Información general
Descripción
Ámbito de aplicación de la norma
La Junta de Andalucía tiene como objetivo estratégico la estandarización de las herramientas y normas corporativas para la homogeneización del ciclo de vida del desarrollo de un producto software, promoviendo las prácticas DevSecOps, por lo que el cumplimiento de la norma de mitigación de vulnerabilidades de imágenes CaaS se extiende a todos los equipos de desarrollo de la ADA que utilicen la Plataforma de CI/CD Corporativa.
Por tanto, las directrices de esta norma lo DEBEN cumplir todo sistema de información que:
- Se encuentre en el Proceso de Transición a DevSecOps
- Se encuentre operativo o en desarrollo para ser desplegado en las infraestructuras de despliegue de la ADA, utilizando el modelo DevSecOps impulsado por el Servicio de Gobierno TI y Calidad.
Además, se RECOMIENDA que cumplan las directrices de esta norma:
- Todo sistema de información de nuevo desarrollo.
- Cualquier otro sistema de información de la ADA, teniendo en cuenta sus posibles restricciones tecnológicas o presupuestarias.
Descripción de la norma
DIR_01 Cumplimiento de requisitos de mitigación de vulnerabilidades de imágenes
OBLIGATORIO Los Sistemas de Información que utilicen la Plataforma de CI/CD Corporativa y van a desplegar en entornos CaaS DEBEN cumplirá las directrices de esta para la mitigación de vulnerabilidades de imágenes en la Plataforma de CI/CD Corporativa.
DIR_02 Utilización de imágenes base procedentes de registros confiables
OBLIGATORIO Los Sistemas de información que utilicen la Plataforma de CI/CD Corporativa deberán construir sus imágenes de contenedores a partir de imágenes base procedentes de registros confiables y autorizados.
El uso de imágenes base no confiables, no verificadas o sin mantenimiento adecuado introduce riesgos de seguridad que pueden afectar a los sistemas de información. Este control tiene como finalidad garantizar que las imágenes base utilizadas cumplan unos mínimos de seguridad.
Los registros de imágenes confiables y autorizados son definidos por el servicio responsable de la infraestructura en la que va a ser desplegado el Sistema de Información.
DIR_03 Cumplimiento del umbral de severidad de no conformidades del fichero de definición imagen del contenedor
OBLIGATORIO Los componentes que utilicen la Plataforma de CI/CD Corporativa deberán ajustarse a los umbrales de severidad en la definición de construcción de la imagen definidos en los criterios de seguridad publicados en Políticas de umbrales en integración continua.
La finalidad de este control es evitar la introducción de prácticas inseguras en la construcción de imágenes de contenedores. La validación del cumplimiento de este requisito se realiza de forma automática durante la validación del fichero de definición de imagen del contenedor (por ejemplo,Dokerfile)
DIR_04 Cumplimiento del umbral de severidad de las vulnerabilidades de la imagen generada por el componente
OBLIGATORIO Las imágenes de contenedores generadas por los componentes que utilicen la Plataforma de CI/CD Corporativa deberán ajustarse a los umbrales de severidad de vulnerabilidades de imágenes definidos en los criterios de seguridad publicados en Políticas de umbrales en integración continua.