Implementar Verificaciones de Seguridad a Nivel de Código
Descripción
Aplicar herramientas de análisis estático y dinámico dentro del ciclo de vida de la aplicación para verificar que se sigan prácticas de codificación segura.
Lista de Verificación de Implementación
Herramientas Recomendadas
Plataforma de seguridad de aplicaciones con SAST, DAST, SCA y capacitación de desarrolladores para desarrollo seguro de software
Veracode · Suscripción por aplicación
Plataforma de seguridad de aplicaciones nativa en la nube con SAST, SCA, DAST, seguridad de API y pruebas de seguridad de cadena de suministro
Checkmarx · Suscripción por desarrollador
Suite de pruebas de seguridad de aplicaciones con SAST (Coverity), SCA (Black Duck) y DAST para AppSec integral
Synopsys · Suscripción por desarrollador
Seguridad de aplicaciones orientada al desarrollador con SCA, escaneo de contenedores, seguridad de IaC y SAST integrados en CI/CD
Snyk · Suscripción por desarrollador
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Vulnerabilidad Desplegada a Producción Sin Detección
IntegridadUna vulnerabilidad de cross-site scripting se introduce en un cambio de código y se despliega a producción porque ninguna herramienta de análisis estático ni dinámico está integrada en el pipeline CI/CD para detectarla antes del lanzamiento.
Secretos Codificados Comprometidos al Repositorio de Código Fuente
ConfidencialidadUn desarrollador compromete claves API y credenciales de base de datos directamente en el código fuente, y se envían a un repositorio compartido sin detección porque ningún análisis estático escanea en busca de secretos embebidos.
Falla de Lógica de Negocio Omitida Sin Pruebas Dinámicas
ConfidencialidadUna vulnerabilidad compleja de evasión de autorización existe en una aplicación en ejecución pero es indetectable solo a través de revisión de código, y ninguna herramienta de análisis dinámico prueba la aplicación en ejecución para descubrirla.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Análisis de Seguridad Automatizado en el Pipeline de Desarrollo
Sin herramientas SAST y DAST integradas en el ciclo de vida de la aplicación, las vulnerabilidades de seguridad en código y aplicaciones en ejecución no se detectan sistemáticamente antes del despliegue a producción.
Revisión de Código Solo Manual para Seguridad
La dependencia solo en la revisión manual de código sin herramientas automatizadas de análisis estático y dinámico significa que la cobertura es inconsistente y los patrones comunes de vulnerabilidad se omiten frecuentemente.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |