Conclusión

Para entornos gubernamentales, se recomienda adoptar un stack basado en herramientas open source con amplio soporte comunitario. Luego del análisis técnico de un conjunto de herramientas de seguridad open source, se concluye que el Estado dominicano puede adoptar un stack tecnológico de ciberseguridad moderno, eficaz y sin costos de licenciamiento, alineado con estándares internacionales, con plena capacidad de ser desplegado y operado desde infraestructuras gubernamentales (máquinas virtuales, servidores propios, nubes estatales o ambientes híbridos).

Las herramientas evaluadas —Trivy, Grype + Syft, SonarQube (Community Edition), Semgrep, OWASP ZAP, Checkov y Falco— permiten cubrir de manera integral las distintas capas de seguridad en el ciclo de vida del desarrollo y despliegue de sistemas digitales, incluyendo:

• Análisis estático y dinámico de aplicaciones.

• Escaneo de vulnerabilidades en código, dependencias e infraestructura como código.

• Detección de amenazas en tiempo real en entornos de contenedores o Kubernetes.

• Generación y análisis de listas de materiales de software (SBOM).

Estas herramientas están alineadas con marcos y normas reconocidas como:

• OWASP Top 10 (para la seguridad de aplicaciones web),

• NIST 800-53 y NIST SSDF (para la gestión de vulnerabilidades y desarrollo seguro),

• ISO/IEC 27001 (para sistemas de gestión de seguridad de la información),

• CIS Benchmarks (para configuraciones seguras de plataformas y contenedores).

Además, su carácter open source ofrece las siguientes ventajas para el Estado:

• Reducción de costos al eliminar dependencias de licencias comerciales.

• Soberanía tecnológica, al permitir su despliegue interno sin enviar datos a terceros.

• Escalabilidad y flexibilidad, al integrarse fácilmente con plataformas ya adoptadas como GitHub, Jira, o entornos CI/CD.

• Transparencia y audibilidad, en línea con los principios de gobierno abierto y fortalecimiento institucional.

En conclusión, se recomienda la incorporación progresiva de este stack de herramientas dentro de una estrategia nacional de DevSecOps y gestión de riesgos digitales, para fortalecer la arquitectura de seguridad de los sistemas gubernamentales, mejorar la capacidad de respuesta ante amenazas cibernéticas y avanzar hacia un ecosistema digital estatal resiliente, sostenible y conforme a las mejores prácticas internacionales. Integrar estas herramientas en pipelines de CI/CD mejora la visibilidad, cumplimiento y mitigación temprana de riesgos.