguridad del Software: Ayuda a garantizar que el software resultante del SDLC cumpla con las expectativas de la organización al definir y usar criterios para verificar la seguridad del software durante el desarrollo.
Para cumplir con SSDF PO.4 en un contexto post-despliegue usando herramientas de código abierto, el enfoque se desplaza a:
-
Asegurarse de que los datos de seguridad continúen recopilándose después del lanzamiento.
-
Que los logs, SBOMs y resultados de escaneos se conserven y sean resistentes a manipulaciones.
-
Proteger los datos para evitar accesos o modificaciones no autorizadas.
-
Que los datos sean recuperables para auditorías, investigaciones y verificaciones de cumplimiento.
| Tareas | Herramientas |
|---|---|
|
PO.4.1:
Definir criterios para revisiones de seguridad del software y darles seguimiento durante todo el SDLC.
PO.4.2:
Implementar procesos, mecanismos, etc., para recopilar y proteger la información necesaria en apoyo de los criterios. |
|
|
Falco
Detección de seguridad en tiempo de ejecución para contenedores y hosts; genera logs de eventos para comportamientos sospechosos. |
|
|
AuditD
Captura eventos de seguridad a nivel de sistema en Linux. |
|
|
OSQuery
Telemetría de endpoints y monitoreo de configuración. |
|
|
Prometheus y Loki
Recopila y almacena métricas y logs en un formato consultable. |
|
|
Ortelius Evidence Store
Mantiene SBOMs versionadas vinculadas a cada despliegue. |
|
|
Syft
Genera SBOMs a partir de artefactos desplegados para monitoreo continuo. |
|
|
OpenSCAP
Recopila y almacena datos de escaneos de cumplimiento. |
|
|
Wazuh SIEM
SIEM con registro de auditoría, detección de amenazas y monitoreo de cumplimiento. |
|
|
Grype
Detecta vulnerabilidades CVE en imágenes y sistemas de archivos desplegados. |
|
|
In-Toto
Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción. |
|
|
Sigstore Rekor
Proporciona un registro público e inmutable para firmas y datos de procedencia. |
|
|
Inspec
Audita infraestructura y aplicaciones desplegadas contra estándares de seguridad y cumplimiento. |
|
|
Trivy
Escaneo continuo de vulnerabilidades y generación de SBOM para sistemas en ejecución. |
|
|
DefectDojo
Almacena y organiza resultados de escaneos de seguridad; integra con Trivy, Grype y Dependency-Track. |
PO.5 Implementar y Mantener Entornos Seguros para el Desarrollo de Software: Asegurar que todos los componentes de los entornos de desarrollo estén fuertemente protegidos contra amenazas internas y externas para prevenir compromisos del entorno o del software desarrollado o mantenido en ellos. Ejemplos de entornos incluyen desarrollo, construcción, prueba y distribución.
Para cumplir con SSDF PO.5 en un contexto post-despliegue usando herramientas de código abierto, el enfoque se desplaza a:
-
Los requisitos de seguridad de la infraestructura de desarrollo siguen siendo relevantes y aplicables después del lanzamiento del software.
-
Los entornos de construcción, despliegue y monitoreo permanecen endurecidos y conformes.
-
Se valida continuamente que la infraestructura de desarrollo no se haya desviado de su línea base segura.
| Tareas | Herramientas |
|---|---|
|
PO.5.1:
Separar y proteger cada entorno involucrado en el desarrollo de software.
PO.5.2:
Proteger y reforzar los endpoints de desarrollo (diseñadores, desarrolladores, testers, constructores, etc.) para realizar tareas relacionadas con el desarrollo usando un enfoque basado en riesgos. |
|
|
Inspec
Ejecuta escaneos de cumplimiento continuos en servidores de desarrollo y construcción; aplica benchmarks CIS/NIST. |
|
|
OpenSCAP
Verifica la infraestructura contra estándares de seguridad definidos. |
|
|
OSQuery
Monitorea nodos de construcción y despliegue en busca de cambios no autorizados. |
|
|
Kube-bench
Valida que clusters de Kubernetes para construcción/pruebas cumplan benchmarks CIS. |
|
|
Open Policy Agent - GateKeeper
Aplica reglas para la configuración de infraestructura (Kubernetes, Terraform, CI/CD). |
|
|
Kyverno
Aplicación de políticas nativas de Kubernetes para la seguridad del cluster. |
|
|
Jenkins
Endurece pipelines CI/CD con controles de acceso y logs de auditoría. |
|
|
Nexus Repository OSS
Almacena artefactos de construcción de forma segura post-despliegue; aplica controles de acceso. |
|
|
Harbor
Registro de contenedores con escaneo de vulnerabilidades y RBAC incorporados. |
|
|
Wazuh SIEM
Ingesta logs de seguridad de infraestructura y alerta sobre violaciones. |
|
|
Falco
Detecta actividad no autorizada en clusters o nodos de construcción/despliegue. |
|
|
Prometheus + Alertmanager
Monitorea métricas de seguridad y genera notificaciones ante incidentes. |
|
|
In-Toto
Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción. |
|
|
Sigstore Rekor
Mantiene un registro inmutable y a prueba de manipulaciones de archivos de configuración firmados. |