Introducción a DevSecOps

Resumen Ejecutivo

HERA integra seguridad automatizada en cada fase del ciclo de desarrollo, eliminando la dependencia de auditorías manuales tardías.

• Valor: 4 herramientas de seguridad (SAST, SCA, Secret Detection, DAST) ejecutadas automáticamente en cada pipeline — cero intervención humana para detectar vulnerabilidades.
• Eficiencia: El principio Shift-Left reduce el costo de corrección hasta 30x comparado con encontrar fallos en producción.
• Riesgo sin esto: Las vulnerabilidades no detectadas en desarrollo llegan a producción, donde su corrección es exponencialmente más costosa y el daño reputacional es irreversible.

DevSecOps integra seguridad en cada fase del SDLC mediante herramientas automatizadas dentro del pipeline CI/CD. En HERA, cada push ejecuta 3 análisis obligatorios (SAST, SCA, Secret Detection) y 1 opcional (DAST). El principio es “Shift-Left Security”: detectar vulnerabilidades en el momento del commit, no en producción.

Responsabilidad compartida

La seguridad no recae en un solo equipo. Cada desarrollador es responsable de que su codigo pase los Quality Gates; el equipo de seguridad define las politicas y umbrales.

---

Shift-Left Security: Detectar Temprano, Corregir Barato

Cuanto antes el pipeline detecta una vulnerabilidad, menor es el costo de correccion.

Dirección del Shift-Left: mayor impacto, menor costo

Plan

ThreatModeling

→

Code

SASTSCASecrets

→

Build

ContainerScan

→

Test

DASTPen Test

→

Deploy

ConfigAudit

→

Operate

RuntimeMonitor

Bajo costo · Alto impacto

Alto costo · Bajo impacto

Mensaje clave Detectar temprano cuesta menos. Cada herramienta de seguridad corre automáticamente en cada push.

---

Pipeline de Seguridad en HERA

El pipeline de CI/CD ejecuta automaticamente 4 herramientas de seguridad en cada cambio:

Herramienta	Tipo	Propósito	Etapa del Pipeline
SonarQube	SAST	Análisis estático del código fuente.	security
Docker Scout	SCA	Análisis de dependencias en imágenes Docker.	package
TruffleHog	Secret Detection	Detección de credenciales y secretos.	security
OWASP ZAP	DAST	Análisis dinámico de la aplicación en ejecución.	security (en QA)

Defensa en Profundidad

Ninguna herramienta cubre todos los vectores. La combinacion de SAST + SCA + DAST + Secret Detection proporciona cobertura en codigo fuente, dependencias, runtime y credenciales.

---

Flujo de Remediación de Vulnerabilidades

El proceso de remediacion sigue 4 pasos con SLAs medibles:

1. Deteccion Automatica: El pipeline detecta la vulnerabilidad. Si es Critica o Alta, el pipeline falla y bloquea el merge.
2. Notificacion y Triaje: GitLab notifica al equipo de desarrollo. El Tech Lead clasifica la vulnerabilidad segun severidad y asigna el SLA correspondiente.
3. Remediacion: El equipo corrige el codigo o actualiza la dependencia vulnerable.
4. Verificacion: El desarrollador hace push con la correccion; el pipeline re-ejecuta los scans y valida que la vulnerabilidad esta resuelta.

Para un desglose completo del proceso, incluyendo SLAs y escalamiento, consulta la sección de Gestión de Vulnerabilidades.

¿Es este contenido para ti?

Consulta los Roles y Responsabilidades para ver qué documentos de DevSecOps son prioritarios según tu perfil.