Crear nuevos roles y modificar las responsabilidades de los roles existentes según sea necesario para abarcar todas las partes del SDLC. Revisar y mantener periódicamente los roles y responsabilidades definidos, actualizándolos según se requiera.

Designar un grupo de individuos como propietarios del código para cada proyecto y revisar la lista anualmente.

GitHub CODEOWNERS

GitHub CODEOWNERS es una función del repositorio que permite a los equipos definir formalmente quién es responsable de qué partes del código y quién debe revisar los cambios antes de que se fusionen.

GitLab CODEOWNERS

GitLab CODEOWNERS es una función del repositorio que permite a los equipos definir formalmente quién es responsable de qué partes del código y quién debe revisar los cambios antes de que se fusionen.

Backstage Software Templates

Backstage Software Templates es un mecanismo de scaffolding y estandarización que ayuda a los equipos a crear nuevos servicios, pipelines e infraestructura de manera consistente y conforme. Permite a los equipos de plataforma definir rutas óptimas para crear componentes de software. Una plantilla captura buenas prácticas, herramientas requeridas y estándares organizacionales, generando automáticamente repositorios, configuraciones y documentación.

Konflux-ci software factory for Tekton

La fábrica de software Konflux para Tekton es un sistema CI seguro y estandarizado que se apoya en Tekton para convertir pipelines en una fábrica confiable de la cadena de suministro de software. Konflux añade una capa que garantiza cómo deben ejecutarse los pipelines para que sus resultados sean confiables. Implementa el framework in-toto.

CDF CDEvents

CDEvents es una especificación común para eventos de entrega continua, permitiendo interoperabilidad en todo el ecosistema de producción de software.

Jenkins Jenkinsfile

Un Jenkinsfile de Jenkins es una definición declarativa o scriptada de un pipeline CI/CD, escrita como código y almacenada en un repositorio de origen. Describe cómo se construye, prueba, escanea, empaqueta y despliega el software. Al residir junto al código de la aplicación, permite pipelines-as-code—automatización versionada, revisable y auditable.

GitHub Actions (.github/workflows)

El directorio .github/workflows de GitHub Actions es el lugar central donde se define la automatización CI/CD como código para un repositorio GitHub. Contiene archivos YAML que describen workflows, cuándo deben ejecutarse y qué jobs y pasos se realizan ante eventos del repositorio.

GitLab CI/CD (.gitlab-ci.yml)

El archivo .gitlab-ci.yml de GitLab CI/CD es la definición única y autorizada de un pipeline que indica cómo GitLab debe construir, probar, asegurar y desplegar una aplicación. Es un archivo YAML basado en pipelines-as-code ubicado en la raíz del repositorio, definiendo jobs, orden y condiciones cuando hay cambios de código.

Spinnaker Dinghy

Spinnaker Dinghy es un servicio de configuración como código que permite a los equipos definir y gestionar pipelines de despliegue de Spinnaker usando Git en lugar de la interfaz. Los pipelines se escriben como JSON o YAML y se sincronizan automáticamente al hacer commit.

Argo CD

Argo CD es una herramienta GitOps de entrega continua para Kubernetes que despliega automáticamente y mantiene las aplicaciones sincronizadas con lo declarado en Git. Trata a Git como la única fuente de verdad.

Tekton Pipelines-as-Code

Tekton Pipelines-as-Code es una forma basada en Git de definir y ejecutar pipelines Tekton CI/CD directamente desde pull requests, tratando los pipelines como artefactos de código de primera clase.

OpenTofu

OpenTofu es una herramienta open-source de Infrastructure as Code (IaC) usada para definir, provisionar y gestionar infraestructura cloud y on-prem mediante archivos de configuración declarativos.

Konflux-ci

Konflux es una plataforma CI open-source y cloud-native diseñada para producir artefactos de software confiables, reproducibles y verificables, priorizando integridad, procedencia y repetibilidad, ideal para entornos regulados y críticos.

Python: pylock.toml (preferido, estándar más reciente)

• uv — usa pylock.toml
• conda-lock — reproducible, menos estándar
• pip freeze — no completamente reproducible

JavaScript:

• package-lock.json — usar con npm ci
• yarn.lock

Java / Kotlin / Groovy: Maven, Gradle

C# / .NET: Archivos lock de NuGet , DotNet.ReproducibleBuilds

C++: Bazel

Rust: Cargo

Golang: Go reproducible builds

PHP Composer

Composer es el gestor de dependencias estándar para PHP, usado para declarar, instalar y gestionar librerías de terceros requeridas por una aplicación PHP. Permite definir qué paquetes requiere el proyecto y automáticamente resuelve, descarga e instala las versiones correctas, asegurando consistencia en todos los entornos.

SLSA Framework

El framework SLSA (Supply-chain Levels for Software Artifacts) es un marco de seguridad que define cómo construir software de forma verificable, resistente a manipulaciones y confiable.

GitHub Issues

GitHub Issues es un sistema integrado de seguimiento usado para gestionar trabajo, errores, solicitudes de funcionalidades y discusiones directamente en un repositorio GitHub.

GitLab work tracking

GitLab Work Tracking es el sistema integrado de GitLab para planificar, rastrear y gestionar trabajo—desde ideas y requerimientos hasta código, correcciones de seguridad y entrega.

Bugzilla

Bugzilla es un sistema open-source de seguimiento de errores y gestión de incidencias usado para reportar, rastrear y gestionar defectos de software y solicitudes de mejora durante todo el ciclo de desarrollo.

Redmine

Redmine es una herramienta open-source de gestión de proyectos y seguimiento de incidencias usada por equipos de software para planificar trabajo, rastrear bugs y tareas, y gestionar proyectos en el tiempo.

Mantis Bug Tracker

Mantis Bug Tracker (o MantisBT) es un sistema open-source basado en web para seguimiento de errores e incidencias, diseñado para ser simple, rápido y ligero.

Trac

Trac es un sistema open-source basado en web de gestión de proyectos y seguimiento de incidencias que integra tickets, wiki y navegación de código. Es conocido por ser ligero, centrado en texto y amigable para desarrolladores.

in-toto framework

in-toto es un framework open-source para asegurar la cadena de suministro de software registrando y verificando criptográficamente cada paso de cómo se construye, prueba y libera el software.

Plantillas de Issues de GitHub

Las Plantillas de Issues de GitHub son formularios y guías predefinidos que aparecen cuando alguien crea un nuevo issue en un repositorio. Ayudan a los equipos a recopilar información consistente y de alta calidad para errores, solicitudes de funcionalidades, problemas de seguridad o preguntas.

Plantillas de Descripción de GitLab

Las Plantillas de Descripción de GitLab son plantillas Markdown predefinidas que se completan automáticamente en el campo de descripción cuando alguien crea un Issue, Merge Request (MR) o Epic en GitLab.

GitHub

Registros de Auditoría

GitLab

Registros de Auditoría

GitHub

• Roles en una Organización
• Roles de Repositorio en GitHub

GitLab

• Roles y Permisos

Separar y proteger cada entorno involucrado en el desarrollo de software.

Requerir autenticación multifactor, claves SSH, commits firmados y aprobaciones de cambios de código para los repositorios de código a nivel de organización.

Configuraciones de Organización en GitHub

• Requerir autenticación multifactor
• Requerir commits firmados
• Requerir aprobaciones de cambios de código y proteger la rama principal

GitLab

• Requerir autenticación multifactor
• Requerir commits firmados mediante reglas de push
• Requerir aprobaciones de cambios de código protegiendo la rama principal

Almacenar todas las formas de código – incluyendo código fuente, código ejecutable y configuración-como-código – basándose en el principio de menor privilegio para que solo el personal, herramientas, servicios, etc. autorizados tengan acceso.

Almacenar todo el código fuente y la configuración-como-código en un repositorio de código, y restringir el acceso según la naturaleza del código. Por ejemplo, el código abierto destinado al acceso público puede requerir protección de integridad y disponibilidad; otro código puede también necesitar protección de confidencialidad.

Proporciona un repositorio centralizado de código fuente con control de acceso, auditoría y cumplimiento de flujos de trabajo, apoyando prácticas SSDF para la gestión segura de código y control de cambios.

Ofrece control de versiones integrado, CI/CD y flujos de trabajo de seguridad que permiten gobernanza, trazabilidad y procesos de desarrollo seguros alineados con SSDF.

Apoya SSDF gestionando el código fuente con acceso basado en roles, opciones de integridad de commits y flujos de revisión obligatorios.

Aloja y distribuye proyectos de código abierto con control de versiones y gestión de releases, apoyando requisitos SSDF para procedencia y transparencia del código.

Proporciona control de versiones centralizado permitiendo prácticas SSDF para seguimiento de cambios, auditoría y acceso controlado al código fuente.

Permite historial inmutable, trazabilidad y flujos de desarrollo distribuidos, fundamentales para la integridad y responsabilidad del código en SSDF.

Ofrece hosting de repositorios Git con control de acceso y funciones de colaboración que apoyan la gobernanza segura de SSDF.

Proporciona repositorios Git ligeros y autoalojados que cumplen con los requisitos SSDF de gestión controlada del código y auditabilidad.

Refuerza el cumplimiento de SSDF aplicando políticas criptográficas y metadatos de confianza verificables sobre repositorios y flujos de trabajo Git.

Garantiza la integridad del código alineada con SSDF verificando criptográficamente la identidad de los autores de los commits.

Permite la verificación de artefactos y commits alineada con SSDF mediante firmas criptográficas auditable y registros de transparencia sin claves.

Aplica la separación de roles y responsabilidad SSDF exigiendo que los propietarios designados revisen y aprueben los cambios de código.

Apoya el desarrollo seguro SSDF haciendo cumplir revisiones por pares, comprobaciones de políticas y puertas de aprobación antes de integrar código.

Implementa la asignación de responsabilidades SSDF enviando automáticamente los cambios a los revisores responsables.

Establece estándares de revisión alineados con SSDF que reducen defectos y riesgos de seguridad antes de fusionar el código.

Hacer que la información de verificación de integridad del software esté disponible para los adquirentes de software.

Publicar hashes criptográficos de los archivos de lanzamiento en un sitio web seguro.

Apoya SSDF asegurando que los lanzamientos de software de Apache estén firmados criptográficamente y sean verificables, estableciendo un origen confiable y protegiendo contra artefactos de distribución manipulados.

Proporciona mecanismos criptográficos alineados con SSDF para firmar y verificar código y artefactos, garantizando autenticidad, integridad y no repudio.

Implementa los estándares OpenPGP para habilitar prácticas SSDF al firmar código fuente, commits y lanzamientos con identidad verificable del desarrollador.

