Política de Ciclo de Vida de Desarrollo de Software Seguro

[ORGANIZACION] deberá integrar actividades de seguridad en cada fase del ciclo de vida de desarrollo de software: Requisitos (requisitos de seguridad, modelado de amenazas), Diseño (revisión de arquitectura segura, patrones de diseño de seguridad), Desarrollo (estándares de codificación segura, revisión de código por pares), Pruebas (pruebas de seguridad, escaneo de vulnerabilidades), Implementación (procedimientos de implementación segura, revisión de configuración) y Mantenimiento (gestión de parches, monitoreo continuo).

Se deberá documentar un proceso de SDLC seguro y comunicarlo a todos los equipos de desarrollo.

Los requisitos de seguridad deberán definirse para cada aplicación basándose en la clasificación de datos y la evaluación de riesgos.

Los desarrolladores deberán seguir estándares documentados de codificación segura basados en OWASP, CERT o guías equivalentes para su lenguaje de programación.

El código deberá desarrollarse para prevenir clases comunes de vulnerabilidades incluyendo: ataques de inyección (SQL, comandos, LDAP), scripting entre sitios (XSS), falsificación de solicitudes entre sitios (CSRF), deserialización insegura, autenticación rota y exposición de datos sensibles.

Las bibliotecas y componentes de terceros deberán rastrearse en una lista de materiales de software (SBOM) y monitorearse para vulnerabilidades conocidas.

Las credenciales codificadas de forma fija, claves API y secretos están prohibidos en el código fuente. Los secretos deberán gestionarse a través de soluciones aprobadas de gestión de secretos.

Las Pruebas de Seguridad de Aplicaciones Estáticas (SAST) deberán integrarse en el pipeline CI/CD y realizarse en todo el código antes de fusionarlo con la rama principal.

Las Pruebas de Seguridad de Aplicaciones Dinámicas (DAST) deberán realizarse en todas las aplicaciones web al menos [PERSONALIZAR: trimestral/mensualmente] y antes de cada lanzamiento importante.

El análisis de composición de software (SCA) deberá utilizarse para identificar vulnerabilidades en componentes y bibliotecas de terceros.

Las pruebas de penetración deberán realizarse en las aplicaciones críticas al menos [PERSONALIZAR: anualmente] por evaluadores calificados.

Las vulnerabilidades de seguridad identificadas a través de las pruebas deberán remediarse de acuerdo con los SLA de la Política de Gestión de Vulnerabilidades.

Las implementaciones en producción deberán seguir un proceso documentado y repetible utilizando automatización CI/CD cuando sea factible.

Los desarrolladores no deberán tener acceso directo a los entornos de producción. La implementación deberá realizarse a través de pipelines automatizados o por personal de operaciones designado.

Los entornos de producción deberán estar separados de los entornos de desarrollo, pruebas y aceptación sin credenciales compartidas.

Los procedimientos de reversión de implementaciones deberán documentarse y probarse para cada aplicación crítica.