A.8.25 / A.8.28 ISO 27002:2022 + OWASP SAMM
¿El pipeline de CI/CD bloquea automáticamente despliegues cuando faltan controles de seguridad obligatorios (SAST, SCA) o existen hallazgos críticos sin remediar?
Acceder al repositorio GitHub de la aplicación OmniControl ERP. Inspeccionar el archivo de workflow de GitHub Actions (.github/workflows/) para verificar la presencia de stages SAST y SCA como gates obligatorios. Revisar los últimos runs del pipeline y comprobar si en algún momento un hallazgo crítico bloqueó un release. Validar la configuración de Secret Scanning y Dependabot en Settings → Code security and analysis.
Captura del workflow YAML mostrando ausencia o presencia de stages SAST/SCA. Capturas de runs recientes de Actions. Configuración de seguridad del repositorio. Si no hay stages SAST/SCA definidos como required checks, constituye no conformidad.
El análisis de contexto identifica la ausencia de SAST/DAST como debilidad crítica D3 del DOFA. La Matriz de Partes Interesadas documenta que el Desarrollador Fullstack requiere SAST/DAST integrados en CI/CD como gate automático.
- 01¿El workflow YAML define stages para SAST (CodeQL, Semgrep, Snyk Code)?
- 02¿Hay un stage de SCA (Dependabot, Snyk Open Source) que bloquee el release?
- 03¿GitHub Secret Scanning está habilitado en Settings → Security?
- 04¿Existen 'required checks' configurados en branch protection?
- 05¿La 'Definition of Done' incluye criterios de seguridad obligatorios?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.