Metodología y Criterios para la Evaluación de Herramientas de Seguridad en el Desarrollo de Soluciones Digitales del Estado Dominicano

Objetivo del Documento

Seleccionar y recomendar herramientas de evaluación de seguridad que permitan fortalecer el desarrollo seguro de soluciones digitales, alineadas con estándares internacionales y buenas prácticas del sector.

Metodología de Evaluación

Se identificaron y evaluaron ocho herramientas reconocidas en la industria, considerando criterios relevantes definidos por el equipo de arquitectura digital. La información fue extraída de documentación oficial, comunidades técnicas, y pruebas en entornos de laboratorio.

Criterios de Evaluación

1. ¿Open sourceSource?: Disponibilidad del código y posibilidad de uso sin licencia comercial.

2. Alcance delde análisisevaluación de seguridad: Cuales componentes o capas analiza (código, dependencias, contenedores, IaC, ejecución, etc.).

3. Integración con procesos DevSecOps: Facilidad para integrarse en DevSecOps

   flujos CI/CD.

4. Tipo de vulnerabilidades detectadasdetectadas: (Si realiza análisis SAST, DAST, SCA, IaC, runtime, secretos)secretos.

5. Facilidad de configuración y mantenimientomantenimiento: Curva de aprendizaje y operatividad diaria

6. Soporte activo o comunidad: Existencia de soporte empresarial o comunidad activa.

7. Reportes comprensibles

    para Stakeholders: Facilidad de comprensión por distintos perfiles (técnicos, gerenciales).

8. Automatización en CI/CDCD: Si es posible su ejecución automatizada en pipelines.

9. CostoCosto: Si tiene versiones gratuitas o es de pago.

10. Integración con otrasherramientas usadas: Compatibilidad con herramientas

     como GitHub, Teams, Plane, Jira, etc.

11. Personalización de reglas

     o políticas: Posibilidad de definir reglas propias.

12. Cumplimiento de estándaresndares: (Si se alinea con OWASP, NIST, ISO 27001)

    27001, etc