Motor de políticas de propósito general usando Rego para aplicar políticas en servicios, CI/CD e infraestructura.

Usa el lenguaje Rego de OPA para probar manifests de Kubernetes, Terraform y Dockerfiles contra requisitos de seguridad predefinidos.

Prueba infraestructuras y aplicaciones desplegadas contra frameworks de cumplimiento (por ejemplo, CIS Benchmarks, NIST 800-53).

Motor de políticas nativo de Kubernetes para aplicar configuraciones seguras en el momento del despliegue.

Escanea Infraestructura como Código (IaC) durante la compilación para asegurar el cumplimiento de los requisitos de seguridad antes del despliegue.

Escanea imágenes de contenedores, IaC y SBOMs para vulnerabilidades y configuraciones incorrectas antes del despliegue.

Análisis estático de imágenes de contenedores para asegurar que cumplan con los requisitos de seguridad antes de enviarlas al registro.

Escaneo de vulnerabilidades en imágenes de contenedores y sistemas de archivos para validar artefactos contra políticas antes del despliegue.

Firmar y verificar imágenes de contenedores y otros artefactos de compilación para asegurar su integridad y procedencia.

Verifica de forma segura artefactos de la cadena de suministro y aplica políticas sobre cómo fueron construidos y probados. Construido con Sigstore y Open Policy Agent, puede verificar el cumplimiento de procedencia SLSA con políticas extensibles.

Gestión de identidad y acceso de código abierto para aplicar RBAC en pipelines de CI/CD y herramientas de despliegue.

Proveedor federado de OpenID Connect para integrar identidades de desarrolladores en sistemas de build y deploy con control de acceso basado en roles.

Gestiona y controla de manera segura el acceso a secretos según roles definidos durante builds y despliegues.

Herramienta de despliegue GitOps con RBAC para controlar quién puede sincronizar, aprobar o revertir despliegues.

Agrega RBAC detallado a pipelines de Jenkins, limitando acciones de build y deploy a roles autorizados.

CI/CD nativo de Kubernetes con RBAC de Kubernetes para controlar permisos de ejecución de pipelines.

Herramienta GitOps que aplica RBAC para workflows de despliegue y requiere aprobaciones para cambios.

Control de acceso incorporado para restringir quién puede desplegar, modificar o eliminar cargas de trabajo.

Servicio Git autoalojado con roles de usuario y permisos de repositorio para aplicar flujos de trabajo de aprobación y revisión.

Proporciona registro de auditoría para acciones de build y deploy, ayudando a rastrear el cumplimiento de las responsabilidades asignadas.

Firma y verifica artefactos de build para evitar el despliegue de software manipulado.

Garantiza la procedencia del build y verifica la integridad de los artefactos antes del despliegue.

Escanea repositorios y pipelines de build en busca de secretos antes de la ejecución del build.

Herramienta de despliegue GitOps con RBAC para controlar quién puede sincronizar, aprobar o revertir despliegues.

Escanea contenedores de herramientas CI/CD y sus dependencias en busca de vulnerabilidades.

Genera SBOMs de artefactos de build para rastrear los componentes usados en la cadena de herramientas.

Builds con dependencias fijadas y predescargadas en entornos aislados para habilitar builds reproducibles y verificables.

Pre-descarga dependencias para builds herméticos, genera SBOMs y asegura builds de contenedores aislados de red con checksums verificables.

Analiza imágenes de contenedores usados en builds/despliegues para detectar vulnerabilidades.

Protege secretos usados por herramientas de build/despliegue, asegurando que no se expongan en los pipelines.

Aplica políticas como código en workflows de CI/CD y despliegue usando Rego para prevenir acciones inseguras.

Implementa el framework In-toto usando pipelines como código.

Monitorea y registra la actividad de la cadena de herramientas CI/CD para garantizar integridad y cumplimiento.

Automatiza el escaneo de dependencias de código abierto en los builds para aplicar una detección consistente de vulnerabilidades.

Análisis estático integrado en los builds para asegurar verificaciones consistentes de seguridad del código antes del despliegue.

Linter de seguridad para Python en pipelines de build para mantener verificaciones consistentes por lenguaje.