Apoya la entrega segura alineada con SSDF al emitir certificados TLS gratuitos y automáticos que protegen los canales de distribución de software y los servicios del desarrollador contra interceptaciones y manipulaciones.

Permite cumplir con SSDF proporcionando una PKI de código abierto para gestionar certificados usados para autenticar desarrolladores, sistemas y artefactos de software.

Apoya los requisitos de confianza e identidad de SSDF al emitir y gestionar certificados digitales para la firma segura de software y la autenticación de infraestructura.

Proporciona gestión del ciclo de vida de certificados alineada con SSDF para establecer, auditar y aplicar confianza en las canalizaciones de desarrollo y liberación de software.

Habilita la automatización de identidad criptográfica según SSDF mediante la emisión de certificados de corta duración para desarrolladores, sistemas CI/CD y flujos de trabajo de firma de software.

Aplica control de acceso basado en roles según SSDF restringiendo quién puede ver, modificar o administrar los repositorios de código fuente.

Soporta la gobernanza SSDF definiendo roles granulares que aplican el principio de mínimo privilegio y separación de funciones a lo largo del SDLC.

Implementa controles organizacionales SSDF estandarizando los niveles de permisos entre equipos y repositorios.

Implementa controles organizacionales SSDF estandarizando los niveles de permisos entre equipos y repositorios.

Extiende los controles SSDF más allá del código fuente al aplicar acceso, trazabilidad y responsabilidad sobre software desplegado, SBOMs y metadatos del entorno en vivo mediante un gemelo digital centrado en despliegue.

Soporta SSDF generando y manteniendo automáticamente SBOMs precisos que mejoran la visibilidad de componentes y la trazabilidad de vulnerabilidades en todo el SDLC.

Permite la transparencia de componentes alineada con SSDF proporcionando un formato de SBOM estandarizado optimizado para seguridad, integridad y análisis de riesgos.

Apoyan las prácticas SSDF identificando de forma única los componentes de software instalados para permitir inventario de activos, rastreo de procedencia y correlación de vulnerabilidades.

Proporciona un estándar compatible con SSDF para documentar componentes de software, licencias y relaciones, apoyando la transparencia y cumplimiento en la cadena de suministro.

Soporta el consumo de SBOMs SSDF validando, consultando y gestionando SBOMs a lo largo de los flujos de trabajo de construcción y liberación.

Permite la detección de vulnerabilidades SSDF identificando CVEs conocidos en dependencias de terceros durante el desarrollo y la construcción.

Soporta la gestión de riesgos SSDF analizando continuamente SBOMs para monitorear vulnerabilidades de componentes y cumplimiento de políticas.

Contribuye a SSDF escaneando imágenes de contenedores para detectar vulnerabilidades conocidas antes del despliegue.

Soporta prácticas de construcción segura SSDF detectando vulnerabilidades conocidas en imágenes de contenedores y sistemas de archivos usando datos de SBOM.

Extiende SSDF más allá del tiempo de construcción correlacionando y agregando SBOMs, vulnerabilidades y metadatos de despliegue para identificar qué entornos en vivo están realmente en riesgo.

Soporta la interoperabilidad SSDF proporcionando bibliotecas y herramientas reutilizables para generar y transformar SBOMs entre formatos.

Permite el descubrimiento de componentes SSDF generando SBOMs a partir de código fuente, contenedores y artefactos en ejecución.

Soporta el intercambio y descubrimiento de SBOMs SSDF permitiendo la distribución segura y recuperación de artefactos SBOM.

Contribuye a la transparencia SSDF analizando imágenes de contenedores para producir inventarios detallados de componentes y SBOMs.

Soporta el desarrollo seguro SSDF escaneando vulnerabilidades, configuraciones incorrectas y secretos expuestos en código y artefactos.

Permite la validación de cumplimiento SSDF verificando la integridad y autenticidad de artefactos de código abierto.

Soporta la procedencia SSDF permitiendo la firma criptográficamente verificable de artefactos y SBOMs con registros de transparencia.

Contribuye a la confianza SSDF proporcionando prueba criptográfica de integridad de datos para metadatos de seguridad y dependencias obtenidos externamente.

Permite la automatización SSDF integrando controles de seguridad, generación de SBOMs y cumplimiento de políticas directamente en los flujos de trabajo de CI.

Soporta pipelines seguras SSDF integrando controles de construcción, prueba, escaneo y liberación dentro de un sistema CI/CD gobernado.

Servidor de automatización totalmente open-source, bajo licencia MIT, con un ecosistema extensible de plugins, ampliamente usado para implementar controles de seguridad CI/CD alineados a SSDF.

Soporta la remediación SSDF automatizando actualizaciones de dependencias, configuraciones y políticas de manera controlada y auditable.

Permite el mantenimiento seguro SSDF actualizando automáticamente dependencias vulnerables mientras se preservan los controles de revisión y aprobación.

Usar formas de modelado de riesgos —como modelado de amenazas, modelado de ataques o mapeo de superficie de ataque— para ayudar a evaluar el riesgo de seguridad del software.

Rastrear y mantener los requisitos de seguridad, los riesgos y las decisiones de diseño del software.

Cuando sea apropiado, incorporar soporte para el uso de funciones y servicios de seguridad estandarizados (por ejemplo, permitir que el software se integre con sistemas existentes de gestión de registros, gestión de identidades, control de acceso y gestión de vulnerabilidades) en lugar de crear implementaciones propietarias de funciones y servicios de seguridad.

Se utiliza antes de programar para documentar los componentes del sistema, los flujos de datos y los límites de confianza, y luego enumerar amenazas y requisitos.

Ayuda a definir los requisitos de seguridad al identificar dependencias externas conocidas, APIs o servicios con los que el código interactuará, lo que informa el modelado de amenazas y el diseño seguro.

Ayuda a los equipos de seguridad y a los desarrolladores a capturar, gestionar y rastrear los requisitos de seguridad desde el diseño inicial hasta el desarrollo, asegurando la alineación de seguridad en la fase prebuild.

Permite el “modelado de amenazas como código” en la fase prebuild, de modo que los requisitos de seguridad puedan automatizarse y controlarse en versión junto con el código de la aplicación.

Centraliza y estructura los requisitos de seguridad para que estén disponibles para el modelado de amenazas, las revisiones de diseño y la validación temprana.

Útil en la fase de diseño y planificación para mantener una lista estructurada de requisitos de seguridad y vincularlos con casos de prueba, modelos de amenazas o módulos de código, asegurando que la seguridad se aborde antes de programar.

En la fase prebuild, puede definir los requisitos de seguridad exactos derivados del RMF que debe cumplir la base de código, incluyendo las líneas base de controles, y vincularlos con elementos de diseño o tareas de desarrollo.

Contar con (1) una persona calificada que no haya participado en el diseño y/o (2) procesos automatizados en la cadena de herramientas que revisen el diseño del software para confirmar y asegurar que cumple con todos los requisitos de seguridad y aborda satisfactoriamente la información de riesgos identificada.

Analiza las dependencias del proyecto (directas y transitivas) contra la National Vulnerability Database (NVD) y otras fuentes para detectar vulnerabilidades conocidas (CVEs). Ayuda a confirmar si un componente cumple con los requisitos de seguridad antes de su inclusión.

Herramienta automatizada de monitoreo y actualización de dependencias integrada con GitHub. Detecta dependencias vulnerables y crea pull requests para actualizarlas, asegurando que solo se usen versiones seguras.

Gestiona artefactos de cumplimiento del Risk Management Framework (RMF), incluyendo controles NIST 800-53. Puede usarse para confirmar que los componentes de software seleccionados cumplen con las bases de control de seguridad antes de su aprobación.

Linter de JavaScript/TypeScript que aplica estándares de codificación segura y señala patrones inseguros antes de que lleguen a producción. Ayuda a validar que los componentes de código personalizados cumplan con los requisitos de codificación segura.

Plataforma de análisis automatizado de código para identificar vulnerabilidades y problemas de calidad en múltiples lenguajes. Confirma que los componentes de código cumplen con las políticas de seguridad antes de su integración.

Escáner de vulnerabilidades de código abierto para imágenes de contenedores y sistemas de archivos. Garantiza que los componentes containerizados cumplan con los requisitos de vulnerabilidad y cumplimiento antes del despliegue.

Análisis estático de vulnerabilidades para imágenes de contenedores. Se integra en CI/CD para detectar vulnerabilidades en imágenes base y capas antes de su promoción.

Escáner de vulnerabilidades integral para imágenes de contenedores, sistemas de archivos y repositorios Git. Valida que los componentes seleccionados no tengan vulnerabilidades conocidas ni configuraciones inseguras.

Análisis estático de Infrastructure as Code (IaC) para detectar configuraciones de seguridad incorrectas (Terraform, Kubernetes, CloudFormation). Garantiza que los componentes de IaC cumplan con las bases de seguridad definidas antes de su uso.

Escáner de políticas como código para Terraform, Kubernetes, Docker y otros frameworks IaC. Confirma que los componentes de infraestructura cumplan con los requisitos de seguridad y cumplimiento.

Herramienta web de revisión de código. Aunque no es un escáner de vulnerabilidades, aplica revisiones humanas y flujos de aprobación que pueden incluir listas de verificación de validación de requisitos de seguridad antes de aprobar un componente.

Generado durante build/prebuild para validar los datos de los componentes contra criterios de aceptación definidos.

Usado para verificar que todos los componentes cumplen con los requisitos de licencias y seguridad antes de su integración.

Garantiza que solo se obtengan paquetes verificados, firmados y conformes a políticas para los builds.

Actúa como fuente controlada para componentes que cumplen con estándares de seguridad definidos.

Evita el uso de componentes que no cumplen con los requisitos de seguridad o políticas.

Aplica reglas para que solo imágenes escaneadas, firmadas y conformes a políticas sean almacenadas y utilizadas en builds.

Aplica la política de commits firmados en merge requests antes de aceptar código.

Ejecuta consultas de seguridad predefinidas en CI para verificar el código antes de su integración.

Aplica criterios de aceptación de seguridad (por ejemplo, sin CVEs críticas) antes de promover componentes.

Crea PRs para garantizar que se usen versiones seguras definidas por política.

Garantiza que los repositorios cumplan con criterios de configuración antes de permitir merges.

Proporciona un marco para definir prácticas de aseguramiento de seguridad y objetivos de madurez. Ayuda a establecer criterios para procesos de desarrollo seguro, incluyendo prebuild.

Define requisitos detallados de verificación de seguridad para aplicaciones. Puede usarse como referencia para pruebas de seguridad automatizadas y manuales en prebuild.

