Temario
Módulo 1: Seguridad en el ciclo de desarrollo
- Qué es DevSecOps y dónde entra cada tipo de análisis
- SAST, SCA y DAST: qué encuentra cada uno y qué no
- Integración en el pipeline: dónde bloquear y dónde solo advertir
- El papel de la IA como copiloto de seguridad, con sus límites
- Práctica: ubicar cada control en un pipeline de ejemplo
Módulo 2: Análisis estático (SAST) con Semgrep
- Escaneo de código con Semgrep y lectura de resultados
- Reglas propias para el contexto de la organización
- Ruido, severidad y por qué el número de hallazgos no es la métrica
- Uso de IA para explicar y contextualizar un hallazgo
- Práctica: correr SAST sobre una base de código y clasificar hallazgos
Módulo 3: Dependencias (SCA) y cadena de suministro con Trivy
- Análisis de dependencias y vulnerabilidades conocidas con Trivy
- Escaneo de imágenes de contenedor y de artefactos
- Seguridad de la cadena de suministro de software y confianza en el origen
- Explotabilidad real frente a severidad reportada en el aviso
- Práctica: evaluar el riesgo real de una vulnerabilidad reportada en una dependencia
Módulo 4: El criterio para triar (el diferenciador)
- Falso positivo, verdadero positivo y positivo no explotable
- Distinguir código legado de código nuevo y priorizar en consecuencia
- Justificar y documentar una supresión con fecha de revisión
- Alternativa recomendada y esfuerzo estimado para cada hallazgo
- Práctica: triar una lista de hallazgos y defender cada decisión
Módulo 5: Análisis dinámico (DAST) y del código a la gestión
- Pruebas dinámicas sobre la aplicación en ejecución
- Correlación entre hallazgos estáticos y dinámicos
- Cómo el triaje alimenta la gestión de riesgo bajo ISO/IEC 27001
- Del hallazgo técnico a la conversación con dirección y con el responsable de seguridad
- Entregable: informe de triaje priorizado con recomendaciones
Correr un escáner de seguridad es fácil; lo difícil es saber qué hacer con los cientos de hallazgos que produce. Este curso enseña las herramientas (SAST, SCA y DAST, con Semgrep y Trivy) y, sobre todo, el criterio que las hace útiles: separar el falso positivo del riesgo real, distinguir el código legado del código nuevo y decidir qué se corrige, qué se acepta y qué se documenta.
El diferenciador es ese juicio, y ahí está el retorno para la organización: menos ruido, menos retrabajo y decisiones de riesgo que resisten una auditoría. La IA acelera el análisis y explica los hallazgos, pero la decisión sobre qué es explotable y qué priorizar sigue exigiendo criterio humano, y eso es lo que se practica aquí. Como complemento de ISO/IEC 27001, llena el espacio entre la norma y la operación diaria de seguridad de aplicaciones: convierte los controles en una práctica verificable y conecta el hallazgo técnico con la conversación de riesgo que espera la dirección.
Preguntas frecuentes
¿A quién está dirigido?
A desarrolladores, ingenieros de DevOps, líderes técnicos y responsables de seguridad de aplicaciones que quieran integrar seguridad en el ciclo de desarrollo con criterio, no solo con herramientas.
¿Necesito conocimientos previos?
Conviene experiencia con desarrollo de software y con pipelines de integración continua. No se requiere haber usado antes las herramientas de análisis: el curso las introduce desde su uso práctico.
¿Qué me llevo al terminar?
La capacidad de correr SAST, SCA y DAST y, sobre todo, el criterio para triar falsos positivos, distinguir código legado de nuevo y proteger la cadena de suministro, con un informe de triaje que puede adaptar a su organización.
¿Cuánto dura y cómo se imparte?
Son 16 horas repartidas en 4 sesiones de 4 horas, 100% virtuales en vivo, con prácticas de escaneo y triaje que culminan en un informe de triaje priorizado.