⌘K
ENES
GitHub
conceptDevSecOps~1 min de lecturaActualizado Apr 23, 2026

ASVS como input del proceso de desarrollo

Definición

Esta nota trata OWASP ASVS no como una checklist post-hoc, sino como un input del proceso de desarrollo para diseñar, revisar y verificar controles técnicos de seguridad durante la implementación.

Por qué importa

DevSecOps necesita requisitos, no solo scanners. ASVS da un conjunto estructurado de requisitos de verificación que los equipos pueden usar para dar forma a arquitectura, backlog items, criterios de review y readiness de release. Esta nota trata sobre convertir requisitos de verificación en inputs de ingeniería. Es más acotada que nist-ssdf y menos filosófica que secure-by-design.

Perspectiva del atacante

Los atacantes explotan el gap entre “corremos tools” y “construimos los controles correctos”. Si los equipos no tienen requisitos explícitos de verificación, las vulnerabilidades sobreviven porque nadie fue concretamente responsable por el control.

Perspectiva del defensor

Los defensores pueden usar ASVS para:

  • definir expectativas de seguridad por área de control
  • conectar requisitos con tareas de implementación
  • mejorar rigor de review
  • evitar depender solo de tests o tooling ad hoc

Ejemplos prácticos

  • un equipo tiene SAST y dependency scans pero ningún requisito explícito de verificación para access control o session handling
  • security review se vuelve más consistente cuando se mapean secciones ASVS a stories y release gates

Notas relacionadas

Referencias

  • Fundamental: OWASP ASVS — https://owasp.org/www-project-application-security-verification-standard/
  • Fundamental: OWASP ASVS Cheat Sheet Index — https://cheatsheetseries.owasp.org/IndexASVS.html

Notas relacionadas

DevSecOpsArtifact IntegrityArtifact integrity es la garantía de que outputs de build, paquetes, imágenes y artifacts de release no fueron manipulados y pueden trazarse hasta el proceso de build previsto. DevSecOpsProtección de ramas y controles de releaseLa protección de ramas y los controles de release son las reglas y mecanismos de governance que determinan quién puede cambiar rutas de código protegidas, aprobar releases y promover artifacts hacia producción. DevSecOpsCI/CD HardeningCI/CD hardening es asegurar el build, test y deployment pipeline para que la automatización se vuelva una ruta de control confiable en vez de un amplificador de ataques. DevSecOpsContainer SecurityContainer security es la práctica de reducir riesgo en cómo las aplicaciones containerizadas se construyen, configuran, shippean y corren. DevSecOpsDependency RiskDependency risk es el riesgo de seguridad introducido por librerías, frameworks y paquetes de terceros directos y transitivos, y por sus patrones de actualización y confianza. DevSecOpsImage ScanningImage scanning es el proceso de inspeccionar container images en busca de vulnerabilidades conocidas, paquetes riesgosos y otros issues antes de promoción o deployment.