Plataforma de gestión de vulnerabilidades y orquestación de pruebas de seguridad. Centraliza resultados de escáneres y asegura que los problemas se rastreen según criterios de aceptación.

Escanea dependencias del proyecto buscando vulnerabilidades conocidas (CVEs) y falla builds si no cumplen criterios.

VCS que soporta firma de commits y hooks para aplicar prebuild checks (linting, escaneos de seguridad).

Servicio Git ligero y autohospedado con aplicación de políticas de repositorio (p. ej., commits firmados, revisiones requeridas).

Plataforma Git con integración CI/CD para ejecutar controles de seguridad antes de mergear.

Soporta extensiones para linting, escaneo de vulnerabilidades y enforcement de firma de código pre-commit.

IDE Java con plugins para análisis estático, escaneo de dependencias y enforcement de reglas de codificación segura.

IDE Java con plugins para análisis estático, codificación segura y generación de SBOM.

Framework de pruebas unitarias Java; puede integrarse con suites de pruebas de seguridad.

Framework de pruebas .NET; soporta integración con tests de validación de seguridad.

Framework de pruebas Python; puede ejecutar tests basados en reglas de seguridad como parte de CI.

Herramienta de pruebas automatizadas de navegador; puede validar comportamientos seguros (p. ej., flujos de autenticación).

Pruebas end-to-end de navegador con soporte para escenarios centrados en seguridad.

Herramienta DAST para encontrar problemas de seguridad en aplicaciones en ejecución durante fases de prueba.

Framework de pruebas para Java; se integra con automatización de seguridad.

Framework de pruebas BDD; permite definir tests de aceptación de seguridad en lenguaje natural.

Escanea contenedores, sistemas de archivos y repositorios en busca de vulnerabilidades y errores de configuración.

Escaneo estático de vulnerabilidades en imágenes de contenedor antes del despliegue.

Escáner de vulnerabilidades para contenedores y sistemas de archivos.

Analizador estático específico de Python para problemas de seguridad comunes.

Análisis estático multi-lenguaje usando reglas de seguridad personalizadas o predefinidas.

Analizador estático específico de Rails para vulnerabilidades de seguridad.

Detecta secretos hardcoded en repositorios Git antes del commit o en CI.

Detecta secretos e información sensible en el historial y commits del código.

Framework open-source para firmar artefactos de software (commits, contenedores) usando pruebas criptográficas.

Escanea dependencias del proyecto (directas y transitivas) buscando CVEs conocidas usando NVD y otras fuentes. Puede aplicar criterios de “no vulnerabilidades críticas/altas” antes de aprobar el build.

Garantiza que los componentes seleccionados cumplan criterios de licencias y seguridad antes de integrarse a la línea principal.

Puede bloquear merges o builds que violen reglas de licencias o contengan vulnerabilidades conocidas.

Asegura que los criterios de licencias se cumplan antes de aceptar componentes en el build.

Proporciona inventario de componentes para validar contra criterios de aceptación predefinidos.

Aplica políticas de seguridad, cumplimiento y configuración durante gates de CI/CD antes del release.

Seguir todas las prácticas de codificación segura apropiadas para los lenguajes de desarrollo y el entorno, a fin de cumplir con los requisitos de seguridad de la organización.

Integrado en CI para escanear el código modificado y bloquear merges si las reglas de seguridad fallan; también puede ejecutarse localmente para verificaciones previas al commit.

Se ejecuta en prebuild o pipelines de CI para detectar problemas de seguridad de alta severidad en código Python.

Analiza código Java antes del empaquetado para identificar vulnerabilidades y malas prácticas de codificación.

Integrado en CI/CD para detectar vulnerabilidades en Java antes del lanzamiento.

Se ejecuta en pipelines CI/CD para señalar problemas de seguridad antes de los merges, aplicando quality gates.

Se ejecuta en entornos de prueba antes de producción para identificar problemas de seguridad en tiempo de ejecución.

Escanea instancias de staging/test para detectar vulnerabilidades explotables antes del despliegue.

Previene builds que incluyan componentes con vulnerabilidades que superen los umbrales de severidad definidos.

Firma y verifica la integridad y autenticidad del código fuente y las dependencias precompiladas antes de la compilación.

Verifica las firmas criptográficas de archivos fuente y dependencias antes de la construcción.

Audita y escanea las dependencias en busca de vulnerabilidades de seguridad y problemas de licencias antes de incluirlas en la construcción.

Sistema de construcción integrado en CI/CD para aplicar configuraciones de seguridad y cumplimiento durante la compilación.

Analiza capas de imágenes de contenedores para identificar componentes de código abierto, licencias y posibles vulnerabilidades antes de usarlas en las construcciones.

Detecta licencias, derechos de autor y paquetes en el código fuente antes de la construcción para garantizar cumplimiento y seguridad.

Escanea código fuente e imágenes de contenedores en busca de vulnerabilidades conocidas antes de incluirlas en la construcción.

Genera SBOMs a partir del código fuente y dependencias antes de la construcción para documentar y verificar los componentes.

Escanea las dependencias del proyecto (por ejemplo, Maven, npm, Python) contra la NVD para CVEs conocidas antes de la compilación, permitiendo la remediación temprana de librerías vulnerables.

Principalmente una herramienta de pruebas de seguridad de aplicaciones dinámicas (DAST), pero en precompilación no se usa generalmente; puede ejecutarse contra compilaciones locales para detectar fallas tempranas en tiempo de ejecución. Aplicabilidad limitada a PW.7 precompilación.

Realiza SAST y revisa la calidad del código para múltiples lenguajes, detectando vulnerabilidades, errores y malos olores en el código antes de la compilación o integración.

Escanea código JavaScript y manifiestos de paquetes en busca de librerías vulnerables conocidas antes del empaquetado.

Realiza escaneo de dependencias para problemas de licencias y vulnerabilidades antes de la compilación. La versión comercial SaaS es propietaria.

Herramienta SAST ligera y personalizable. Utiliza reglas para detectar problemas de seguridad y patrones inseguros en el código fuente antes de la compilación.

Escanea código Python en busca de problemas de seguridad comunes antes de la compilación (por ejemplo, uso inseguro de funciones, contraseñas codificadas).

Herramienta de análisis estático para IaC (Terraform, YAML de Kubernetes, etc.) para encontrar configuraciones incorrectas antes del despliegue.

Análisis estático para código C/C++ para detectar comportamientos indefinidos, problemas de memoria y vulnerabilidades comunes antes de la compilación.

Plugin para SpotBugs que detecta vulnerabilidades específicas de Java antes de la compilación.

Realiza análisis profundo del código usando un lenguaje de consultas para detectar vulnerabilidades antes de la compilación. Excelente para SAST automatizado en pipelines de CI.

Escanea Java, Apex, JavaScript, XML y otros códigos en busca de errores, código no utilizado y posibles problemas de seguridad antes de la compilación.

Análisis estático para bytecode Java; detecta patrones de errores y posibles vulnerabilidades precompilación (cuando se ejecuta sobre archivos de clase compilados en CI antes del empaquetado).

Automatiza las revisiones de pull requests — aplica las pautas de seguridad/contribución y previene que patrones inseguros se fusionen al código antes de la compilación.

Motor SAST que analiza el código fuente contra reglas de seguridad antes de la compilación, detectando vulnerabilidades tempranamente.

Análisis estático para código Python para encontrar problemas de seguridad comunes antes del empaquetado.

Plugin de seguridad para SpotBugs para detectar vulnerabilidades en código Java/Scala/Groovy antes de la compilación.

Análisis estático para C/C++ para detectar fallos de seguridad antes de generar los artefactos de compilación.

Análisis estático basado en reglas para Java, Apex, JavaScript y XML para detectar vulnerabilidades y problemas de codificación.

Detección de errores y vulnerabilidades en código Java antes de generar la salida de compilación.

Análisis semántico de código para encontrar vulnerabilidades antes de la compilación.

Herramienta SCA que identifica dependencias vulnerables en los manifiestos antes del empaquetado.

Analiza dependencias de JavaScript y Node.js para detectar vulnerabilidades conocidas antes de la liberación.

Herramienta SSCA para escanear dependencias de código fuente y imágenes base antes de la compilación para detectar CVEs.

Genera SBOMs desde código fuente antes de la compilación para verificar el inventario de componentes.

Analiza archivos de Infrastructure-as-Code (Terraform, Kubernetes YAML, etc.) para detectar configuraciones incorrectas antes del despliegue.

Busca secretos en el código y en el historial de Git antes de la compilación.

Busca secretos e información sensible en el código y en el historial de Git antes de la compilación.

Detecta configuraciones incorrectas y valores predeterminados inseguros en archivos de IaC antes de la compilación.

Motor de políticas como código para aplicar reglas de configuración segura en pipelines previos a la compilación.

Valida archivos de configuración YAML, asegurando la corrección de su estructura antes de realizar más verificaciones de seguridad.

Escanea árboles de código y archivos manifest/lock contra OSV para detectar vulnerabilidades conocidas tempranamente en el desarrollo.

Sincroniza continuamente versiones de Software Bill of Material de artefactos construidos a OSV.dev, reportando vulnerabilidades descubiertas después del build.

SAST basado en reglas en PRs/CI para vulnerabilidades previamente no detectadas. Herramienta de análisis estático usada para buscar en el código, encontrar errores y aplicar estándares de código en varias etapas del ciclo de desarrollo (editor, commit e integración continua - CI).

SCA para múltiples ecosistemas; corre en CI, genera salida SARIF/HTML. Coincidencia de dependencias basada en CVE para retroalimentación en tiempo de código.

Escanea archivos fuente/lockfiles e IaC antes de construir. SCA todo-en-uno + comprobaciones de configuración incorrecta de IaC pre-build.

Genera SBOMs (CycloneDX/SPDX) directamente desde el código fuente. Datos de composición/procedencia para apoyar el descubrimiento de RV.1.

Escanea directorios de código o Software Bill of Materials (de Syft) en busca de vulnerabilidades. Coincidencia precisa mediante SBOM + integración flexible en CI.

Los desarrolladores pueden inspeccionar continuamente la calidad del código para detectar errores, "code smells" y vulnerabilidades de seguridad sin ejecutar el código.

Desarrollado por GitHub, permite a desarrolladores e investigadores de seguridad analizar bases de código para vulnerabilidades, errores y otros problemas de calidad de código.

Herramienta de análisis estático diseñada para identificar vulnerabilidades de seguridad comunes en código Python.

Escáner de vulnerabilidades específicamente diseñado para aplicaciones Ruby on Rails.

