Herramienta de verificación de dependencias de la Plataforma CI/CD

¿En qué consiste?

La herramienta de  verificación de dependencias utilizada por la Plataforma CI/CD corporativa es Dependency Check, Se trata de una herramienta de análisis de composición de software (SCA – Software Composition Analysis) mantenida por OWASP, cuyo objetivo es identificar dependencias vulnerables en los proyectos de software mediante la comparación de las librerías utilizadas con bases de datos de vulnerabilidades conocidas, como el National Vulnerability Database (NVD). La herramienta analiza dependencias directas y transitivas, proporcionando información detallada sobre vulnerabilidades detectadas, su severidad y las referencias asociadas.

Dependency Check se caracteriza por su facilidad de integración con los principales gestores de dependencias y lenguajes, así como por su capacidad para ejecutarse tanto en entornos locales como en pipelines de CI/CD. Esto permite a los equipos de desarrollo incorporar el análisis de dependencias como parte del ciclo de vida del software, favoreciendo la detección temprana de vulnerabilidades y reduciendo riesgos de seguridad en fases avanzadas del desarrollo.

Esta herramienta de análisis de dependencias está integrada en el Pipeline de CI utilizado por la Plataforma de CI/CD Corporativa, de forma que, durante el proceso de construcción de un componente, se lanza el proceso de inventario de dependencias y se suba a la herramienta, con el fin de realizar la monitorización continua de las mismas, generando un informe con el resultado del análisis y las vulnerabilidades detectadas. 

¿A quién va dirigido?

El alcance de esta herramienta se extiende a toda la ADA. Todo componente software desarrollado podrá solicitar su integración en la Plataforma CI/CD corporativa y así hacer uso de la herramienta de verificación de dependecias.

¿Cómo lo solicito?

Para solicitar el uso de la Plataforma CI/CD corporativa se debe realizar a través del siguiente servicio de NAOS:

• Operación: Realizar petición
• Servicio: DSO - Impulso DevSecOps
• Componente: Inclusión de un nuevo sistema/componente en circuito DevSecOps (CI/CD)
• Elemento: (Sin determinar)

Necesito soporte

Se brindará soporte al personal técnico TIC de la ADA mediante solicitud a través de NAOS: 

• Operación: Realizar petición  
• Servicio: DSO - Impulso DevSecOps  
• Componente: Soporte de las herramientas de apoyo DevSecOps  
• Elemento: (Sin determinar) 

Reglas y pautas

Existen una serie de normas obligatorias y/o recomendadas que deben cumplir los usuarios y sistemas de información que utilicen la herramienta de verificación de dependencias de la Plataforma de CI/CD Corporativa:

• Norma para el uso de la herramienta de verificación de dependencias de la plataforma CI/CD