Selección de Herramientas SAST — Tabla de Auditoría Empresarial
Alcance: Evaluación de una herramienta de Testing Estático de Seguridad de Aplicaciones (SAST) para entornos CI/CD empresariales y regulados.
| # | Área de Control | Pregunta de Auditoría | Sí | No |
|---|---|---|---|---|
| 1 | Gobernanza | ¿La herramienta soporta aplicación basada en políticas (bloqueo / advertencia / solo reporte)? | ☐ | ☐ |
| 2 | Gobernanza | ¿Las políticas pueden definirse por aplicación, equipo o entorno? | ☐ | ☐ |
| 3 | Gobernanza | ¿Las políticas de seguridad están versionadas y son auditables? | ☐ | ☐ |
| 4 | Gobernanza | ¿Las reglas pueden personalizarse (gravedad, alcance, exclusiones)? | ☐ | ☐ |
| 5 | Integración CI/CD | ¿La herramienta se integra nativamente con las plataformas CI/CD empresariales? | ☐ | ☐ |
| 6 | Integración CI/CD | ¿Los análisis pueden ejecutarse automáticamente en PRs / fusiones / pipelines? | ☐ | ☐ |
| 7 | Integración CI/CD | ¿El pipeline puede bloquearse según las condiciones de la política? | ☐ | ☐ |
| 8 | Integración CI/CD | ¿Los resultados son accesibles a través de API o exportación (JSON, CSV, etc.)? | ☐ | ☐ |
| 9 | Experiencia del Desarrollador | ¿Los hallazgos están claramente mapeados a las ubicaciones del código fuente? | ☐ | ☐ |
| 10 | Experiencia del Desarrollador | ¿Se proporciona orientación de remediación para los hallazgos? | ☐ | ☐ |
| 11 | Experiencia del Desarrollador | ¿Los falsos positivos pueden suprimirse con justificación? | ☐ | ☐ |
| 12 | Precisión | ¿La lógica de detección es explicable (no solo caja negra)? | ☐ | ☐ |
| 13 | Precisión | ¿La tasa de falsos positivos es aceptable en bases de código reales? | ☐ | ☐ |
| 14 | Cobertura | ¿La herramienta cubre todos los lenguajes de producción dentro del alcance? | ☐ | ☐ |
| 15 | Cobertura | ¿Los conjuntos de reglas se mantienen y actualizan activamente? | ☐ | ☐ |
| 16 | Rendimiento | ¿Los tiempos de análisis son compatibles con las restricciones de ejecución CI/CD? | ☐ | ☐ |
| 17 | Rendimiento | ¿La herramienta escala en muchos repositorios / equipos? | ☐ | ☐ |
| 18 | Informes | ¿La herramienta proporciona tendencias históricas y envejecimiento de vulnerabilidades? | ☐ | ☐ |
| 19 | Informes | ¿Pueden generarse informes para fines de auditoría (no solo dashboards)? | ☐ | ☐ |
| 20 | Evidencias | ¿Los hallazgos tienen marcas de tiempo y son atribuibles a una ejecución del pipeline? | ☐ | ☐ |
| 21 | Evidencias | ¿Las evidencias pueden conservarse según las políticas de retención definidas? | ☐ | ☐ |
| 22 | Cumplimiento | ¿La herramienta mapea los hallazgos a CWE / OWASP Top 10? | ☐ | ☐ |
| 23 | Cumplimiento | ¿Los resultados pueden respaldar auditorías de ISO 27001 / SOC 2 / DORA / NIS2? | ☐ | ☐ |
| 24 | Operaciones | ¿Se soporta la administración centralizada? | ☐ | ☐ |
| 25 | Operaciones | ¿La carga operativa es aceptable a escala empresarial? | ☐ | ☐ |
| 26 | Proveedor | ¿Existe una hoja de ruta clara de soporte y actualizaciones? | ☐ | ☐ |
| 27 | Estrategia | ¿La herramienta puede evolucionar desde solo visibilidad hasta control aplicado? | ☐ | ☐ |
| 28 | Estrategia | ¿La herramienta encaja en el modelo de SDLC seguro de la organización? | ☐ | ☐ |
Resumen del Resultado de la Auditoría (Opcional)
| Área de Decisión | Evaluación |
|---|---|
| Preparación para gobernanza | ☐ Aprobado ☐ Condicional ☐ Fallido |
| Idoneidad CI/CD | ☐ Aprobado ☐ Condicional ☐ Fallido |
| Riesgo de adopción por desarrolladores | ☐ Bajo ☐ Medio ☐ Alto |
| Preparación para auditoría | ☐ Adecuada ☐ Parcial ☐ Insuficiente |
| Decisión global | ☐ Aprobado ☐ Aprobado con condiciones ☐ Rechazado |
Orientación para el Auditor
Una herramienta SAST no debe aprobarse para CI/CD empresarial si:
- las políticas no pueden aplicarse automáticamente,
- los resultados no pueden exportarse como evidencia de auditoría,
- o los desarrolladores la eluden sistemáticamente.
FAQ – Enfoque en la Preparación para Auditoría
P1. ¿Cómo evalúan los auditores los controles SAST?
Los auditores evalúan la coherencia, la aplicación, la trazabilidad y la evidencia — no solo el recuento de vulnerabilidades.
P2. ¿Qué evidencias SAST se solicitan habitualmente durante las auditorías?
Logs de ejecución del pipeline, configuraciones de políticas, registros de aprobación, justificaciones de supresión y resultados históricos de análisis.
P3. ¿Es aceptable la ejecución manual de SAST para las auditorías?
Los análisis manuales son controles débiles. Los auditores esperan una ejecución automatizada y aplicada dentro de los pipelines CI/CD.