Herramienta de análisis estático para aplicaciones Java, usada para identificar posibles vulnerabilidades de seguridad en el código.

Previene secretos codificados directamente en el código y archivos de configuración.

Utilidad para escribir pruebas sobre datos de configuración estructurados.

Kit de utilidades SBOM / cadena de suministro: procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineados a la recopilación/mantenimiento/compartición de procedencia.

Agrega SBOMs, atestaciones y vulnerabilidades para entender el impacto y priorizar correcciones.

Automatiza actualizaciones de dependencias y PRs de parches con políticas conscientes del riesgo.

Ingesta resultados de escáneres (Semgrep/Grype/Trivy/etc.) para deduplicación, severidad, propiedad y flujo de trabajo. Triage central de vulnerabilidades y seguimiento de riesgo vinculado a repos.

Muestra el impacto de cada vulnerabilidad a través de entornos en vivo.

Escáner de vulnerabilidades sin agente que analiza paquetes instalados y los mapea a datos CVE con puntuación CVSS. Proporciona severidad, explotabilidad y recomendaciones de remediación; puede integrarse en flujos de parches.

Plataforma de análisis de componentes basada en SBOM de forma continua. Enriquece vulnerabilidades con metadatos (severidad, explotabilidad, impacto de políticas).

VEX cierra la brecha entre identificar vulnerabilidades potenciales (SBOM) y determinar su riesgo real en un entorno específico. Permite priorizar esfuerzos de remediación enfocándose en vulnerabilidades realmente explotables que requieren atención inmediata.

Mantiene un conjunto de reglas de “barrera” para problemas históricos. Proporciona erradicación de patrones a través de módulos.

Codifica RCAs como reglas (p. ej., prohibir APIs inseguras, aplicar sanitizadores) y ejecuta en PRs. Detecta la clase de error que causó el incidente.

Monitorea señales de higiene de repositorio (protección de rama, fijación de dependencias, fuzzing, etc.) e incorpora mejoras en el SDLC. Controles preventivos alineados a temas de causas raíz.

Consulta bases de código para rastrear el origen de vulnerabilidades (p. ej., encontrar todos los puntos de inyección).

Identifica violaciones de reglas de calidad/seguridad del código que pueden indicar problemas sistémicos de codificación.

Agrega resultados de escáneres para que los patrones en tipos de vulnerabilidad sean más fáciles de detectar.

Rastrea componentes vulnerables y muestra problemas recurrentes relacionados con dependencias.

Escáner de vulnerabilidades para imágenes de contenedores y sistemas de archivos.

Correlaciona SBOMs a través de versiones para identificar problemas repetidos de dependencias.

Escáner de seguridad específico de lenguaje para identificar el mismo fallo en múltiples archivos.

Detecta prácticas de codificación insegura repetidas en aplicaciones Rails.

Aplica hooks de calidad/seguridad de código antes de los commits.

Automatización de hooks Git para proyectos JavaScript/TypeScript para hacer cumplir comprobaciones.

Previene configuraciones incorrectas al integrarse en los flujos de trabajo existentes de los desarrolladores.

Agrega barreras en IaC para prevenir configuraciones inseguras en el momento del commit.

Detecta vulnerabilidades de seguridad, problemas de cumplimiento y configuraciones incorrectas de infraestructura.

Motor de políticas de propósito general usando Rego para aplicar políticas en servicios, CI/CD e infraestructura.

Usa el lenguaje Rego de OPA para probar manifests de Kubernetes, Terraform y Dockerfiles contra requisitos de seguridad predefinidos.

Prueba infraestructuras y aplicaciones desplegadas contra frameworks de cumplimiento (por ejemplo, CIS Benchmarks, NIST 800-53).

Motor de políticas nativo de Kubernetes para aplicar configuraciones seguras en el momento del despliegue.

Escanea Infraestructura como Código (IaC) durante la compilación para asegurar el cumplimiento de los requisitos de seguridad antes del despliegue.

Escanea imágenes de contenedores, IaC y SBOMs para vulnerabilidades y configuraciones incorrectas antes del despliegue.

Análisis estático de imágenes de contenedores para asegurar que cumplan con los requisitos de seguridad antes de enviarlas al registro.

Escaneo de vulnerabilidades en imágenes de contenedores y sistemas de archivos para validar artefactos contra políticas antes del despliegue.

Firmar y verificar imágenes de contenedores y otros artefactos de compilación para asegurar su integridad y procedencia.

Verifica de forma segura artefactos de la cadena de suministro y aplica políticas sobre cómo fueron construidos y probados. Construido con Sigstore y Open Policy Agent, puede verificar el cumplimiento de procedencia SLSA con políticas extensibles.

Gestión de identidad y acceso de código abierto para aplicar RBAC en pipelines de CI/CD y herramientas de despliegue.

Proveedor federado de OpenID Connect para integrar identidades de desarrolladores en sistemas de build y deploy con control de acceso basado en roles.

Gestiona y controla de manera segura el acceso a secretos según roles definidos durante builds y despliegues.

Herramienta de despliegue GitOps con RBAC para controlar quién puede sincronizar, aprobar o revertir despliegues.

Agrega RBAC detallado a pipelines de Jenkins, limitando acciones de build y deploy a roles autorizados.

CI/CD nativo de Kubernetes con RBAC de Kubernetes para controlar permisos de ejecución de pipelines.

Herramienta GitOps que aplica RBAC para workflows de despliegue y requiere aprobaciones para cambios.

Control de acceso incorporado para restringir quién puede desplegar, modificar o eliminar cargas de trabajo.

Servicio Git autoalojado con roles de usuario y permisos de repositorio para aplicar flujos de trabajo de aprobación y revisión.

Proporciona registro de auditoría para acciones de build y deploy, ayudando a rastrear el cumplimiento de las responsabilidades asignadas.

Firma y verifica artefactos de build para evitar el despliegue de software manipulado.

Garantiza la procedencia del build y verifica la integridad de los artefactos antes del despliegue.

Escanea repositorios y pipelines de build en busca de secretos antes de la ejecución del build.

Herramienta de despliegue GitOps con RBAC para controlar quién puede sincronizar, aprobar o revertir despliegues.

Escanea contenedores de herramientas CI/CD y sus dependencias en busca de vulnerabilidades.

Genera SBOMs de artefactos de build para rastrear los componentes usados en la cadena de herramientas.

Builds con dependencias fijadas y predescargadas en entornos aislados para habilitar builds reproducibles y verificables.

Pre-descarga dependencias para builds herméticos, genera SBOMs y asegura builds de contenedores aislados de red con checksums verificables.

Analiza imágenes de contenedores usados en builds/despliegues para detectar vulnerabilidades.

Protege secretos usados por herramientas de build/despliegue, asegurando que no se expongan en los pipelines.

Aplica políticas como código en workflows de CI/CD y despliegue usando Rego para prevenir acciones inseguras.

Implementa el framework In-toto usando pipelines como código.

Monitorea y registra la actividad de la cadena de herramientas CI/CD para garantizar integridad y cumplimiento.

Automatiza el escaneo de dependencias de código abierto en los builds para aplicar una detección consistente de vulnerabilidades.

Análisis estático integrado en los builds para asegurar verificaciones consistentes de seguridad del código antes del despliegue.

Linter de seguridad para Python en pipelines de build para mantener verificaciones consistentes por lenguaje.

Escaneo consistente de vulnerabilidades e IaC antes del despliegue.

Mantiene escaneos de vulnerabilidades consistentes para todos los artefactos de build.

Automatiza verificaciones de cumplimiento antes del despliegue para asegurar que las prácticas coincidan con los estándares organizacionales.

Estandariza la firma y verificación de artefactos para que solo builds confiables sean desplegados.

Aplica políticas de despliegue a nivel organizacional en todos los entornos.

Centraliza y estandariza el seguimiento de vulnerabilidades y flujos de remediación en todos los builds.

Protege los servidores de build de Jenkins con configuraciones codificadas y RBAC para limitar el acceso a trabajos críticos de build.

Framework CI/CD nativo de Kubernetes con control de acceso basado en roles (RBAC).

Despliegue GitOps con RBAC y verificación de commits firmados para despliegues a producción.

Protege secretos en entornos de build y despliegue, previniendo fugas en los pipelines.

Firma artefactos de build y los verifica antes del despliegue para asegurar que no fueron manipulados.

Proporciona seguridad de extremo a extremo en la cadena de suministro de software, asegurando que cada paso del build/despliegue esté firmado y verificado.

Ejecuta escaneos de cumplimiento continuo en servidores de desarrollo y build; aplica benchmarks CIS/NIST.

Verifica la procedencia del build, asegurando que los artefactos provienen de un entorno de build confiable y no comprometido.

Escanea contenedores e infraestructura de build/despliegue en busca de vulnerabilidades y configuraciones incorrectas.

Seguridad en tiempo de ejecución para entornos de build y despliegue, detectando comportamientos maliciosos o actividad no autorizada.

Monitorea servidores de build y despliegue para cambios en la integridad de archivos, accesos no autorizados y eventos de seguridad.

Aplica políticas de seguridad de Kubernetes en los entornos de despliegue (ej., no permitir pods privilegiados).

Firmar los resultados de construcción (binarios, contenedores, SBOMs) y crear atestaciones; verificar en CI antes de la promoción.

Requerir commits/tags firmados y rechazar los no firmados en CI para evitar que código no autorizado entre en las construcciones.

Emitir certificados de corta duración (Fulcio) y registrar firmas/atestaciones en un registro de transparencia (Rekor) para detectar/seguir manipulaciones.

Emitir y firmar la procedencia de la construcción; verificar quién/qué/dónde se construyó el artefacto antes de enviarlo.

Definir un diseño de cadena de suministro y verificar los materiales/productos de cada paso para asegurar que nada fue manipulado a lo largo de la canalización.

Firmar automáticamente los resultados de tareas (imágenes, archivos) en pipelines de Tekton y almacenar atestaciones (por ejemplo, en Rekor).

Firmar artefactos OCI (imágenes, Helm charts) durante la construcción para verificación posterior en registros y clusters.

Bloquear insumos y hacer las construcciones determinísticas para que los cambios no autorizados sean detectables mediante discrepancia de hash/procedencia.

Bloquear insumos y hacer las construcciones determinísticas para que los cambios no autorizados sean detectables mediante discrepancia de hash/procedencia.

Persistir firmas, SBOMs y metadatos de políticas para auditar la integridad de las construcciones a través de los servicios.

Aplicar confianza de contenido, cuentas de robots y políticas sobre quién puede subir/descargar; requerir artefactos firmados antes de la liberación.