Escaneo consistente de vulnerabilidades e IaC antes del despliegue.

Mantiene escaneos de vulnerabilidades consistentes para todos los artefactos de build.

Automatiza verificaciones de cumplimiento antes del despliegue para asegurar que las prácticas coincidan con los estándares organizacionales.

Estandariza la firma y verificación de artefactos para que solo builds confiables sean desplegados.

Aplica políticas de despliegue a nivel organizacional en todos los entornos.

Centraliza y estandariza el seguimiento de vulnerabilidades y flujos de remediación en todos los builds.

Protege los servidores de build de Jenkins con configuraciones codificadas y RBAC para limitar el acceso a trabajos críticos de build.

Framework CI/CD nativo de Kubernetes con control de acceso basado en roles (RBAC).

Despliegue GitOps con RBAC y verificación de commits firmados para despliegues a producción.

Protege secretos en entornos de build y despliegue, previniendo fugas en los pipelines.

Firma artefactos de build y los verifica antes del despliegue para asegurar que no fueron manipulados.

Proporciona seguridad de extremo a extremo en la cadena de suministro de software, asegurando que cada paso del build/despliegue esté firmado y verificado.

Ejecuta escaneos de cumplimiento continuo en servidores de desarrollo y build; aplica benchmarks CIS/NIST.

Verifica la procedencia del build, asegurando que los artefactos provienen de un entorno de build confiable y no comprometido.

Escanea contenedores e infraestructura de build/despliegue en busca de vulnerabilidades y configuraciones incorrectas.

Seguridad en tiempo de ejecución para entornos de build y despliegue, detectando comportamientos maliciosos o actividad no autorizada.

Monitorea servidores de build y despliegue para cambios en la integridad de archivos, accesos no autorizados y eventos de seguridad.

Aplica políticas de seguridad de Kubernetes en los entornos de despliegue (ej., no permitir pods privilegiados).

Firmar los resultados de construcción (binarios, contenedores, SBOMs) y crear atestaciones; verificar en CI antes de la promoción.

Requerir commits/tags firmados y rechazar los no firmados en CI para evitar que código no autorizado entre en las construcciones.

Emitir certificados de corta duración (Fulcio) y registrar firmas/atestaciones en un registro de transparencia (Rekor) para detectar/seguir manipulaciones.

Emitir y firmar la procedencia de la construcción; verificar quién/qué/dónde se construyó el artefacto antes de enviarlo.

Definir un diseño de cadena de suministro y verificar los materiales/productos de cada paso para asegurar que nada fue manipulado a lo largo de la canalización.

Firmar automáticamente los resultados de tareas (imágenes, archivos) en pipelines de Tekton y almacenar atestaciones (por ejemplo, en Rekor).

Firmar artefactos OCI (imágenes, Helm charts) durante la construcción para verificación posterior en registros y clusters.

Bloquear insumos y hacer las construcciones determinísticas para que los cambios no autorizados sean detectables mediante discrepancia de hash/procedencia.

Bloquear insumos y hacer las construcciones determinísticas para que los cambios no autorizados sean detectables mediante discrepancia de hash/procedencia.

Persistir firmas, SBOMs y metadatos de políticas para auditar la integridad de las construcciones a través de los servicios.

Aplicar confianza de contenido, cuentas de robots y políticas sobre quién puede subir/descargar; requerir artefactos firmados antes de la liberación.

Controlador de admisión que bloquea imágenes no firmadas o firmadas incorrectamente; aplica políticas de clave/issuer/sujeto.

Políticas de Kubernetes que requieren firmas de imágenes, fijan por digest y prohíben etiquetas mutables en despliegues.

Control de admisión para despliegues con políticas personalizadas (por ejemplo, “solo imágenes firmadas de registros/namespaces aprobados”).

Verifica firmas/atestaciones OCI (Cosign/Notation) en tiempo de admisión y bloquea todo lo que falle la verificación.

Controlador de admisión de Kubernetes dedicado a verificar las firmas de imágenes de contenedores antes de su programación.

