{"id":1974,"date":"2026-01-12T12:12:52","date_gmt":"2026-01-12T11:12:52","guid":{"rendered":"https:\/\/regulated-devsecops.com\/uncategorized\/herramientas-de-seguridad-ci-cd-guia-del-auditor-sobre-categorias-de-controles\/"},"modified":"2026-03-26T09:28:46","modified_gmt":"2026-03-26T08:28:46","slug":"ci-cd-security-tooling-overview","status":"publish","type":"post","link":"https:\/\/regulated-devsecops.com\/es\/ci-cd-governance-es\/ci-cd-security-tooling-overview\/","title":{"rendered":"Herramientas de Seguridad CI\/CD \u2014 Gu\u00eda del Auditor sobre Categor\u00edas de Controles"},"content":{"rendered":"\n

Una Gu\u00eda Orientada a la Gobernanza sobre las Categor\u00edas de Controles de Seguridad CI\/CD para Auditores, Responsables de Cumplimiento y Reguladores<\/strong><\/p>\n\n\n\n

Los pipelines CI\/CD son la columna vertebral de la entrega moderna de software. Para los auditores y responsables de cumplimiento, comprender los controles de seguridad integrados en estos pipelines es esencial para evaluar si una organizaci\u00f3n gestiona adecuadamente el riesgo de entrega de software.<\/p>\n\n\n\n

Esta gu\u00eda explica las principales categor\u00edas de controles de seguridad CI\/CD<\/strong>, no como recomendaciones de productos, sino como dominios de gobernanza que los auditores deben comprender, verificar y evaluar durante las revisiones de cumplimiento.<\/p>\n\n\n\n

\n\n\n\n

Por Qu\u00e9 los Auditores Necesitan Comprender los Controles de Seguridad CI\/CD<\/strong><\/h2>\n\n\n\n

Los pipelines CI\/CD modernos gestionan:<\/p>\n\n\n\n

    \n
  • acceso a repositorios de c\u00f3digo fuente<\/li>\n\n\n\n
  • procesos automatizados de compilaci\u00f3n y empaquetado<\/li>\n\n\n\n
  • integraci\u00f3n con servicios y dependencias de terceros<\/li>\n\n\n\n
  • implementaci\u00f3n en sistemas de producci\u00f3n<\/li>\n<\/ul>\n\n\n\n

    Cada una de estas etapas introduce riesgos. Los auditores deben ser capaces de verificar que existen controles de seguridad apropiados en cada etapa, que dichos controles se aplican de manera consistente (no solo est\u00e1n disponibles) y que producen evidencia fiable y conservada.<\/p>\n\n\n\n

    En entornos regulados, la pregunta no es qu\u00e9 herramientas est\u00e1n instaladas<\/em>, sino si los controles correctos est\u00e1n activos, aplicados y auditables<\/strong>.<\/p>\n\n\n\n

    \n\n\n\n

    Categor\u00eda de Control 1: Seguridad del C\u00f3digo Fuente y Repositorios<\/strong><\/h2>\n\n\n\n

    Qu\u00e9 controla:<\/strong> Acceso al c\u00f3digo fuente, autorizaci\u00f3n de cambios de c\u00f3digo, prevenci\u00f3n de modificaciones no autorizadas y detecci\u00f3n de secretos confirmados en repositorios.<\/p>\n\n\n\n

    Qu\u00e9 evidencia produce:<\/strong> Registros de control de acceso, configuraciones de protecci\u00f3n de ramas, registros de aprobaci\u00f3n de pull requests y resultados de an\u00e1lisis de detecci\u00f3n de secretos.<\/p>\n\n\n\n

    Qu\u00e9 deben verificar los auditores:<\/strong><\/p>\n\n\n\n

      \n
    • Las reglas de protecci\u00f3n de ramas se aplican (no solo se documentan)<\/li>\n\n\n\n
    • Todos los cambios de c\u00f3digo requieren revisi\u00f3n y aprobaci\u00f3n por pares antes de fusionarse<\/li>\n\n\n\n
    • El an\u00e1lisis de secretos se ejecuta autom\u00e1ticamente en cada commit o pull request<\/li>\n\n\n\n
    • El acceso a los repositorios sigue los principios de m\u00ednimo privilegio<\/li>\n\n\n\n
    • Los registros de auditor\u00eda de los cambios de c\u00f3digo se conservan durante el per\u00edodo requerido<\/li>\n<\/ul>\n\n\n\n