Controlador de admisión que bloquea imágenes no firmadas o firmadas incorrectamente; aplica políticas de clave/issuer/sujeto.

Políticas de Kubernetes que requieren firmas de imágenes, fijan por digest y prohíben etiquetas mutables en despliegues.

Control de admisión para despliegues con políticas personalizadas (por ejemplo, “solo imágenes firmadas de registros/namespaces aprobados”).

Verifica firmas/atestaciones OCI (Cosign/Notation) en tiempo de admisión y bloquea todo lo que falle la verificación.

Controlador de admisión de Kubernetes dedicado a verificar las firmas de imágenes de contenedores antes de su programación.

Verificar firmas/atestaciones como puerta de liberación en su pipeline de CD antes de aplicar los manifests.

Firmar binarios, imágenes de contenedores, SBOMs y atestaciones durante la construcción; soporta firmas sin clave.

Firmar etiquetas de liberación para vincular criptográficamente el código fuente con el artefacto construido.

Fulcio emite certificados de firma efímeros; Rekor registra todas las firmas en un registro de transparencia a prueba de manipulaciones para verificación posterior.

Genera automáticamente metadatos de procedencia describiendo el origen, insumos y proceso de construcción. Valida los archivos de procedencia para asegurar la integridad del artefacto antes de su distribución.

Define un diseño verificable de la cadena de suministro de software; crea metadatos de enlace que prueban cada paso de la construcción.

Almacena metadatos (firmas, checksums, SBOMs) para que puedan ser consultados para verificación.

Crear y publicar checksums de artefactos de liberación para que los receptores puedan verificar manual o automáticamente la integridad.

Aplicar confianza de contenido; asegurar que solo se almacenen y distribuyan imágenes firmadas, con políticas sobre quién puede subir/descargar; requerir artefactos firmados antes de la liberación.

Controlador de admisión de Kubernetes que aplica políticas de firma/procedencia antes del despliegue. Bloquea imágenes no firmadas o firmadas incorrectamente; aplica políticas de clave/issuer/sujeto.

Políticas de Kubernetes que requieren firmas de imágenes, fijan por digest y prohíben etiquetas mutables en despliegues. Valida firmas y digests de imágenes de contenedor antes de desplegarlas.

Control de admisión personalizado para aplicar integridad de artefactos y políticas de firmantes confiables.

Framework de verificación plugable para registros/imágenes OCI; funciona con Cosign, Notation, in-toto.

Controlador de admisión de Kubernetes dedicado a la verificación de firmas y políticas de confianza de imágenes.

Firma artefactos OCI (contenedores, Helm charts) y los verifica antes de instalar o desplegar.

Se usa en pipelines de CD o hooks de admisión para verificar que firmas y atestaciones coincidan con claves/políticas confiables antes de la promoción.

Crear etiquetas firmadas e inmutables para cada liberación; preserva el snapshot del código fuente para auditoría.

Almacenar artefactos binarios grandes junto con el código fuente, asegurando la integridad.

Hospedar y versionar artefactos de liberación (JARs, binarios, contenedores) con control de acceso basado en roles y validación de checksums.

Archivar resultados de construcción en un repositorio controlado y versionado; soporta checksums y políticas de retención.

Almacenar imágenes de contenedores con escaneo de vulnerabilidades, RBAC y confianza de contenido firmado para preservar la integridad de la liberación. Aplicar etiquetas inmutables y evitar sobrescrituras para que los artefactos desplegados siempre se puedan rastrear hasta la copia archivada.

(ORT) Archivar SBOMs, archivos de licencia y reportes de vulnerabilidades junto con la liberación para cumplimiento y auditoría.

Firmar artefactos de liberación antes de archivarlos para que la integridad pueda ser verificada posteriormente.

Aplicar imágenes con digest fijo para asegurar que los despliegues siempre coincidan con las versiones archivadas.

Aplicación de políticas para garantizar que solo se desplieguen artefactos archivados y aprobados.

Verifica firmas y atestaciones de artefactos contra los metadatos de liberaciones archivadas antes del despliegue.

Controlador de admisión que asegura que solo se desplieguen imágenes firmadas del conjunto archivado.

Archivado a largo plazo de versiones de artefactos desplegados para recuperación o investigación.

Conservar la procedencia de construcción en un registro de transparencia para que las liberaciones desplegadas puedan ser verificadas cruzadamente con los originales archivados.

rebuilderd verifica de manera independiente que los paquetes binarios puedan reproducirse desde el código fuente, lo que es un mecanismo sólido para la integridad de componentes de terceros y para preservar/verificar la evidencia de integridad de la liberación.

El enfoque de TestifySec es la verificación de evidencia, atestaciones y políticas en torno a las construcciones; su herramienta Witness se usa para crear y verificar atestaciones y aplicar políticas, es decir, generación de procedencia + verificación de políticas.

Evita que código inseguro sea empaquetado y desplegado.

Asegura que los artefactos desplegados cumplan con configuraciones base seguras.

Aplica listas de componentes aprobados y configuraciones base de seguridad antes del despliegue.

Genera SBOMs para aplicaciones desplegadas para monitoreo continuo.

Aplica listas de componentes aprobados y configuraciones base de seguridad antes del despliegue.

Escaneo de vulnerabilidades enfocado en artefactos desplegados.

Garantiza que los artefactos de construcción coincidan exactamente con el diseño aprobado de seguridad, sin desviaciones ni diferencias ambientales.

Asegura que todos los artefactos desplegados se construyan desde un entorno trazable y verificable que cumpla con las bases de seguridad del diseño.

Aplica reglas de construcción seguras, evita cambios no autorizados y produce resultados idénticos en todos los agentes de construcción.

Fortalece la seguridad de la cadena de suministro al detectar modificaciones no autorizadas entre el código fuente y el despliegue.

Implementa principios de diseño seguro como superficie de ataque mínima y selección verificada de dependencias.

Asegura que los artefactos provengan de un proceso de construcción confiable y verificado y que no hayan sido alterados.

Proporciona garantía criptográfica de que los artefactos desplegados son auténticos y no han sido manipulados.

Aplica integridad y responsabilidad en toda la canalización de construcción y despliegue.

Protege la integridad de los canales de despliegue y distribución de actualizaciones.

Genera y gestiona claves para firmar artefactos de construcción. Implementa TLS/SSL para comunicación segura entre agentes de construcción y repositorios de artefactos.

Firma el código fuente, commits y resultados de construcción y verifica las firmas antes de desplegar artefactos.

Incorpora firma y verificación criptográfica en pipelines de construcción Java/.NET.

Valida que los entornos de despliegue cumplan los requisitos de integridad basados en hardware antes del despliegue.

Publica atestaciones criptográficas de procedencia de construcción o aprobaciones de despliegue y proporciona un registro de auditoría descentralizado e inalterable de los datos de confianza de los artefactos.

Aplica políticas de diseño de despliegue seguro (por ejemplo, imágenes base aprobadas, configuraciones no permitidas).

Aplica los requisitos de diseño de seguridad en tiempo de construcción (por ejemplo, aprobación de dependencias, umbrales de CVE). Aplica políticas consistentes desde la construcción hasta el tiempo de ejecución.

Asegura que las cargas de trabajo desplegadas cumplan con los requisitos de seguridad para autenticación mutua y confianza cero, y vincula la identidad de la carga de trabajo con la procedencia en tiempo de construcción para garantizar la integridad del despliegue.

Pre-descarga dependencias para construcciones herméticas, genera SBOMs y asegura construcciones reproducibles con seguimiento explícito de dependencias y checksums verificables.

Incorpora modelos de amenazas en CI/CD, asegurando que los requisitos de seguridad estén vinculados a los componentes arquitectónicos antes de la construcción. (Cumple PW.1.1 y PW.1.2)

Ayuda a refinar los requisitos de seguridad relacionados con la exposición de la red y el inventario de activos. (Cumple PW.1.1)

Integra los requisitos de seguridad en los modelos del sistema, que luego pueden ser validados en la construcción y despliegue. (Cumple PW.1.1)

Incorpora modelos de amenazas en CI/CD, asegurando que los requisitos de seguridad estén vinculados a los componentes arquitectónicos antes de la construcción. (Cumple PW.1.1)

Herramienta de gestión de requisitos para definir, rastrear y validar requisitos de seguridad. Documenta los requisitos de seguridad y los vincula a commits y resultados de construcción. (Cumple PW.1.1 y PW.1.2)

Herramienta de gestión de requisitos usando texto plano y control de versiones para trazabilidad. Soporta trazabilidad desde el diseño hasta la construcción, asegurando que los requisitos se reflejen en los artefactos finales. (Cumple PW.1.2)

Herramienta de marco de trabajo de cumplimiento y gestión de riesgos de código abierto para rastrear controles RMF (NIST 800-37). Los requisitos de seguridad se mapean a controles de cumplimiento formales que pueden verificarse en artefactos de construcción y despliegue. (Cumple PW.1.2)

Control automatizado de cumplimiento de diseño en CI/CD

Valida que las configuraciones de despliegue coincidan con la arquitectura de seguridad aprobada.

Aplica reglas de segmentación de red, requisitos de cifrado y configuraciones seguras por defecto.

Agrega automatización de revisión de IaC al proceso de construcción.

Revisión automatizada de código para asegurar alineación con los requisitos de diseño de seguridad.

Verificación de cumplimiento de configuraciones antes del despliegue.

Garantiza que los requisitos de diseño impulsados por el modelo de amenazas estén implementados.

Verificación de arquitectura post-construcción/pre-despliegue. Detecta desviaciones respecto a la arquitectura prevista.

Revisa los manifiestos de Kubernetes para cumplimiento de diseño antes del despliegue. Asegura que la configuración de seguridad de los pods coincida con los diseños aprobados.

PRs automatizados de actualización de dependencias con alertas de vulnerabilidades. Ayuda a verificar que las dependencias cumplan los requisitos de seguridad (p. ej., sin CVEs conocidos, versiones mínimas).

Herramienta de seguimiento del Marco de Gestión de Riesgos. Puede mapear los requisitos de seguridad a nivel de diseño a controles NIST 800-53 y verificar que dichos controles estén implementados en las configuraciones de construcción.

Se ejecuta en pipelines CI/CD o como pre-commit hook para bloquear merges si el código viola las reglas de seguridad o arquitectura aprobadas antes de la construcción.

Escáner de vulnerabilidades basado en SBOM para imágenes/sistemas de archivos. Verifica que las dependencias en la construcción cumplan con las bases de seguridad y estén libres de componentes no permitidos.

Análisis estático de vulnerabilidades para imágenes de contenedor. Confirma que las imágenes finales cumplan con los requisitos de seguridad de diseño antes del despliegue.