Verificar firmas/atestaciones como puerta de liberación en su pipeline de CD antes de aplicar los manifests.

Firmar binarios, imágenes de contenedores, SBOMs y atestaciones durante la construcción; soporta firmas sin clave.

Firmar etiquetas de liberación para vincular criptográficamente el código fuente con el artefacto construido.

Fulcio emite certificados de firma efímeros; Rekor registra todas las firmas en un registro de transparencia a prueba de manipulaciones para verificación posterior.

Genera automáticamente metadatos de procedencia describiendo el origen, insumos y proceso de construcción. Valida los archivos de procedencia para asegurar la integridad del artefacto antes de su distribución.

Define un diseño verificable de la cadena de suministro de software; crea metadatos de enlace que prueban cada paso de la construcción.

Almacena metadatos (firmas, checksums, SBOMs) para que puedan ser consultados para verificación.

Crear y publicar checksums de artefactos de liberación para que los receptores puedan verificar manual o automáticamente la integridad.

Aplicar confianza de contenido; asegurar que solo se almacenen y distribuyan imágenes firmadas, con políticas sobre quién puede subir/descargar; requerir artefactos firmados antes de la liberación.

Controlador de admisión de Kubernetes que aplica políticas de firma/procedencia antes del despliegue. Bloquea imágenes no firmadas o firmadas incorrectamente; aplica políticas de clave/issuer/sujeto.

Políticas de Kubernetes que requieren firmas de imágenes, fijan por digest y prohíben etiquetas mutables en despliegues. Valida firmas y digests de imágenes de contenedor antes de desplegarlas.

Control de admisión personalizado para aplicar integridad de artefactos y políticas de firmantes confiables.

Framework de verificación plugable para registros/imágenes OCI; funciona con Cosign, Notation, in-toto.

Controlador de admisión de Kubernetes dedicado a la verificación de firmas y políticas de confianza de imágenes.

Firma artefactos OCI (contenedores, Helm charts) y los verifica antes de instalar o desplegar.

Se usa en pipelines de CD o hooks de admisión para verificar que firmas y atestaciones coincidan con claves/políticas confiables antes de la promoción.

Crear etiquetas firmadas e inmutables para cada liberación; preserva el snapshot del código fuente para auditoría.

Almacenar artefactos binarios grandes junto con el código fuente, asegurando la integridad.

Hospedar y versionar artefactos de liberación (JARs, binarios, contenedores) con control de acceso basado en roles y validación de checksums.

Archivar resultados de construcción en un repositorio controlado y versionado; soporta checksums y políticas de retención.

Almacenar imágenes de contenedores con escaneo de vulnerabilidades, RBAC y confianza de contenido firmado para preservar la integridad de la liberación. Aplicar etiquetas inmutables y evitar sobrescrituras para que los artefactos desplegados siempre se puedan rastrear hasta la copia archivada.

(ORT) Archivar SBOMs, archivos de licencia y reportes de vulnerabilidades junto con la liberación para cumplimiento y auditoría.

Firmar artefactos de liberación antes de archivarlos para que la integridad pueda ser verificada posteriormente.

Aplicar imágenes con digest fijo para asegurar que los despliegues siempre coincidan con las versiones archivadas.

Aplicación de políticas para garantizar que solo se desplieguen artefactos archivados y aprobados.

Verifica firmas y atestaciones de artefactos contra los metadatos de liberaciones archivadas antes del despliegue.

Controlador de admisión que asegura que solo se desplieguen imágenes firmadas del conjunto archivado.

Archivado a largo plazo de versiones de artefactos desplegados para recuperación o investigación.

Conservar la procedencia de construcción en un registro de transparencia para que las liberaciones desplegadas puedan ser verificadas cruzadamente con los originales archivados.

rebuilderd verifica de manera independiente que los paquetes binarios puedan reproducirse desde el código fuente, lo que es un mecanismo sólido para la integridad de componentes de terceros y para preservar/verificar la evidencia de integridad de la liberación.

El enfoque de TestifySec es la verificación de evidencia, atestaciones y políticas en torno a las construcciones; su herramienta Witness se usa para crear y verificar atestaciones y aplicar políticas, es decir, generación de procedencia + verificación de políticas.

