A.8.4 ISO 27002:2022
¿El acceso al código fuente está gobernado conforme a buenas prácticas: lista de miembros y roles documentada, CODEOWNERS para módulos sensibles, política de tokens con expiración, política de forks, y registro de cambios en accesos?
Acceder al panel de Members y Settings/Access del repositorio omnicontrol-erp en GitHub. Validar quiénes tienen acceso y con qué nivel (Read, Write, Maintain, Admin). Verificar la presencia y cobertura del archivo CODEOWNERS para módulos críticos (DIAN, RNDC, multi-tenant, auth). Inspeccionar Personal Access Tokens (PATs) y Deploy Keys: cantidad, alcance y fecha de expiración. Revisar política de forks.
Captura del panel de Members con roles efectivos. Archivo CODEOWNERS o ausencia. Inventario de PATs/Deploy Keys con fechas de creación y expiración. Política de forks (allowed/disallowed).
El repositorio omnicontrol-erp es el activo más crítico del SDLC. Una concentración de acceso administrativo, ausencia de codeowners para módulos regulatorios (DIAN/RNDC) o tokens sin expiración configura riesgo de compromiso del código fuente — debilidad D5 del DOFA (acumulación de funciones críticas en un solo rol).
- 01¿Quiénes tienen acceso al repositorio y con qué rol?
- 02¿Existe archivo CODEOWNERS para módulos críticos (DIAN, RNDC, multi-tenant)?
- 03¿Los Personal Access Tokens tienen fecha de expiración?
- 04¿Hay política documentada de forks y branches protegidos?
- 05¿Se mantiene un log auditable de cambios en permisos del repo?
Artefactos para ejecutar la prueba
La clasificación esperada está oculta para que ejecutes la prueba y descubras el hallazgo por ti mismo. Cuando hayas explorado los artefactos, puedes revelarla para contrastarla con tu juicio.
La propuesta de acción correctiva está vinculada al toggle global “Mostrar interpretación según contexto”. Ejecuta primero la prueba con los artefactos y forma tu propio juicio. Cuando estés listo, revélala para contrastar con la recomendación del equipo auditor.