Metodología y Criterios para la Evaluación de Herramientas de Seguridad en el Desarrollo de Soluciones Digitales del Estado Dominicano

Objetivo del Documento 

 Seleccionar y recomendar herramientas de evaluación de seguridad que permitan fortalecer el desarrollo seguro de soluciones digitales, alineadas con estándares internacionales y buenas prácticas del sector. 

 Metodología de Evaluación 

 Se identificaron y evaluaron ocho herramientas reconocidas en la industria, considerando criterios relevantes definidos por el equipo de arquitectura digital. La información fue extraída de documentación oficial, comunidades técnicas, y pruebas en entornos de laboratorio. 

 Criterios de Evaluación 

 

 

 ¿Open Source?: Disponibilidad del código y posibilidad de uso sin licencia comercial. 

 

 

 Alcance de evaluación de seguridad: Cuales componentes o capas analiza (código, dependencias, contenedores, IaC, ejecución, etc.). 

 

 

 

 Integración con procesos DevSecOps: Facilidad para integrarse en flujos CI/CD. 

 

 

 

 Tipo de vulnerabilidades detectadas: Si realiza análisis SAST, DAST, SCA, IaC, runtime, secretos. 

 

 

 Facilidad de configuración y mantenimiento: Curva de aprendizaje y operatividad diaria 

 

 

 Soporte activo o comunidad: Existencia de soporte empresarial o comunidad activa. 

 

 

 

 Reportes comprensibles para Stakeholders: Facilidad de comprensión por distintos perfiles (técnicos, gerenciales). 

 

 

 

 Automatización en CI/CD: Si es posible su ejecución automatizada en pipelines. 

 

 

 Costo: Si tiene versiones gratuitas o es de pago. 

 

 

 

 Integración con herramientas usadas: Compatibilidad con herramientas como GitHub, Teams, Plane, Jira, etc. 

 

 

 

 

 Personalización de reglas o políticas: Posibilidad de definir reglas propias. 

 

 

 

 

 Cumplimiento de estándares: Si se alinea con OWASP, NIST, ISO 27001, etc