Evita que código inseguro sea empaquetado y desplegado.

Asegura que los artefactos desplegados cumplan con configuraciones base seguras.

Aplica listas de componentes aprobados y configuraciones base de seguridad antes del despliegue.

Genera SBOMs para aplicaciones desplegadas para monitoreo continuo.

Aplica listas de componentes aprobados y configuraciones base de seguridad antes del despliegue.

Escaneo de vulnerabilidades enfocado en artefactos desplegados.

Garantiza que los artefactos de construcción coincidan exactamente con el diseño aprobado de seguridad, sin desviaciones ni diferencias ambientales.

Asegura que todos los artefactos desplegados se construyan desde un entorno trazable y verificable que cumpla con las bases de seguridad del diseño.

Aplica reglas de construcción seguras, evita cambios no autorizados y produce resultados idénticos en todos los agentes de construcción.

Fortalece la seguridad de la cadena de suministro al detectar modificaciones no autorizadas entre el código fuente y el despliegue.

Implementa principios de diseño seguro como superficie de ataque mínima y selección verificada de dependencias.

Asegura que los artefactos provengan de un proceso de construcción confiable y verificado y que no hayan sido alterados.

Proporciona garantía criptográfica de que los artefactos desplegados son auténticos y no han sido manipulados.

Aplica integridad y responsabilidad en toda la canalización de construcción y despliegue.

Protege la integridad de los canales de despliegue y distribución de actualizaciones.

Genera y gestiona claves para firmar artefactos de construcción. Implementa TLS/SSL para comunicación segura entre agentes de construcción y repositorios de artefactos.

Firma el código fuente, commits y resultados de construcción y verifica las firmas antes de desplegar artefactos.

Incorpora firma y verificación criptográfica en pipelines de construcción Java/.NET.

Valida que los entornos de despliegue cumplan los requisitos de integridad basados en hardware antes del despliegue.

Publica atestaciones criptográficas de procedencia de construcción o aprobaciones de despliegue y proporciona un registro de auditoría descentralizado e inalterable de los datos de confianza de los artefactos.

Aplica políticas de diseño de despliegue seguro (por ejemplo, imágenes base aprobadas, configuraciones no permitidas).

Aplica los requisitos de diseño de seguridad en tiempo de construcción (por ejemplo, aprobación de dependencias, umbrales de CVE). Aplica políticas consistentes desde la construcción hasta el tiempo de ejecución.

Asegura que las cargas de trabajo desplegadas cumplan con los requisitos de seguridad para autenticación mutua y confianza cero, y vincula la identidad de la carga de trabajo con la procedencia en tiempo de construcción para garantizar la integridad del despliegue.

Pre-descarga dependencias para construcciones herméticas, genera SBOMs y asegura construcciones reproducibles con seguimiento explícito de dependencias y checksums verificables.

Incorpora modelos de amenazas en CI/CD, asegurando que los requisitos de seguridad estén vinculados a los componentes arquitectónicos antes de la construcción. (Cumple PW.1.1 y PW.1.2)

Ayuda a refinar los requisitos de seguridad relacionados con la exposición de la red y el inventario de activos. (Cumple PW.1.1)

Integra los requisitos de seguridad en los modelos del sistema, que luego pueden ser validados en la construcción y despliegue. (Cumple PW.1.1)

Incorpora modelos de amenazas en CI/CD, asegurando que los requisitos de seguridad estén vinculados a los componentes arquitectónicos antes de la construcción. (Cumple PW.1.1)

Herramienta de gestión de requisitos para definir, rastrear y validar requisitos de seguridad. Documenta los requisitos de seguridad y los vincula a commits y resultados de construcción. (Cumple PW.1.1 y PW.1.2)

Herramienta de gestión de requisitos usando texto plano y control de versiones para trazabilidad. Soporta trazabilidad desde el diseño hasta la construcción, asegurando que los requisitos se reflejen en los artefactos finales. (Cumple PW.1.2)

Herramienta de marco de trabajo de cumplimiento y gestión de riesgos de código abierto para rastrear controles RMF (NIST 800-37). Los requisitos de seguridad se mapean a controles de cumplimiento formales que pueden verificarse en artefactos de construcción y despliegue. (Cumple PW.1.2)

Control automatizado de cumplimiento de diseño en CI/CD

Valida que las configuraciones de despliegue coincidan con la arquitectura de seguridad aprobada.

