NOR_MITDEP v01r01

Ámbito de aplicación de la norma

La Junta de Andalucía tiene como objetivo estratégico la estandarización de las herramientas y normas corporativas para la homogeneización del ciclo de vida del desarrollo de un producto software, promoviendo las prácticas DevSecOps, por lo que el cumplimiento de la norma de mitigación de vulnerabilidades de dependencias se extiende a todos los equipos de desarrollo de la ADA que utilicen la Plataforma de CI/CD Corporativa.  

Por tanto, las directrices de esta norma lo DEBEN cumplir todo sistema de información que:

• Se encuentre en el Proceso de Transición a DevSecOps
• Se encuentre operativo o en desarrollo para ser desplegado en las infraestructuras de despliegue de la ADA, utilizando el modelo DevSecOps impulsado por el Servicio de Gobierno TI y Calidad.

Además, se RECOMIENDA que cumplan  las directrices de esta norma:

• Todo sistema de información de nuevo desarrollo.
• Cualquier otro sistema de información de la ADA, teniendo en cuenta sus posibles restricciones tecnológicas o presupuestarias.

Descripción de la norma

DIR_01 Cumplimiento de requisitos de mitigación de vulnerabilidades de dependencias 

OBLIGATORIO Los Sistemas de Información que utilicen la Plataforma de CI/CD Corporativa  DEBEN  cumplir las directrices de esta norma para la mitigación de vulnerabilidades de dependencias en la Plataforma de CI/CD Corporativa.

DIR_02 Uso de la lista blanca general

OBLIGATORIO Las vulnerabilidades incluidas en esta lista son excepcionadas para todos los componentes que utilizan la Plataforma de CI/CD Corporativa para la mitigación de vulnerabilidades. 

Las listas blancas se usan para excluir del análisis de dependencias ciertas vulnerabilidades justificadas, como falsos positivos o vulnerabilidades aceptadas temporalmente. 

Su función principal es evitar que determinadas vulnerabilidades generen fallos o aparezcan en el informe, siempre que hayan sido justificadas, validadas y aprobadas.  

Esta lista blanca general afecta a todas las aplicaciones de todos los Sistemas de Información que utilicen la Plataforma de CI/CD Corporativa. Su gestión es centralizada y responsabilidad del Servicio de Ciberseguridad. 

DIR_03 Uso de la lista negra general

OBLIGATORIO  Las vulnerabilidades incluidas en esta lista son consideradas como críticas, independientemente de su nivel de severidad, para todos los componentes que utilizan la Plataforma de CI/CD Corporativa. 

La lista negra es un fichero que contiene una colección de códigos CVE (identificador de vulnerabilidad) considerados críticos desde el punto de vista de Ciberseguridad, independientemente de su nivel de severidad. 

Se utiliza para señalar vulnerabilidades especialmente peligrosas y su gestión es centralizada y responsabilidad del Servicio de Ciberseguridad. 

DIR_04 Cumplimiento del umbral de severidad de las vulnerabilidades de dependencias

OBLIGATORIO Los componentes que utilicen la Plataforma de CI/CD Corporativa deberán ajustarse a los umbrales de severidad de vulnerabilidades en sus dependencias software definidos en los criterios de seguridad publicados en Políticas de umbrales en integración continua.

La finalidad de este control es garantizar que no se promuevan ni desplieguen aplicaciones que presenten riesgos significativos para la seguridad. La validación del cumplimiento de este requisito se realiza de forma automática durante el análisis de dependencias. 

Las vulnerabilidades incluidas en la lista negra no cumplirán los umbrales de severidad para definidos para esta directriz. 

Cualquier excepción a este requisito deberá estar debidamente justificada, documentada y aprobada, y su gestión será responsabilidad del Servicio de Ciberseguridad, en coordinación con los equipos de desarrollo. Dichas excepciones podrán materializarse, en su caso, mediante el uso de las listas blancas. 

DIR_05 Uso de la lista blanca local

RECOMENDADO Las vulnerabilidades incluidas en esta lista son excepcionales para un componente concreto que utiliza la Plataforma de CI/CD Corporativa para la mitigación de vulnerabilidades.

Cada componente podrá, de manera opcional, disponer de su propia lista blanca local, que funcionará exactamente igual que la general. Su gestión es responsabilidad de la Dirección del proyecto.

Su objetivo es incluir falsos positivos específicos o excepciones justificadas que solo afecten a dicho proyecto. Esta lista permite que cada equipo ajuste el análisis a las necesidades particulares de su aplicación sin impactar al resto.

Se deberá incluir un CVE (identificador de vulnerabilidad) en la lista blanca cuando:

• Se confirma que es un falso positivo. 
• La vulnerabilidad pertenece a un componente no ejecutado o sin impacto real. 
• La vulnerabilidad ha sido aceptada temporalmente y está controlada. 
• Existe aprobación del Servicio de Ciberseguridad.

El mecanismo utilizado para la gestión de estas excepciones será trazable, de forma que quede constancia de la justificación, la fecha, el alcance y el responsable de cada inclusión. 

La lista blanca no deberá utilizarse para ocultar vulnerabilidades de severidad crítica o alta sin una evaluación previa y documentada. Cualquier impacto en entornos de producción derivado de un uso indebido de la lista blanca será registrado, comunicado a los responsables correspondientes y tratado conforme a los procedimientos de seguridad establecidos. 

DIR_06 Duplicidad de vulnerabilidades en la lista blanca local y la lista negra general

Obligatorio  En el caso de que una vulnerabilidad esté incluida tanto en la lista blanca local como en la lista negra, la lista blanca local tiene prioridad.  

De esta forma, si una vulnerabilidad incluida en la lista negra no tiene efectos en un componente determinado, la Dirección de proyecto justificará debidamente la inclusión de esta vulnerabilidad en su lista blanca local tras la aprobación del Servicio de Ciberseguridad.