Escaneo de IaC y aplicación de políticas (basado en OPA). Aplica el diseño de seguridad aprobado en configuraciones de Terraform, Kubernetes, Docker y AWS CloudFormation antes del despliegue.

Herramienta de flujo de trabajo para revisión y aprobación de código. Garantiza revisión humana contra los requisitos de diseño y seguridad antes de fusionar a las ramas de lanzamiento.

Garantiza que los manifiestos cumplan con los valores predeterminados seguros antes del despliegue.

Valida que las configuraciones predeterminadas cumplan con los requisitos de seguridad.

Detecta y bloquea valores predeterminados inseguros en Terraform, Helm o CloudFormation antes del lanzamiento.

Valida los valores predeterminados fortalecidos en la provisión de infraestructura en la nube.

Verificación automatizada de cumplimiento de configuraciones durante CI/CD.

Automatiza pruebas de cumplimiento para valores predeterminados seguros.

Incorpora valores predeterminados fortalecidos en imágenes de contenedor o VM antes del lanzamiento.

Validación previa al despliegue de valores predeterminados seguros en manifiestos.

Garantiza que las imágenes del sistema operativo desplegadas cumplan con los valores predeterminados fortalecidos.

Formato SBOM para documentar componentes/configuraciones exactas en el build final; ayuda a verificar que los valores predeterminados seguros estén presentes.

Estándar SBOM para registrar todos los componentes, licencias y procedencia; puede confirmar la inclusión de dependencias fortalecidas.

Catálogo de Helm charts, operadores OLM, etc., verificados; puede hacer cumplir el uso de paquetes seguros por defecto.

Gestor de repositorios para almacenar artefactos firmados y verificados con controles de acceso.

Hospeda artefactos y hace cumplir comprobaciones de políticas antes de su promoción.

Registro OCI con escaneo de vulnerabilidades, firma de contenido y aplicación de políticas para imágenes.

Firma de commits/tags en GitLab CE para verificar procedencia.

Detecta patrones de código que violan los requisitos de seguridad.

Escanea imágenes de contenedores, IaC y configuraciones para valores predeterminados inseguros.

App de GitHub que aplica políticas de seguridad en repositorios.

Modelo de madurez de seguridad para guiar prácticas de valores predeterminados seguros.

Requisitos de seguridad de aplicaciones para verificar valores predeterminados seguros.

Rastreo central de vulnerabilidades; garantiza que los problemas encontrados en builds se solucionen antes del lanzamiento.

Detecta dependencias conocidas vulnerables en los builds.

Servicio Git autohospedado con soporte de firma y políticas.

Plataforma Git con firma, escaneo e integración de políticas CI/CD.

Pruebas automatizadas para confirmar que los valores predeterminados funcionen.

Automatización de pruebas funcionales/UI para verificar configuraciones seguras.

Automatización de pruebas funcionales/UI para verificar configuraciones seguras.

Escáner DAST para verificar que los valores predeterminados de la aplicación no sean explotables.

Framework de pruebas Java para comprobaciones de seguridad/funcionales.

Framework BDD para verificar requisitos funcionales y de seguridad.

Escáner de vulnerabilidades de imágenes para registros OCI.

Escáner de vulnerabilidades basado en SBOM para builds e imágenes.

Detecta patrones de código y valores predeterminados inseguros en Python.

Encuentra patrones que violan políticas en el código.

Detecta problemas de seguridad y valores predeterminados específicos de Rails.

Detecta secretos en el código (previene exposición de credenciales predeterminadas).

Encuentra secretos en repositorios/historial para evitar valores predeterminados inseguros.

Detecta dependencias conocidas vulnerables en los builds.

Automatiza verificaciones de licencias/seguridad; bloquea componentes no conformes.

Escaneo de licencias/dependencias; garantiza cumplimiento con políticas predeterminadas.

Detecta licencias, derechos de autor y metadatos de seguridad en los artefactos.

Inspección de imágenes de contenedor para detalles de dependencias/componentes.

Política como código para build & deploy; bloquea valores predeterminados inseguros en configuraciones/manifiestos.

rebuilderd verifica de manera independiente que los paquetes binarios puedan reproducirse desde la fuente, lo que es un mecanismo sólido para la integridad/validación de componentes de terceros y para preservar/verificar evidencia de integridad de lanzamientos.

Funciona como el repositorio central de artefactos confiable.

Funciona como el repositorio central de artefactos confiable.

Funciona como el repositorio central de artefactos confiable.

Garantiza que el contenido del repositorio sea auténtico y no haya sido alterado.

Asegura que los artefactos almacenados cumplan los requisitos de vulnerabilidad antes del despliegue.

Aplica verificaciones de procedencia al ingresar artefactos al repositorio.

Protege contra la manipulación del repositorio y de las actualizaciones.

Controla la entrada en la cadena de suministro y el almacenamiento interno de artefactos.

Relaciona los artefactos del repositorio con pipelines de compilación seguros.

Se ejecuta como parte de la pipeline CI para escanear automáticamente el código en busca de fallas de seguridad, violaciones de políticas y patrones inseguros antes de construir los artefactos. Soporta reglas como código para aplicar políticas de compilación segura.

Analizador estático enfocado en Python que revisa funciones inseguras, criptografía débil y problemas de seguridad comunes antes del empaquetado o despliegue.

Análisis estático legado de Java; puede usarse para señalar patrones de código inseguros conocidos antes de la compilación. Ha sido reemplazado por SpotBugs.

Reemplazo moderno de FindBugs. Escáner de bytecode de Java para aplicar prácticas de código seguro antes de compilar los artefactos finales.

Plataforma SAST completa; puede integrarse en CI/CD para aplicar gates de calidad, deteniendo compilaciones que incumplan reglas de seguridad.

Se ejecuta contra aplicaciones construidas/etapas en entornos previos al despliegue para detectar vulnerabilidades explotables, asegurando que no se promueva ninguna versión insegura.

Escáner de vulnerabilidades de aplicaciones web que puede formar parte de la etapa de QA de la compilación para asegurar que el lanzamiento sea seguro.

Escanea dependencias conocidas como vulnerables en la compilación, bloqueando versiones inseguras para su despliegue.

SAST rápido basado en reglas con integración CI.

Calidad general de código + reglas básicas de seguridad.

Linters SAST para Python.

Linters SAST para Go.

Linters SAST para Rails.

Linters SAST para Java.

Escaneo de vulnerabilidades en imágenes/sistemas de archivos contra SBOMs.

Escaneo de vulnerabilidades en imágenes/sistemas de archivos contra SBOMs.

Genera SBOMs (SPDX/CycloneDX) durante la construcción.

Monitoreo continuo de SBOM y alertas post-build.

Bloquea commits/builds que contengan secretos; ejecutarse en CI y como pre-commit hooks.

Proporciona métodos, guías y herramientas de apoyo para builds deterministas, asegurando integridad y verificabilidad de los outputs de fuente a binario.

Sistema de construcción con ejecución hermética (sandbox) y seguimiento explícito de dependencias, previniendo dependencias ocultas o no verificadas.

Sistema de construcción de alta velocidad y determinista que soporta reproducibilidad y configuración estricta como código.

Aplica resolución controlada de dependencias y soporta builds reproducibles para proyectos Java y basados en JVM.

Crea entornos de build reproducibles y controlados para imágenes Linux embebidas, previniendo desviaciones ambientales.

Usa toolchains preconstruidos y entornos sandbox para builds Android seguros y reproducibles.

Herramienta CLI para pre-descarga de dependencias, soporta builds herméticos, genera SBOMs y asegura builds de contenedores aislados de red con gestión reproducible de dependencias.

Kit de utilidades SBOM / cadena de suministro—procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineado a la recolección/mantenimiento/compartición de la procedencia.

Se ejecuta automáticamente en CI antes de construir el artefacto de despliegue.

Se integra con CI/CD para garantizar código limpio antes del release.

Detecta inyecciones SQL, XSS o patrones de deserialización insegura en la base de código.

Protege contra la filtración de secretos en los artefactos desplegados.

Requiere dos revisores para cualquier cambio en módulos críticos de seguridad.

Proporciona un registro verificable de auditoría para la finalización de la revisión de seguridad.

Proporciona un registro verificable de auditoría para la finalización de la revisión de seguridad.

Escanea continuamente las dependencias en cada build para nuevos CVEs. Puede ejecutarse en cada commit o de forma nocturna en CI/CD.

Puede automatizarse en CI/CD para re-probar entornos de staging en busca de vulnerabilidades a medida que se despliega nuevo código.

Enfocado en bibliotecas JavaScript; detecta vulnerabilidades recién divulgadas en paquetes frontend/back-end durante los builds.

Escanea dependencias en busca de vulnerabilidades y problemas de licencias, integrándose con los builds para capturar nuevos hallazgos.

Se ejecuta en CI/CD para proyectos Python para detectar problemas de seguridad recién introducidos.

Detección de vulnerabilidades conocidas – Compara componentes y configuraciones de IaC contra buenas prácticas de seguridad y marcos de cumplimiento conocidos (CIS Benchmarks, NIST, PCI-DSS).

Re-escanea código C/C++ después de cada build para asegurar que no se introdujeron nuevos problemas.

Extensión de SpotBugs que detecta fallas de seguridad en bytecode Java continuamente durante el ciclo de build.

Realiza consultas de seguridad continuas en el código con cada pull request o escaneo programado.

Ejecuta revisiones de calidad de código y reglas de seguridad en cada commit/build.

Análisis estático de Java integrado en la pipeline de build para detección continua de vulnerabilidades.

Automatiza reglas de revisión de PR relacionadas con seguridad, evitando que código inseguro se fusione.

Ejecutar como un paso de CI después de construir la imagen, antes de subir al registro

Confirma que el ejecutable final cumple con los umbrales de vulnerabilidad.

Alimenta SBOM en herramientas SCA como Dependency-Track para monitoreo continuo

Asegura que el artefacto final cumpla con los requisitos de configuración segura.

Paso de aplicación de línea base antes de la promoción a producción.

Pruebas de seguridad en tiempo de ejecución antes del lanzamiento.

Proporciona evidencia verificable para cumplimiento y auditorías.

Automatiza el endurecimiento de la línea base durante la creación de imágenes.

Produce imágenes de contenedor seguras por defecto.

Punto de control en CI para bloquear valores predeterminados inseguros antes de ser compilados/desplegados.

Evita que los valores predeterminados inseguros de IaC lleguen al despliegue.

Evita que los valores predeterminados inseguros de IaC lleguen al despliegue.

Genera evidencia de cumplimiento antes de la promoción de artefactos.

Asegura que solo se puedan desplegar artefactos endurecidos y verificados.

Verifica que los valores predeterminados endurecidos cumplan con los requisitos de CIS antes del lanzamiento.

Aplicación de políticas para manifiestos y configuraciones durante la compilación.

Codifica valores predeterminados seguros como políticas aplicables en CI/CD.

Escanea continuamente manifiestos/locks contra OSV; excelente para confirmar nuevas divulgaciones en todas las versiones soportadas.

Sincroniza continuamente las versiones del Software Bill of Material de los artefactos construidos con OSV.dev, reportando vulnerabilidades descubiertas después de la compilación.

Consulta la base de datos de vulnerabilidades OSV.dev para CVEs de paquetes de código abierto.

Escanea imágenes de contenedores y SBOMs en busca de vulnerabilidades conocidas.

Agrega múltiples fuentes públicas de vulnerabilidades.

Verifica binarios instalados en busca de CVEs conocidos.

SAST para múltiples lenguajes; reglas personalizables. Ejecutar al hacer merge en la rama principal.

Lint de seguridad para Python. Agregar a la etapa de construcción de proyectos Python.

SAST y controles de calidad. Ejecutar en el paso de construcción; bloquear despliegue si se encuentran problemas de alta severidad.

DAST; escaneo pasivo rápido en la aplicación de staging desplegada.

Ubicación pública para reporteros.

Programa de Divulgación de Vulnerabilidades.

Manual para implementar la divulgación.

Agrega SBOMs, certificaciones y vulnerabilidades para entender el alcance y priorizar correcciones.

Automatiza actualizaciones de dependencias/PRs de parches con políticas conscientes del riesgo.

Muestra el alcance de cada vulnerabilidad en los entornos en vivo.

Centraliza vulnerabilidades de herramientas SAST/DAST/SCA; agrega puntuación de riesgo.

Seguimiento de vulnerabilidades basado en SBOM, incluye puntuación CVSS y metadatos.

Evalúa la probabilidad de explotación para CVEs (priorización basada en riesgo).

Proporciona enlaces de explotación, PoCs y contexto adicional por CVE.

Puntuación de impacto estandarizada para respaldar decisiones de triaje.

Firma builds remediadas antes de desplegar (mecanismo de entrega confiable).

Reglas WAF temporales para mitigar vulnerabilidades web sin parchear.

Detección y mitigación en tiempo de ejecución para problemas de contenedores/Kubernetes sin parchear.

Escribir reglas específicas de la organización para detectar patrones de causa raíz; escanear repositorios para eliminar clases de errores.

Consultas profundas de código para identificar los constructos de codificación precisos que conducen a vulnerabilidades.

Proporciona trazas de problemas, violaciones de reglas y puntos críticos, incluidos indicadores de causa raíz.

Realiza seguimiento de vulnerabilidades y metadatos, permite adjuntar notas de causa raíz por cada problema.

Seguimiento a largo plazo de componentes vulnerables para identificar problemas recurrentes de dependencias.

API de metadatos para seguimiento de eventos de seguridad a través de builds/lanzamientos.

Detecta patrones de debilidad (CWEs) en binarios, útil para artefactos compilados.

Plataforma de análisis de código de código abierto para buscar patrones de errores a gran escala.

Marco para mejorar las prácticas de ciclo de vida de desarrollo seguro.

Automatiza revisiones de seguridad de repositorios (protección de ramas, fijación de dependencias, endurecimiento de CI).

Estándar para documentar cumplimiento y mejoras de seguridad en el SDLC.

Aplica políticas de seguridad en organizaciones/repositorios de GitHub.

Soporta definiciones de políticas de seguridad como código y las aplica en pipelines, CI/CD y en tiempo de ejecución. Aplica políticas en tiempo de ejecución mediante integraciones con Kubernetes, Terraform y plataformas CI/CD.

Audita periódicamente los entornos desplegados contra estándares de seguridad internos y externos.

Asocia y versiona metadatos de requisitos de seguridad por servicio y despliegue, habilitando visibilidad continua.

Relaciona hallazgos de seguridad con controles de políticas específicas o marcos regulatorios.

Rastrea autoría y revisores de código, etiqueta releases y documenta quién los disparó.

Asocia servicios desplegados con individuos o equipos responsables, manteniendo un historial de cambios, despliegues y roles.

Lista propietarios de servicios, equipos on-call y rutas de escalamiento, haciendo transparente la responsabilidad post-despliegue en toda la organización.

Rastrea hallazgos de seguridad y asigna responsabilidades de resolución.

Aplica políticas de acceso y límites de roles en entornos de ejecución.

Garantiza que solo los commits/despliegues autorizados afecten producción y registra cada promoción y rollback.

Detecta actividad no autorizada en tiempo de ejecución.

Alertas basadas en propiedad/roles.

Monitorea continuamente SBOMs para CVEs recién divulgados en el software desplegado.

Mantiene un registro histórico de software desplegado, componentes y sus SBOMs; vincula con propietarios para responsabilidad.

Genera SBOMs de imágenes de contenedores o sistemas de archivos desplegados bajo demanda.

Escaneo de vulnerabilidades post-despliegue en contenedores, sistemas de archivos y paquetes; también genera SBOMs.

Escaneo continuo de registries de contenedores para vulnerabilidades.

Escáner rápido de vulnerabilidades para imágenes de contenedores y sistemas de archivos.

Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción.

Verifica firmas de artefactos desplegados; asegura que coincidan con builds aprobados.

Proporciona un registro público e inmutable para firmas y datos de procedencia.

Aplica políticas de seguridad y cumplimiento en sistemas desplegados (e.g., clusters de Kubernetes).

Audita la infraestructura y aplicaciones desplegadas contra líneas base de seguridad y requisitos de cumplimiento.

Plataforma de respuesta a incidentes para eventos de seguridad post-despliegue.

Implementa el framework In-toto usando pipelines-as-code para validación de seguridad de la cadena de suministro.

Rastrea vulnerabilidades y asigna tareas de remediación; integra con escáneres para actualizaciones continuas.

Detección de seguridad en tiempo de ejecución para contenedores y hosts; genera logs de eventos para comportamientos sospechosos.

Captura eventos de seguridad a nivel de sistema en Linux.

Telemetría de endpoints y monitoreo de configuración.

Recopila y almacena métricas y logs en un formato consultable.

Mantiene SBOMs versionadas vinculadas a cada despliegue.

Genera SBOMs a partir de artefactos desplegados para monitoreo continuo.

Recopila y almacena datos de escaneos de cumplimiento.

SIEM con registro de auditoría, detección de amenazas y monitoreo de cumplimiento.

Detecta vulnerabilidades CVE en imágenes y sistemas de archivos desplegados.

Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción.

Proporciona un registro público e inmutable para firmas y datos de procedencia.

Audita infraestructura y aplicaciones desplegadas contra estándares de seguridad y cumplimiento.

Escaneo continuo de vulnerabilidades y generación de SBOM para sistemas en ejecución.

Almacena y organiza resultados de escaneos de seguridad; integra con Trivy, Grype y Dependency-Track.

Ejecuta escaneos de cumplimiento continuos en servidores de desarrollo y construcción; aplica benchmarks CIS/NIST.

Verifica la infraestructura contra estándares de seguridad definidos.

Monitorea nodos de construcción y despliegue en busca de cambios no autorizados.

Valida que clusters de Kubernetes para construcción/pruebas cumplan benchmarks CIS.

Aplica reglas para la configuración de infraestructura (Kubernetes, Terraform, CI/CD).

Aplicación de políticas nativas de Kubernetes para la seguridad del cluster.

Endurece pipelines CI/CD con controles de acceso y logs de auditoría.

Almacena artefactos de construcción de forma segura post-despliegue; aplica controles de acceso.

Registro de contenedores con escaneo de vulnerabilidades y RBAC incorporados.

Ingesta logs de seguridad de infraestructura y alerta sobre violaciones.

Detecta actividad no autorizada en clusters o nodos de construcción/despliegue.

Monitorea métricas de seguridad y genera notificaciones ante incidentes.

Valida que los artefactos desplegados coincidan con las certificaciones criptográficas del proceso de construcción.

Mantiene un registro inmutable y a prueba de manipulaciones de archivos de configuración firmados.

Firmar y verificar imágenes de contenedores, binarios y otros artefactos.

Registro público inmutable para firmas y metadatos.

Verificación de cadena de suministro de extremo a extremo para asegurar que los artefactos desplegados provienen de fuentes confiables.

Firmar y verificar cualquier tipo de archivo, incluyendo tarballs y archivos de configuración.

Registro de contenedores con escaneo de vulnerabilidades integrado, firma de contenido y RBAC.

Repositorio seguro de artefactos con controles de acceso.

Gestión de repositorios binarios con permisos granulares.

Monitorea el sistema de archivos para detectar cambios no autorizados.

Crea una línea base de archivos y detecta alteraciones.

Detecta actividad sospechosa en entornos de Kubernetes o contenedores, incluyendo cambios de archivos.

Aplica políticas basadas en roles para el despliegue de imágenes de contenedores.

Autenticación/autorización centralizada para registros de artefactos y sistemas CI/CD.

Plataforma SIEM que monitorea registros de acceso y alerta sobre anomalías.

Rastrea qué versión de un servicio se despliega dónde y la vincula con su SBOM firmado.

Genera SBOMs para artefactos desplegados para verificación posterior.

Monitorea componentes en artefactos desplegados frente a feeds de CVE.

Registro de contenedores con políticas de retención de imágenes, RBAC y confianza de contenido.

Repositorio de artefactos para almacenar binarios y dependencias.

Gestión de binarios con retención y control de acceso.

Etiquetar y almacenar binarios de lanzamiento, SBOMs y checksums.

Firmar y verificar imágenes de contenedores, SBOMs y otros artefactos.

Registro de transparencia inmutable para todos los artefactos y metadatos firmados.

Firmar y verificar tarballs, binarios o archivos SBOM.

Proporcionar verificación de procedencia de construcción de extremo a extremo.

Mapea servicios desplegados a versiones específicas y sus SBOMs.

Genera SBOMs a partir de artefactos desplegados.

Kit de utilidades SBOM / cadena de suministro: procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineados a recolección/mantenimiento/compartición de procedencia.

Monitorea continuamente SBOMs para nuevos CVEs en versiones preservadas.

Comprobador de integridad del sistema de archivos para detectar cambios en artefactos almacenados.

Establecer línea base y monitorear directorios de lanzamiento almacenados para modificaciones.

SIEM que audita la actividad del repositorio de artefactos.

Auditoría a nivel Linux para accesos a archivos de lanzamiento preservados.

Restringir quién puede subir o modificar artefactos en los registros.

Genera SBOMs desde contenedores, VMs o sistemas de archivos desplegados (formatos SPDX & CycloneDX).

Crear SBOMs y escanear vulnerabilidades en sistemas desplegados.

Registrar pasos de construcción y metadatos de la cadena de suministro como archivos “link” firmados.

Capturar procedencia de construcción y despliegue como certificaciones firmadas.

Firmar SBOMs y metadatos para distribución offline o privada.

Almacenar firmas y certificaciones en un registro público e inmutable.

Detectar cambios no autorizados en archivos de procedencia almacenados localmente.

Detectar cambios no autorizados en archivos de procedencia almacenados localmente.

Versionar y rastrear servicios desplegados y sus SBOMs; vincularlos a entornos y lanzamientos. Acceso API/UI para compartir historial de SBOM y componentes de lanzamientos específicos.

Monitorear continuamente SBOMs preservados para nuevos CVEs.

Adjuntar SBOMs y firmas a imágenes de contenedores en un registro.

Alojar y validar SBOMs en una interfaz web accesible.

Kit de utilidades SBOM / cadena de suministro—procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineados a recolección/mantenimiento/compartición de procedencia.

Análisis estático y dinámico que puede ejecutarse contra bases de código desplegadas en entornos espejo de staging para detectar patrones inseguros.

Escáner de seguridad de aplicaciones web para aplicaciones desplegadas.

Pruebas activas y pasivas de aplicaciones en vivo para detectar vulnerabilidades.

Valida que las aplicaciones desplegadas cumplan con estándares de codificación segura.

Sincronización cada 10 minutos con OSV.dev para detectar nuevas vulnerabilidades en artefactos desplegados.

Escanea sistemas para verificar cumplimiento con líneas base relacionadas con codificación segura.

Registro y monitoreo: detecta comportamiento inseguro en tiempo de ejecución (por ejemplo, llamadas al sistema inseguras).

Monitorea logs de la aplicación y del sistema operativo para eventos relacionados con seguridad.

Captura llamadas de sistema de bajo nivel relacionadas con la ejecución de código.

Genera SBOMs para aplicaciones desplegadas con monitoreo continuo.

Hoppr es un kit de utilidades de SBOM / cadena de suministro: el procesamiento y movimiento de “materiales” de la cadena de suministro se alinea con la recolección, mantenimiento y compartición de procedencia.

Rastrea continuamente SBOMs para detectar nuevas vulnerabilidades

Escanea contenedores/sistemas de archivos desplegados para CVEs conocidas en código y dependencias.

Escaneo enfocado de vulnerabilidades para artefactos desplegados.

Verifica que los contenedores y binarios desplegados hayan sido firmados en tiempo de compilación.

Almacena datos de verificación y attestations en un log evidente ante manipulaciones.

Garantiza que el código desplegado coincida con los pasos revisados del pipeline de build.

Monitorea archivos desplegados para detectar cambios no autorizados.

Revisa código desplegado en espejo para detectar problemas de seguridad o violaciones de políticas.

Consultas avanzadas de código para detectar patrones de vulnerabilidad.

Escaneo de vulnerabilidades web contra endpoints desplegados.

Rastrea vulnerabilidades en endpoints en vivo para tiempos de remediación rápidos.

Pruebas DAST automatizadas y manuales para aplicaciones en vivo.

Escaneo de vulnerabilidades enfocado en servidores.

Mapea resultados a líneas base de cumplimiento.

Rastrea vulnerabilidades encontradas durante revisiones posteriores al despliegue y las vincula con la remediación.

Almacena reportes de vulnerabilidades firmados y metadatos de commits de parches.

Registra de forma inmutable resultados de escaneo, remediaciones y firmas.

La auditoría y retención de evidencia rastrea qué entornos están ejecutando qué versión, permitiendo el redespliegue dirigido de builds parchados.

Escanea contenedores en ejecución, sistemas de archivos y clústeres Kubernetes; también genera SBOMs.

Escaneo de vulnerabilidades impulsado por SBOM para imágenes y directorios.

Monitorea registros de contenedores para detectar imágenes vulnerables.

Escaneo de vulnerabilidades de red y hosts.

Genera SBOMs desde entornos desplegados.

Monitorea SBOMs para detectar nuevos CVEs y violaciones de políticas.

Escaneo de vulnerabilidades basado en Nix a partir de entradas SBOM.

Controlador de admisión nativo de Kubernetes que aplica umbrales de vulnerabilidad.

Detecta anomalías en tiempo de ejecución que pueden indicar explotación.

Escaneo de vulnerabilidades enfocado en servidores.

Automatiza redespliegues de contenedores cuando se publica una nueva imagen.

Reinicios automatizados de nodos Kubernetes para parcheo del kernel.

Centraliza datos de vulnerabilidades provenientes de escáneres; asigna tareas de remediación y rastrea SLAs.

Respuesta a incidentes y coordinación para eventos urgentes de vulnerabilidades.

Escaneos continuos de contenedores desplegados, sistemas de archivos y clústeres Kubernetes.

Detecta CVEs en SBOMs o imágenes desplegadas.

Escaneo continuo de vulnerabilidades para imágenes en registros.

Genera SBOMs desde sistemas en ejecución para monitoreo continuo.

Define y ejecuta validaciones de cumplimiento (CIS, NIST, políticas específicas de la organización) contra entornos desplegados.

Evalúa sistemas en ejecución contra líneas base de seguridad.

Valida despliegues de Kubernetes contra benchmarks CIS.

Identifica posibles rutas de ataque en clústeres Kubernetes desplegados.

Detecta cambios en tiempo de ejecución en archivos, procesos y comportamiento de red.

Monitoreo de integridad de archivos para asegurar que binarios/configuraciones no sean alterados.

Consulta el estado del sistema para detectar cambios de configuración no autorizados.

Aplica políticas continuas de cumplimiento en tiempo de ejecución.

Motor de políticas nativo de Kubernetes para prevenir actualizaciones inseguras.

Centraliza resultados de verificación y rastrea problemas a lo largo del tiempo.

Almacena reportes de verificación firmados en un registro a prueba de manipulaciones.

Trivy ejecuta escaneos semanales sobre todas las imágenes de contenedores y hosts de producción → los resultados son firmados y registrados en Rekor.

Regenera SBOMs para artefactos desplegados y marca nuevos CVEs.

Puntuación CVSS + asignación de SLA a los responsables.

Reconstrucción/redespliegue automático cuando haya imágenes parchadas disponibles.

Reinicios automatizados de nodos Kubernetes para parcheo del kernel.

Usa despliegues canary/escalonados para versiones parchadas.

Ejecuta escaneos programados en contenedores en ejecución, máquinas virtuales y registros; se integra con monitoreo de SBOM.

Almacena registros firmados de detección, triage, corrección y verificación.

Ejecuta SAST contra el código exacto vinculado a los binarios desplegados; incluye escaneo de dependencias.

Vuelve a ejecutar el análisis de código en espejos de producción.

Mantiene registros inmutables de todas las revisiones, aprobaciones y ejecuciones de análisis automatizado.

Commits firmados, historial de ramas protegidas y resultados de escaneo.

Escanea contenedores y sistemas de archivos desplegados para detectar CVEs conocidas en código y dependencias.

Escaneo enfocado de vulnerabilidades para artefactos desplegados.

Sincronización cada 10 minutos con OSV.dev para detección de nuevas vulnerabilidades en artefactos desplegados.

Escaneo de vulnerabilidades de red y hosts.

Mapea resultados de escaneo a estándares de seguridad (NIST, CIS, OWASP ASVS).

Resultados de escaneo de cumplimiento, perfiles base, documentación de excepciones.

DAST, fuzzing y monitoreo en tiempo de ejecución para detectar comportamiento inseguro.

Reportes de DAST y fuzzing.

Monitorea continuamente drift en configuraciones de contenedores.

Compara sistemas desplegados contra líneas base seguras de configuración (NIST, CIS, STIG).

Compara sistemas desplegados contra líneas base seguras de configuración (NIST, CIS, STIG).

Monitorea continuamente cambios de configuración; alerta o autorremedia desviaciones.

Logs de detección de drift y acciones de remediación.

Policy-as-code y gestión de configuración para asegurar que todos los despliegues coincidan con la línea base.

Playbooks de configuración, logs de enforcement e historial de cambios de políticas.

Almacena resultados de escaneo firmados y registros de detección de drift en sistemas evidentes ante manipulaciones.

Se integra con SBOMs en vivo para detectar y alertar vulnerabilidades después del despliegue.

Vincula las vulnerabilidades detectadas directamente con versiones desplegadas del servicio para trazabilidad.

Centro de gestión de vulnerabilidades con métricas y seguimiento.

Identifica vulnerabilidades en imágenes ya desplegadas en entornos Kubernetes o Docker.

Funciona con SBOMs generados por Syft para comprobar continuamente nuevos CVEs.

Proporciona escaneos programados de cumplimiento junto con escaneos de vulnerabilidades.

Ayuda a los equipos a priorizar la remediación filtrando vulnerabilidades no explotables.

Genera SBOMs en vivo para ser consumidos por herramientas como Dependency-Track o Grype.

Kit de herramientas de cadena de suministro y SBOM que permite gestionar y mover artefactos de procedencia.

Centraliza la puntuación de riesgo, la gestión de flujos de trabajo y el seguimiento del progreso de remediación.

Proporciona priorización de vulnerabilidades en tiempo real e integración con sistemas de seguimiento de issues.

Permite priorización y evaluación de impacto de vulnerabilidades según el entorno desplegado.

Aplicación de SLAs de remediación y automatización del despliegue de versiones corregidas.

Escaneo continuo e integración con CI/CD para promover artefactos parcheados.

Asegura que ninguna vulnerabilidad quede sin una acción de remediación rastreada.

Proporciona señales en tiempo real para priorizar correcciones de seguridad operativa.

Soporta análisis forense rastreando cuándo y dónde un componente vulnerable ingresó al sistema.

Mantiene datos históricos para identificar tendencias en el origen de vulnerabilidades.

Soporta trazabilidad forense y análisis de responsabilidad en la causa raíz.

Permite análisis de diferencias de SBOM para investigaciones de causa raíz.

Ayuda a determinar si las vulnerabilidades provienen de problemas a nivel de código.

Permite mapear la causa raíz hacia debilidades de configuración del sistema.

Proporciona contexto temporal para análisis de líneas de tiempo de la causa raíz.

Soporta inspección profunda durante análisis forense de vulnerabilidades.