Aplica reglas de segmentación de red, requisitos de cifrado y configuraciones seguras por defecto.

Agrega automatización de revisión de IaC al proceso de construcción.

Revisión automatizada de código para asegurar alineación con los requisitos de diseño de seguridad.

Verificación de cumplimiento de configuraciones antes del despliegue.

Garantiza que los requisitos de diseño impulsados por el modelo de amenazas estén implementados.

Verificación de arquitectura post-construcción/pre-despliegue. Detecta desviaciones respecto a la arquitectura prevista.

Revisa los manifiestos de Kubernetes para cumplimiento de diseño antes del despliegue. Asegura que la configuración de seguridad de los pods coincida con los diseños aprobados.

PRs automatizados de actualización de dependencias con alertas de vulnerabilidades. Ayuda a verificar que las dependencias cumplan los requisitos de seguridad (p. ej., sin CVEs conocidos, versiones mínimas).

Herramienta de seguimiento del Marco de Gestión de Riesgos. Puede mapear los requisitos de seguridad a nivel de diseño a controles NIST 800-53 y verificar que dichos controles estén implementados en las configuraciones de construcción.

Se ejecuta en pipelines CI/CD o como pre-commit hook para bloquear merges si el código viola las reglas de seguridad o arquitectura aprobadas antes de la construcción.

Escáner de vulnerabilidades basado en SBOM para imágenes/sistemas de archivos. Verifica que las dependencias en la construcción cumplan con las bases de seguridad y estén libres de componentes no permitidos.

Análisis estático de vulnerabilidades para imágenes de contenedor. Confirma que las imágenes finales cumplan con los requisitos de seguridad de diseño antes del despliegue.

Escaneo de IaC y aplicación de políticas (basado en OPA). Aplica el diseño de seguridad aprobado en configuraciones de Terraform, Kubernetes, Docker y AWS CloudFormation antes del despliegue.

Herramienta de flujo de trabajo para revisión y aprobación de código. Garantiza revisión humana contra los requisitos de diseño y seguridad antes de fusionar a las ramas de lanzamiento.

Garantiza que los manifiestos cumplan con los valores predeterminados seguros antes del despliegue.

Valida que las configuraciones predeterminadas cumplan con los requisitos de seguridad.

Detecta y bloquea valores predeterminados inseguros en Terraform, Helm o CloudFormation antes del lanzamiento.

Valida los valores predeterminados fortalecidos en la provisión de infraestructura en la nube.

Verificación automatizada de cumplimiento de configuraciones durante CI/CD.

Automatiza pruebas de cumplimiento para valores predeterminados seguros.

Incorpora valores predeterminados fortalecidos en imágenes de contenedor o VM antes del lanzamiento.

Validación previa al despliegue de valores predeterminados seguros en manifiestos.

Garantiza que las imágenes del sistema operativo desplegadas cumplan con los valores predeterminados fortalecidos.

Formato SBOM para documentar componentes/configuraciones exactas en el build final; ayuda a verificar que los valores predeterminados seguros estén presentes.

Estándar SBOM para registrar todos los componentes, licencias y procedencia; puede confirmar la inclusión de dependencias fortalecidas.

Catálogo de Helm charts, operadores OLM, etc., verificados; puede hacer cumplir el uso de paquetes seguros por defecto.

Gestor de repositorios para almacenar artefactos firmados y verificados con controles de acceso.

Hospeda artefactos y hace cumplir comprobaciones de políticas antes de su promoción.

Registro OCI con escaneo de vulnerabilidades, firma de contenido y aplicación de políticas para imágenes.

Firma de commits/tags en GitLab CE para verificar procedencia.

Detecta patrones de código que violan los requisitos de seguridad.

Escanea imágenes de contenedores, IaC y configuraciones para valores predeterminados inseguros.

App de GitHub que aplica políticas de seguridad en repositorios.

Modelo de madurez de seguridad para guiar prácticas de valores predeterminados seguros.

Requisitos de seguridad de aplicaciones para verificar valores predeterminados seguros.

Rastreo central de vulnerabilidades; garantiza que los problemas encontrados en builds se solucionen antes del lanzamiento.

Detecta dependencias conocidas vulnerables en los builds.

Servicio Git autohospedado con soporte de firma y políticas.

Plataforma Git con firma, escaneo e integración de políticas CI/CD.

Pruebas automatizadas para confirmar que los valores predeterminados funcionen.

Automatización de pruebas funcionales/UI para verificar configuraciones seguras.

Automatización de pruebas funcionales/UI para verificar configuraciones seguras.

Escáner DAST para verificar que los valores predeterminados de la aplicación no sean explotables.

Framework de pruebas Java para comprobaciones de seguridad/funcionales.

Framework BDD para verificar requisitos funcionales y de seguridad.

Escáner de vulnerabilidades de imágenes para registros OCI.

Escáner de vulnerabilidades basado en SBOM para builds e imágenes.

Detecta patrones de código y valores predeterminados inseguros en Python.

Encuentra patrones que violan políticas en el código.

Detecta problemas de seguridad y valores predeterminados específicos de Rails.

Detecta secretos en el código (previene exposición de credenciales predeterminadas).

Encuentra secretos en repositorios/historial para evitar valores predeterminados inseguros.

Detecta dependencias conocidas vulnerables en los builds.

Automatiza verificaciones de licencias/seguridad; bloquea componentes no conformes.

Escaneo de licencias/dependencias; garantiza cumplimiento con políticas predeterminadas.

Detecta licencias, derechos de autor y metadatos de seguridad en los artefactos.

Inspección de imágenes de contenedor para detalles de dependencias/componentes.

Política como código para build & deploy; bloquea valores predeterminados inseguros en configuraciones/manifiestos.

rebuilderd verifica de manera independiente que los paquetes binarios puedan reproducirse desde la fuente, lo que es un mecanismo sólido para la integridad/validación de componentes de terceros y para preservar/verificar evidencia de integridad de lanzamientos.

Funciona como el repositorio central de artefactos confiable.

Funciona como el repositorio central de artefactos confiable.

Funciona como el repositorio central de artefactos confiable.

Garantiza que el contenido del repositorio sea auténtico y no haya sido alterado.

Asegura que los artefactos almacenados cumplan los requisitos de vulnerabilidad antes del despliegue.

Aplica verificaciones de procedencia al ingresar artefactos al repositorio.

Protege contra la manipulación del repositorio y de las actualizaciones.

Controla la entrada en la cadena de suministro y el almacenamiento interno de artefactos.

Relaciona los artefactos del repositorio con pipelines de compilación seguros.

Se ejecuta como parte de la pipeline CI para escanear automáticamente el código en busca de fallas de seguridad, violaciones de políticas y patrones inseguros antes de construir los artefactos. Soporta reglas como código para aplicar políticas de compilación segura.

Analizador estático enfocado en Python que revisa funciones inseguras, criptografía débil y problemas de seguridad comunes antes del empaquetado o despliegue.

Análisis estático legado de Java; puede usarse para señalar patrones de código inseguros conocidos antes de la compilación. Ha sido reemplazado por SpotBugs.

Reemplazo moderno de FindBugs. Escáner de bytecode de Java para aplicar prácticas de código seguro antes de compilar los artefactos finales.

Plataforma SAST completa; puede integrarse en CI/CD para aplicar gates de calidad, deteniendo compilaciones que incumplan reglas de seguridad.

Se ejecuta contra aplicaciones construidas/etapas en entornos previos al despliegue para detectar vulnerabilidades explotables, asegurando que no se promueva ninguna versión insegura.

Escáner de vulnerabilidades de aplicaciones web que puede formar parte de la etapa de QA de la compilación para asegurar que el lanzamiento sea seguro.

Escanea dependencias conocidas como vulnerables en la compilación, bloqueando versiones inseguras para su despliegue.

