Índice de DevSecOps
Propósito
Este índice es el punto de entrada raíz para la rama DevSecOps del atlas de ciberseguridad.
Usalo para:
- conectar desarrollo seguro, CI/CD, dependency risk, manejo de secrets y delivery de containers
- razonar sobre riesgo de software antes de runtime
- mapear controles de seguridad dentro del workflow developer en vez de atornillarlos después
- convertir ideas secure-by-design en prácticas de ingeniería
Usá Reference Registry — DevSecOps como fuente de verdad para referencias en esta rama. Volvé a Índice de ciberseguridad para navegación raíz entre ramas.
Antes de esta rama:
- Fundamentos (Fase 0).
- Web Security y Cryptography — las amenazas de build-pipeline heredan ambas.
Orden de aprendizaje recomendado
Fase 1 — Fundamentos de desarrollo seguro
Fase 2 — Supply chain y dependencias
Fase 3 — Pipeline y controles de release
Fase 4 — Containers y build delivery
Cluster DevSecOps core
Fundamentos
Supply chain
Pipelines y releases
Containers y delivery
Cross-links a otras ramas
API security
Web security
Attack surface mapping
Cloud security
Security playbooks
Futuras notas sugeridas
- iac-security
- policy-as-code
- build-isolation
- signed-releases
- dependency-confusion
- secret-scanning
- runtime-vs-build-time-controls
Posibles playbooks futuros
- leak-secrets-from-ci
- inspect-ci-secrets-exposure
- review-container-hardening
- inspect-release-provenance
- test-dependency-risk-hotspots
Notas de mantenimiento de rama
- Mantené controles de CI/CD, dependencias, build, release y software-delivery en esta rama.
- Mantené identidad de cloud provider, red, storage, metadata, logging y controles de lab-infrastructure en Cloud Security.
Referencias
- Fundamental: NIST SP 800-218 SSDF — https://csrc.nist.gov/pubs/sp/800/218/final
- Fundamental: CISA Secure by Design — https://www.cisa.gov/resources-tools/resources/secure-by-design
- Fundamental: OWASP ASVS — https://owasp.org/www-project-application-security-verification-standard/