Establecer y Gestionar un Inventario de Componentes de Software de Terceros
Descripción
Establecer y gestionar un inventario actualizado de componentes de terceros utilizados en el desarrollo, frecuentemente denominado "lista de materiales", así como componentes previstos para uso futuro. Este inventario debe incluir cualquier riesgo que cada componente de terceros pueda representar. Evaluar la lista al menos mensualmente para identificar cualquier cambio o actualización de estos componentes, y validar que el componente aún tenga soporte.
Lista de Verificación de Implementación
Herramientas Recomendadas
Seguridad de aplicaciones orientada al desarrollador con SCA, escaneo de contenedores, seguridad de IaC y SAST integrados en CI/CD
Snyk · Suscripción por desarrollador
Suite de pruebas de seguridad de aplicaciones con SAST (Coverity), SCA (Black Duck) y DAST para AppSec integral
Synopsys · Suscripción por desarrollador
Plataforma de seguridad de aplicaciones nativa en la nube con SAST, SCA, DAST, seguridad de API y pruebas de seguridad de cadena de suministro
Checkmarx · Suscripción por desarrollador
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Ataque de Cadena de Suministro mediante Biblioteca de Terceros Comprometida
IntegridadUna biblioteca de terceros ampliamente usada incluida en la aplicación es comprometida por un atacante que inyecta código malicioso en una actualización, y la organización no se da cuenta porque no tiene inventario de componentes de terceros.
Vulnerabilidad Conocida en Dependencia No Rastreada Explotada
ConfidencialidadSe publica un CVE crítico para un componente de código abierto comúnmente usado, pero la organización no puede determinar qué aplicaciones están afectadas porque no existe una lista de materiales de software.
Componente al Final de su Vida Útil Permanece en Aplicación de Producción
IntegridadUna biblioteca de terceros usada en una aplicación de producción alcanza el final de su vida útil y deja de recibir parches de seguridad, pero esto pasa desapercibido porque ningún inventario rastrea el estado de soporte de componentes.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Lista de Materiales de Software (SBOM)
Sin un inventario de componentes de terceros, la organización no puede identificar qué aplicaciones usan bibliotecas vulnerables o comprometidas cuando se divulgan nuevas amenazas.
Riesgos de Componentes de Terceros No Rastreados
La ausencia de un inventario mantenido de componentes significa que los riesgos asociados con cada dependencia como vulnerabilidades conocidas, problemas de licencias y estado de soporte no se evalúan ni monitorean.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |