3.4 Responder a Vulnerabilidades (RV)
3.4 Responder a Vulnerabilidades (RV) Tareas posteriores al despliegue
Responder a Vulnerabilidades (RV): Las organizaciones deben identificar vulnerabilidades residuales en sus versiones de software y responder de manera adecuada para abordarlas y prevenir que ocurran nuevamente en el futuro.
RV.1
Identificar y confirmar vulnerabilidades de forma continua: Ayudar a garantizar que las vulnerabilidades se identifiquen más rápidamente para que puedan ser remediadas con mayor rapidez de acuerdo con el riesgo, reduciendo la ventana de oportunidad para los atacantes.
Para cumplir con SSDF RV.1 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Escaneo continuo de entornos en vivo para detectar nuevas vulnerabilidades
-
Correlación de vulnerabilidades detectadas con componentes desplegados y datos SBOM
-
Validación de si las vulnerabilidades son explotables en el entorno específico
-
Priorización de la remediación según severidad, explotabilidad e impacto operativo
| Tareas | Herramientas |
|---|---|
|
RV.1.1:
Recopilar información de adquirentes de software, usuarios y fuentes públicas sobre posibles vulnerabilidades en el software y componentes de terceros, e investigar todos los reportes creíbles.
RV.1.2:
Revisar, analizar y/o probar el código del software para identificar o confirmar la presencia de vulnerabilidades previamente no detectadas.
RV.1.3:
Contar con una política de divulgación y remediación de vulnerabilidades, e implementar los roles, responsabilidades y procesos necesarios para dar soporte a dicha política. |
|
|
OWASP Dependency Track
Se integra con SBOMs en vivo para detectar y alertar vulnerabilidades después del despliegue. |
|
|
Ortelius
Vincula las vulnerabilidades detectadas directamente con versiones desplegadas del servicio para trazabilidad. |
|
|
DefectDojo
Centro de gestión de vulnerabilidades con métricas y seguimiento. |
|
|
Trivy
Identifica vulnerabilidades en imágenes ya desplegadas en entornos Kubernetes o Docker. |
|
|
Grype
Funciona con SBOMs generados por Syft para comprobar continuamente nuevos CVEs. |
|
|
OpenSCAP
Proporciona escaneos programados de cumplimiento junto con escaneos de vulnerabilidades. |
|
|
VEX (Vulnerability Exploitability eXchange) + OpenVEX
Ayuda a los equipos a priorizar la remediación filtrando vulnerabilidades no explotables. |
|
|
Syft
Genera SBOMs en vivo para ser consumidos por herramientas como Dependency-Track o Grype. |
|
|
Hoppr
Kit de herramientas de cadena de suministro y SBOM que permite gestionar y mover artefactos de procedencia. |
RV.2
Evaluar, priorizar y remediar vulnerabilidades: Ayudar a garantizar que las vulnerabilidades sean remediadas de acuerdo con el riesgo para reducir la ventana de oportunidad para los atacantes.
Para cumplir con SSDF RV.2 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Determinar qué vulnerabilidades son más relevantes en el entorno desplegado
-
Usar explotabilidad, impacto de negocio y requisitos de cumplimiento para la priorización
-
Ejecutar acciones de remediación o mitigación de manera oportuna en entornos en vivo
-
Rastrear el estado de remediación hasta su cierre con registros auditables
| Tareas | Herramientas |
|---|---|
|
RV.2.1:
Analizar cada vulnerabilidad para obtener suficiente información de riesgo para planificar su remediación u otra respuesta de riesgo.
RV.2.2:
Planificar e implementar respuestas de riesgo para vulnerabilidades. |
|
|
DefectDojo
Centraliza la puntuación de riesgo, la gestión de flujos de trabajo y el seguimiento del progreso de remediación. |
|
|
OWASP Dependency Track
Proporciona priorización de vulnerabilidades en tiempo real e integración con sistemas de seguimiento de issues. |
|
|
Ortelius
Permite priorización y evaluación de impacto de vulnerabilidades según el entorno desplegado. |
|
|
Jenkins + OPA (Open Policy Agent)
Aplicación de SLAs de remediación y automatización del despliegue de versiones corregidas. |
|
|
Trivy + Grype
Escaneo continuo e integración con CI/CD para promover artefactos parcheados. |
|
|
GitHub/GitLab Issues + bots de automatización
Asegura que ninguna vulnerabilidad quede sin una acción de remediación rastreada. |
|
|
Kube-bench + Falco (seguridad en runtime)
Proporciona señales en tiempo real para priorizar correcciones de seguridad operativa. |
RV.3
Analizar vulnerabilidades para identificar sus causas raíz: Ayudar a reducir la frecuencia de vulnerabilidades en el futuro.
Para cumplir con SSDF RV.3 en un contexto posterior al despliegue usando herramientas de código abierto, el enfoque cambia a:
-
Determinar si la vulnerabilidad se originó en el código, dependencias, procesos de build o configuraciones de despliegue
-
Documentar lecciones aprendidas para evitar recurrencias
-
Retroalimentar los resultados hacia los requisitos de seguridad, pipelines y capacitación de desarrolladores
| Tareas | Herramientas |
|---|---|
|
RV.3.1:
Analizar las vulnerabilidades identificadas para determinar sus causas raíz.
RV.3.2:
Analizar las causas raíz a lo largo del tiempo para identificar patrones, como la falta de adopción consistente de prácticas seguras de codificación.
RV.3.3:
Revisar el software para vulnerabilidades similares y eliminar clases completas de vulnerabilidades de forma proactiva, en lugar de esperar reportes externos.
RV.3.4:
Revisar el proceso SDLC y actualizarlo si es necesario para evitar la recurrencia de la causa raíz en futuras versiones del software o en nuevo desarrollo. |
|
|
Ortelius
Soporta análisis forense rastreando cuándo y dónde un componente vulnerable ingresó al sistema. |
|
|
DefectDojo
Mantiene datos históricos para identificar tendencias en el origen de vulnerabilidades. |
|
|
GitHub
Soporta trazabilidad forense y análisis de responsabilidad en la causa raíz. |
|
|
Syft + OWASP Dependency Track
Permite análisis de diferencias de SBOM para investigaciones de causa raíz. |
|
|
Semgrep
Ayuda a determinar si las vulnerabilidades provienen de problemas a nivel de código. |
|
|
OpenSCAP
Permite mapear la causa raíz hacia debilidades de configuración del sistema. |
|
|
Trivy + Grype
Proporciona contexto temporal para análisis de líneas de tiempo de la causa raíz. |
|
|
osquery
Soporta inspección profunda durante análisis forense de vulnerabilidades. |