Metodología y Criterios para la Evaluación de Herramientas de Seguridad en el Desarrollo de Soluciones Digitales del Estado Dominicano
Objetivo del Documento
Seleccionar y recomendar herramientas de evaluación de seguridad que permitan fortalecer el desarrollo seguro de soluciones digitales, alineadas con estándares internacionales y buenas prácticas del sector.
Metodología de Evaluación
Se identificaron y evaluaron ocho herramientas reconocidas en la industria, considerando criterios relevantes definidos por el equipo de arquitectura digital. La información fue extraída de documentación oficial, comunidades técnicas, y pruebas en entornos de laboratorio.
Criterios de Evaluación
-
¿Open Source?: Disponibilidad del código y posibilidad de uso sin licencia comercial.
-
Alcance de evaluación de seguridad: Cuales componentes o capas analiza (código, dependencias, contenedores, IaC, ejecución, etc.).
-
Integración con procesos DevSecOps: Facilidad para integrarse en flujos CI/CD.
-
Tipo de vulnerabilidades detectadas: Si realiza análisis SAST, DAST, SCA, IaC, runtime, secretos.
-
Facilidad de configuración y mantenimiento: Curva de aprendizaje y operatividad diaria
-
Soporte activo o comunidad: Existencia de soporte empresarial o comunidad activa.
-
Reportes comprensibles para Stakeholders: Facilidad de comprensión por distintos perfiles (técnicos, gerenciales).
-
Automatización en CI/CD: Si es posible su ejecución automatizada en pipelines.
-
Costo: Si tiene versiones gratuitas o es de pago.
-
Integración con herramientas usadas: Compatibilidad con herramientas como GitHub, Teams, Plane, Jira, etc.
-
Personalización de reglas o políticas: Posibilidad de definir reglas propias.
-
Cumplimiento de estándares: Si se alinea con OWASP, NIST, ISO 27001, etc