⌘K
ENES
GitHub
conceptDevSecOps~1 min de lecturaActualizado Apr 23, 2026

NIST SSDF

Definición

El Secure Software Development Framework (SSDF) es el framework de NIST para integrar seguridad de software en prácticas de desarrollo a través de la organización, toolchain y proceso de release.

Por qué importa

SSDF le da a DevSecOps una estructura durable. Convierte “seguridad en el pipeline” de una aspiración vaga en prácticas concretas alrededor de preparar la organización, proteger software, producir software bien asegurado y responder a vulnerabilidades. Esta nota es el anchor de framework para la rama; secure-by-design es la filosofía de producto, mientras asvs-as-dev-process-input es un input concreto de verificación que los equipos pueden alimentar al trabajo de delivery.

Perspectiva del atacante

Los atacantes se benefician cuando los equipos tratan seguridad como tooling ad hoc en vez de como sistema. Entornos débiles, checks inconsistentes, roles poco claros y prácticas informales de release crean aberturas mucho antes de la explotación runtime.

Perspectiva del defensor

Los defensores deberían usar SSDF para:

  • definir prácticas de desarrollo seguro
  • establecer entornos y responsabilidades seguros
  • integrar checks en el workflow
  • mejorar disciplina de respuesta y remediación

Ejemplos prácticos

  • existe secure code review, pero aprobación de release e integridad de artifacts son informales
  • los equipos escanean dependencias pero carecen de un proceso para arreglar o priorizar hallazgos
  • developers endurecen código pero el entorno de build está débilmente controlado

Notas relacionadas

Referencias

  • Fundamental: NIST SP 800-218 SSDF — https://csrc.nist.gov/pubs/sp/800/218/final
  • Fundamental: NIST SSDF project page — https://csrc.nist.gov/Projects/ssdf

Notas relacionadas

DevSecOpsArtifact IntegrityArtifact integrity es la garantía de que outputs de build, paquetes, imágenes y artifacts de release no fueron manipulados y pueden trazarse hasta el proceso de build previsto. DevSecOpsASVS como input del proceso de desarrolloEsta nota trata OWASP ASVS no como una checklist post-hoc, sino como un input del proceso de desarrollo para diseñar, revisar y verificar controles técnicos de seguridad durante la implementación. DevSecOpsProtección de ramas y controles de releaseLa protección de ramas y los controles de release son las reglas y mecanismos de governance que determinan quién puede cambiar rutas de código protegidas, aprobar releases y promover artifacts hacia producción. DevSecOpsCI/CD HardeningCI/CD hardening es asegurar el build, test y deployment pipeline para que la automatización se vuelva una ruta de control confiable en vez de un amplificador de ataques. DevSecOpsContainer SecurityContainer security es la práctica de reducir riesgo en cómo las aplicaciones containerizadas se construyen, configuran, shippean y corren. DevSecOpsDependency RiskDependency risk es el riesgo de seguridad introducido por librerías, frameworks y paquetes de terceros directos y transitivos, y por sus patrones de actualización y confianza.