      Se\u00f1ales de alerta:<\/strong><\/p>\n\n\n\n

        \n
      • Commits directos a ramas principales sin revisi\u00f3n<\/li>\n\n\n\n
      • Reglas de protecci\u00f3n de ramas que pueden ser anuladas por administradores<\/li>\n\n\n\n
      • Sin an\u00e1lisis de secretos, o an\u00e1lisis que se ejecuta solo bajo demanda<\/li>\n\n\n\n
      • Permisos de acceso al repositorio excesivamente amplios<\/li>\n<\/ul>\n\n\n\n
        \n\n\n\n

        Categor\u00eda de Control 2: Pruebas de Seguridad de Aplicaciones Est\u00e1ticas (SAST)<\/strong><\/h2>\n\n\n\n

        SAST (Static Application Security Testing) es un control que analiza el c\u00f3digo fuente para identificar vulnerabilidades de seguridad antes de que las aplicaciones se compilen o implementen. Opera durante las etapas de desarrollo y compilaci\u00f3n.<\/p>\n\n\n\n

        Qu\u00e9 controla:<\/strong> Defectos de seguridad a nivel de c\u00f3digo, patrones de codificaci\u00f3n inseguros y cumplimiento de pol\u00edticas del c\u00f3digo personalizado.<\/p>\n\n\n\n

        Qu\u00e9 evidencia produce:<\/strong> Informes de an\u00e1lisis que muestran vulnerabilidades identificadas, clasificaciones de gravedad, decisiones de aprobaci\u00f3n\/rechazo de pol\u00edticas y datos de tendencias a lo largo del tiempo.<\/p>\n\n\n\n

        Qu\u00e9 deben verificar los auditores:<\/strong><\/p>\n\n\n\n

          \n
        • SAST se ejecuta autom\u00e1ticamente en cada compilaci\u00f3n o pull request, no solo bajo demanda<\/li>\n\n\n\n
        • Existen umbrales de gravedad definidos que pueden bloquear compilaciones o implementaciones<\/li>\n\n\n\n
        • Los hallazgos suprimidos o aceptados tienen justificaciones documentadas y fechas de expiraci\u00f3n<\/li>\n\n\n\n
        • Los resultados del an\u00e1lisis se conservan y vinculan a compilaciones y versiones espec\u00edficas<\/li>\n\n\n\n
        • El alcance del an\u00e1lisis SAST cubre todas las bases de c\u00f3digo de producci\u00f3n<\/li>\n<\/ul>\n\n\n\n

          Se\u00f1ales de alerta:<\/strong><\/p>\n\n\n\n

            \n
          • SAST est\u00e1 configurado pero no se aplica: las compilaciones contin\u00faan independientemente de los hallazgos<\/li>\n\n\n\n
          • Gran n\u00famero de hallazgos suprimidos sin justificaci\u00f3n documentada<\/li>\n\n\n\n
          • Los resultados del an\u00e1lisis no se conservan o no pueden vincularse a versiones espec\u00edficas<\/li>\n\n\n\n
          • La cobertura de SAST no incluye todas las aplicaciones de producci\u00f3n<\/li>\n<\/ul>\n\n\n\n
            \n\n\n\n

            Categor\u00eda de Control 3: An\u00e1lisis de Composici\u00f3n de Software (SCA)<\/strong><\/h2>\n\n\n\n

            SCA (Software Composition Analysis) identifica riesgos en bibliotecas de terceros, componentes de c\u00f3digo abierto y sus dependencias transitivas. Este control es fundamental para la gesti\u00f3n de riesgos de la cadena de suministro.<\/p>\n\n\n\n

            Qu\u00e9 controla:<\/strong> Vulnerabilidades conocidas en dependencias, cumplimiento de licencias y visibilidad de la cadena de suministro de software.<\/p>\n\n\n\n

            Qu\u00e9 evidencia produce:<\/strong> Inventarios de dependencias, Listas de Materiales de Software (SBOMs), informes de vulnerabilidades para componentes de terceros y registros de cumplimiento de licencias.<\/p>\n\n\n\n

            Qu\u00e9 deben verificar los auditores:<\/strong><\/p>\n\n\n\n

              \n
            • SCA se ejecuta autom\u00e1ticamente durante las compilaciones y produce inventarios de dependencias actuales<\/li>\n\n\n\n
            • Las dependencias vulnerables conocidas activan respuestas definidas (bloqueo, alertas o aceptaci\u00f3n documentada)<\/li>\n\n\n\n
            • Los SBOMs se generan y conservan para cada versi\u00f3n<\/li>\n\n\n\n
            • El cumplimiento de licencias se monitorea activamente<\/li>\n\n\n\n
            • Las pol\u00edticas de dependencias definen qu\u00e9 es aceptable y qu\u00e9 requiere aprobaci\u00f3n<\/li>\n<\/ul>\n\n\n\n

              Se\u00f1ales de alerta:<\/strong><\/p>\n\n\n\n