SAST rápido basado en reglas con integración CI.

Calidad general de código + reglas básicas de seguridad.

Linters SAST para Python.

Linters SAST para Go.

Linters SAST para Rails.

Linters SAST para Java.

Escaneo de vulnerabilidades en imágenes/sistemas de archivos contra SBOMs.

Escaneo de vulnerabilidades en imágenes/sistemas de archivos contra SBOMs.

Genera SBOMs (SPDX/CycloneDX) durante la construcción.

Monitoreo continuo de SBOM y alertas post-build.

Bloquea commits/builds que contengan secretos; ejecutarse en CI y como pre-commit hooks.

Proporciona métodos, guías y herramientas de apoyo para builds deterministas, asegurando integridad y verificabilidad de los outputs de fuente a binario.

Sistema de construcción con ejecución hermética (sandbox) y seguimiento explícito de dependencias, previniendo dependencias ocultas o no verificadas.

Sistema de construcción de alta velocidad y determinista que soporta reproducibilidad y configuración estricta como código.

Aplica resolución controlada de dependencias y soporta builds reproducibles para proyectos Java y basados en JVM.

Crea entornos de build reproducibles y controlados para imágenes Linux embebidas, previniendo desviaciones ambientales.

Usa toolchains preconstruidos y entornos sandbox para builds Android seguros y reproducibles.

Herramienta CLI para pre-descarga de dependencias, soporta builds herméticos, genera SBOMs y asegura builds de contenedores aislados de red con gestión reproducible de dependencias.

Kit de utilidades SBOM / cadena de suministro—procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineado a la recolección/mantenimiento/compartición de la procedencia.

Se ejecuta automáticamente en CI antes de construir el artefacto de despliegue.

Se integra con CI/CD para garantizar código limpio antes del release.

Detecta inyecciones SQL, XSS o patrones de deserialización insegura en la base de código.

Protege contra la filtración de secretos en los artefactos desplegados.

Requiere dos revisores para cualquier cambio en módulos críticos de seguridad.

Proporciona un registro verificable de auditoría para la finalización de la revisión de seguridad.

Proporciona un registro verificable de auditoría para la finalización de la revisión de seguridad.

Escanea continuamente las dependencias en cada build para nuevos CVEs. Puede ejecutarse en cada commit o de forma nocturna en CI/CD.

Puede automatizarse en CI/CD para re-probar entornos de staging en busca de vulnerabilidades a medida que se despliega nuevo código.

Enfocado en bibliotecas JavaScript; detecta vulnerabilidades recién divulgadas en paquetes frontend/back-end durante los builds.

Escanea dependencias en busca de vulnerabilidades y problemas de licencias, integrándose con los builds para capturar nuevos hallazgos.

Se ejecuta en CI/CD para proyectos Python para detectar problemas de seguridad recién introducidos.

Detección de vulnerabilidades conocidas – Compara componentes y configuraciones de IaC contra buenas prácticas de seguridad y marcos de cumplimiento conocidos (CIS Benchmarks, NIST, PCI-DSS).

Re-escanea código C/C++ después de cada build para asegurar que no se introdujeron nuevos problemas.

Extensión de SpotBugs que detecta fallas de seguridad en bytecode Java continuamente durante el ciclo de build.

Realiza consultas de seguridad continuas en el código con cada pull request o escaneo programado.

Ejecuta revisiones de calidad de código y reglas de seguridad en cada commit/build.

Análisis estático de Java integrado en la pipeline de build para detección continua de vulnerabilidades.

Automatiza reglas de revisión de PR relacionadas con seguridad, evitando que código inseguro se fusione.

Ejecutar como un paso de CI después de construir la imagen, antes de subir al registro

Confirma que el ejecutable final cumple con los umbrales de vulnerabilidad.

Alimenta SBOM en herramientas SCA como Dependency-Track para monitoreo continuo

Asegura que el artefacto final cumpla con los requisitos de configuración segura.

Paso de aplicación de línea base antes de la promoción a producción.

Pruebas de seguridad en tiempo de ejecución antes del lanzamiento.

