Establecer y Mantener un Proceso de Desarrollo Seguro de Aplicaciones
Descripción
Establecer y mantener un proceso de desarrollo seguro de aplicaciones. En el proceso, abordar elementos como: estándares de diseño seguro de aplicaciones, prácticas de codificación segura, capacitación de desarrolladores, gestión de vulnerabilidades, seguridad de código de terceros y procedimientos de pruebas de seguridad de aplicaciones. Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de seguridad de aplicaciones con SAST, DAST, SCA y capacitación de desarrolladores para desarrollo seguro de software
Veracode · Suscripción por aplicación
Plataforma de seguridad de aplicaciones nativa en la nube con SAST, SCA, DAST, seguridad de API y pruebas de seguridad de cadena de suministro
Checkmarx · Suscripción por desarrollador
Suite de pruebas de seguridad de aplicaciones con SAST (Coverity), SCA (Black Duck) y DAST para AppSec integral
Synopsys · Suscripción por desarrollador
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Fallas de Seguridad Sistémicas en Aplicaciones Desarrolladas Internamente
IntegridadMúltiples aplicaciones desarrolladas internamente contienen las mismas categorías de vulnerabilidades como fallas de inyección y autenticación rota porque ningún proceso de desarrollo seguro define estándares de codificación ni requisitos de seguridad.
Código de Terceros Vulnerable Integrado Sin Revisión
IntegridadLos desarrolladores incorporan bibliotecas de código abierto con vulnerabilidades críticas conocidas en aplicaciones de producción porque el proceso de desarrollo no tiene requisitos para verificar la seguridad del código de terceros.
Seguridad Evadida para Cumplir Plazos de Lanzamiento
ConfidencialidadLas aplicaciones se envían a producción sin ninguna prueba de seguridad porque ningún proceso formal de desarrollo seguro exige puertas de seguridad en el pipeline de lanzamiento.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Ciclo de Vida de Desarrollo de Software Seguro (SSDLC)
Sin un proceso de desarrollo seguro, no hay estándares definidos para diseño seguro, prácticas de codificación, gestión de vulnerabilidades ni pruebas de seguridad, resultando en aplicaciones con debilidades de seguridad sistémicas.
Sin Requisitos de Seguridad en el Pipeline de Desarrollo
La ausencia de un proceso formalizado significa que las pruebas de seguridad, la revisión de código y la evaluación de vulnerabilidades no son etapas requeridas en el ciclo de vida de lanzamiento de software.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |