Checklist consolidado y recursos

Por: Artiko
owaspseguridadchecklistdevsecopsrecursos

Checklist consolidado y recursos

El checklist completo

Configuración de sistema (SC)

Gestión de archivos (FM)

Seguridad en la nube (CS)

Cómo adaptar este checklist a un proyecto real

El propio OWASP Developer Guide aclara que esta lista es un punto de partida, no un estándar cerrado. Recomendaciones para llevarlo a la práctica:

  1. Priorizar por exposición real: un servicio interno sin acceso a internet no necesita la misma urgencia en “métodos HTTP deshabilitados” que una API pública, pero sí en mínimo privilegio y gestión de secretos.
  2. Incorporarlo a la Definition of Done: agregar los ítems relevantes a la plantilla de Pull Request o a los criterios de aceptación, para que se revisen en cada cambio y no una vez al año en una auditoría.
  3. Automatizar lo que se pueda verificar por código: headers HTTP, escaneo de imágenes y políticas de IaC se prestan a gates automáticos en CI/CD (ver capítulo 4). Lo que no se puede automatizar (aislamiento de entornos, control de cambios) queda como checklist de revisión humana.
  4. Revisar el checklist cuando cambia el stack: migrar de un monolito a microservicios, o de VMs a serverless, cambia qué ítems aplican y cómo se implementan (por ejemplo, “aislar entornos” en serverless se resuelve con cuentas de AWS separadas, no con VLANs).

Referencias