Proporciona evidencia verificable para cumplimiento y auditorías.

Automatiza el endurecimiento de la línea base durante la creación de imágenes.

Produce imágenes de contenedor seguras por defecto.

Punto de control en CI para bloquear valores predeterminados inseguros antes de ser compilados/desplegados.

Evita que los valores predeterminados inseguros de IaC lleguen al despliegue.

Evita que los valores predeterminados inseguros de IaC lleguen al despliegue.

Genera evidencia de cumplimiento antes de la promoción de artefactos.

Asegura que solo se puedan desplegar artefactos endurecidos y verificados.

Verifica que los valores predeterminados endurecidos cumplan con los requisitos de CIS antes del lanzamiento.

Aplicación de políticas para manifiestos y configuraciones durante la compilación.

Codifica valores predeterminados seguros como políticas aplicables en CI/CD.

Escanea continuamente manifiestos/locks contra OSV; excelente para confirmar nuevas divulgaciones en todas las versiones soportadas.

Sincroniza continuamente las versiones del Software Bill of Material de los artefactos construidos con OSV.dev, reportando vulnerabilidades descubiertas después de la compilación.

Consulta la base de datos de vulnerabilidades OSV.dev para CVEs de paquetes de código abierto.

Escanea imágenes de contenedores y SBOMs en busca de vulnerabilidades conocidas.

Agrega múltiples fuentes públicas de vulnerabilidades.

Verifica binarios instalados en busca de CVEs conocidos.

SAST para múltiples lenguajes; reglas personalizables. Ejecutar al hacer merge en la rama principal.

Lint de seguridad para Python. Agregar a la etapa de construcción de proyectos Python.

SAST y controles de calidad. Ejecutar en el paso de construcción; bloquear despliegue si se encuentran problemas de alta severidad.

DAST; escaneo pasivo rápido en la aplicación de staging desplegada.

Ubicación pública para reporteros.

Programa de Divulgación de Vulnerabilidades.

Manual para implementar la divulgación.

Agrega SBOMs, certificaciones y vulnerabilidades para entender el alcance y priorizar correcciones.

Automatiza actualizaciones de dependencias/PRs de parches con políticas conscientes del riesgo.

Muestra el alcance de cada vulnerabilidad en los entornos en vivo.

Centraliza vulnerabilidades de herramientas SAST/DAST/SCA; agrega puntuación de riesgo.

Seguimiento de vulnerabilidades basado en SBOM, incluye puntuación CVSS y metadatos.

Evalúa la probabilidad de explotación para CVEs (priorización basada en riesgo).

Proporciona enlaces de explotación, PoCs y contexto adicional por CVE.

Puntuación de impacto estandarizada para respaldar decisiones de triaje.

Firma builds remediadas antes de desplegar (mecanismo de entrega confiable).

Reglas WAF temporales para mitigar vulnerabilidades web sin parchear.

Detección y mitigación en tiempo de ejecución para problemas de contenedores/Kubernetes sin parchear.

Escribir reglas específicas de la organización para detectar patrones de causa raíz; escanear repositorios para eliminar clases de errores.

Consultas profundas de código para identificar los constructos de codificación precisos que conducen a vulnerabilidades.

Proporciona trazas de problemas, violaciones de reglas y puntos críticos, incluidos indicadores de causa raíz.

Realiza seguimiento de vulnerabilidades y metadatos, permite adjuntar notas de causa raíz por cada problema.

Seguimiento a largo plazo de componentes vulnerables para identificar problemas recurrentes de dependencias.

API de metadatos para seguimiento de eventos de seguridad a través de builds/lanzamientos.

Detecta patrones de debilidad (CWEs) en binarios, útil para artefactos compilados.

Plataforma de análisis de código de código abierto para buscar patrones de errores a gran escala.

Marco para mejorar las prácticas de ciclo de vida de desarrollo seguro.

Automatiza revisiones de seguridad de repositorios (protección de ramas, fijación de dependencias, endurecimiento de CI).

Estándar para documentar cumplimiento y mejoras de seguridad en el SDLC.

Aplica políticas de seguridad en organizaciones/repositorios de GitHub.