Resultados de búsqueda

Momentos de vida  Los trámites y servicios pueden ser agrupados según el momento o etapa de vida de los usuarios en que intervienen. Esta práctica es útil para que los usuarios puedan identificar a cuáles trámites y servicios necesitan o pueden acceder, según...

Tipos de canales de atención.  Se identificarán los distintos tipos de canales de atención que se encuentran disponibles para la prestación de los trámites y servicios, que pueden ser:  Presencial. En este caso se deben indicar todos los lugares donde el...

Requisitos.  Se deberán indicar los requisitos legales o reglamentarios aplicables y establecidos por el ente u órgano para la prestación de los trámites o servicios administrativos, y los relativos a las actividades de entrega y los posteriores a la misma; e...

Costo o tasas.  Se debe indicar con exactitud el costo de la tarifa total y oficial que le corresponde pagar al usuario, para obtener el trámite o servicio ante los entes y órganos de la Administración Pública, el cual deberá estar establecido en un instrumen...

Resultado o entregable.  Es el producto o bien, tangible o intangible, que recibirá el usuario como resultado de la realización del trámite o servicio. Puede ser un documento (certificación, acta, etc.) o puede ser un beneficio inmaterial (bono, notificación,...

Introducción. Metodología y Criterios para la Evaluación de Herramientas de Seguridad en el Desarrollo de Soluciones Digitales del Estado Dominicano. Objetivo del Documento. Metodología de Evaluación. Criterios de Evaluación. A...

En el marco de la transformación digital del sector público, garantizar la seguridad de las soluciones desarrolladas es fundamental para proteger la integridad, confidencialidad y disponibilidad de los servicios digitales del Estado. La Dirección de Arquitectu...

Objetivo del Documento Seleccionar y recomendar herramientas de evaluación de seguridad que permitan fortalecer el desarrollo seguro de soluciones digitales, alineadas con estándares internacionales y buenas prácticas del sector. Metodología de Evaluación S...

Descripción Trivy es un escáner de seguridad todo en uno para contenedores, código, repositorios Git y más. Identifica vulnerabilidades (CVE), secretos expuestos y configuraciones erróneas. Uso local # Escanear una imagen Docker trivy image nginx:latest ...

Descripción Syft: genera un SBOM (Software Bill of Materials). Grype: analiza el SBOM o imagen para encontrar CVEs. Uso local # Syft - generar SBOM syft nginx:latest -o json > sbom.json # Grype - escanear imagen grype nginx:latest # Esc...

Para entornos gubernamentales, se recomienda adoptar un stack basado en herramientas open source con amplio soporte comunitario. Luego del análisis técnico de un conjunto de herramientas de seguridad open source, se concluye que el Estado dominicano puede adop...

Descripción SonarQube es una herramienta de análisis estático de código para detectar bugs, vulnerabilidades, y code smells en más de 25 lenguajes. Uso local # Análisis local con CLI sonar-scanner -Dsonar.projectKey=myproject -Dsonar.sources=. -Dsonar.host...

Descripción OWASP ZAP es una herramienta de escaneo de seguridad para aplicaciones web, mantenida por OWASP. Detecta vulnerabilidades como XSS, SQLi, etc. Uso local # Interfaz gráfica zap.sh # Escaneo desde CLI zap-baseline.py -t http://localhost:8080 ...

Descripción Semgrep es un escáner de análisis estático que detecta vulnerabilidades, errores de seguridad, problemas de estilo, etc., mediante reglas personalizables. Uso local # Escaneo básico semgrep scan --config=p/ci . # Escaneo con reglas personali...

Descripción Checkov es un escáner de infraestructura como código (IaC) que detecta configuraciones inseguras en Terraform, CloudFormation, Kubernetes, etc. Uso local checkov -d . # Escanea el directorio actual Reportes CLI, JSON, JUnit, SARIF. ...

Descripción Snyk es una herramienta para detectar vulnerabilidades en dependencias, contenedores, código IaC y código fuente. Uso local snyk test # Escaneo de dependencias snyk code test # Escaneo de código fuente Reportes JSON, CLI, UI Web. ...

Descripción Falco es un sistema de detección de intrusos para Kubernetes y contenedores. Monitorea el comportamiento en tiempo real basado en reglas. Uso local falco # Inicia la monitorización Reportes Logs, JSON, alertas. Puede enviar a S...

Trivy Aqua Security. (s.f.). Trivy - Escáner de vulnerabilidades. Aqua Security. Aqua Security. (s.f.). Trivy GitHub Action. GitHub. Aqua Security. (s.f.). Extensión para Visual Studio Code. GitHub. DevOps Tales. (2023). Uso de Trivy Operator para validaci...

Herramienta ¿Es Open Source? Alcance de evaluación Integrable en DevSecOps Tipo de vulnerabilidades Facilidad de uso Comunidad / Soporte Reportes comprensibles Automatizable en CI/CD Costo Integraciones Personalización de reglas Cumplimiento ...

Herramientas recomendadas para incluir en el stack tecnológico (open source y gratuitas) Herramienta Licencia Motivo para incluir Trivy Apache 2.0 (OSS) Escaneo de imágenes, código fuente, repositorios, configuración IaC, secretos. Rápido y...