Aitana Security Lab - Enterprise Security Training Platform
Filtros
Nivel
Artículos (116)
HTTP: El Protocolo de la Web10 min
Básico
Cookies y Sesiones15 min
Básico
Autenticación y Autorización18 min
Básico
Arquitectura Cliente-Servidor15 min
Básico
APIs REST y Seguridad20 min
Básico
CORS y Same-Origin Policy16 min
Básico
Triada CIA12 min
Básico
Criptografía Simétrica: AES16 min
Básico
Criptografía Asimétrica: RSA/ECC18 min
Intermedio
Funciones Hash y HMAC14 min
Básico
PKI y Certificados Digitales20 min
Intermedio
Modelo OSI y TCP/IP15 min
Básico
OWASP Cheat Sheet Series12 min
Básico
SQL Injection (SQLi)20 min
Básico
Cross-Site Scripting (XSS)22 min
Básico
Cross-Site Request Forgery (CSRF)18 min
Básico
Insecure Direct Object References15 min
Básico
Broken Authentication19 min
Intermedio
Command Injection20 min
Intermedio
XML External Entity (XXE)25 min
Intermedio
Server-Side Template Injection24 min
Intermedio
Validación de Entrada15 min
Básico
Output Encoding14 min
Básico
Parameterized Queries16 min
Básico
Password Hashing17 min
Intermedio
Content Security Policy (CSP)22 min
Intermedio
Security Headers18 min
Intermedio
Secure Session Management20 min
Intermedio
Mínimo Privilegio y Zero Trust14 min
Básico
Control de Acceso: DAC, MAC, RBAC16 min
Intermedio
MFA: Multifactor y FIDO215 min
Básico
SSO y Federación: SAML y OIDC20 min
Intermedio
Firewalls y Arquitecturas de Red16 min
Básico
IDS/IPS: Detección y Prevención18 min
Intermedio
VPN: IPsec, WireGuard y TLS16 min
Básico
Cifrado en Reposo y en Tránsito14 min
Básico
Seguridad WiFi: WPA2, WPA315 min
Básico
OWASP ZAP — DAST Scanner18 min
Intermedio
Gestión de Riesgos16 min
Básico
Clasificación de la Información12 min
Básico
Análisis de Impacto (BIA)18 min
Intermedio
BCP y Recuperación ante Desastres20 min
Intermedio
SIEM: Correlación de Logs22 min
Intermedio
Forense Digital20 min
Intermedio
Ingeniería Social y Phishing16 min
Básico
Malware: Tipos y Persistencia18 min
Básico
Segregación de Funciones12 min
Básico
IAM Empresarial22 min
Intermedio
Complejidad Algorítmica (Big O)12 min
Básico
Arrays y Listas Enlazadas10 min
Básico
Pilas y Colas (Stack & Queue)8 min
Básico
Árboles Binarios14 min
Básico
Binary Search Tree (BST)16 min
Intermedio
Grafos: BFS y DFS18 min
Intermedio
Algoritmos de Ordenación15 min
Básico
Tablas Hash (Hash Maps)12 min
Intermedio
Lógica Booleana y Álgebra de Boole10 min
Básico
Programación Dinámica y Recursión20 min
Avanzado
Patrones de Diseño (GoF)18 min
Intermedio
Bases de Datos: SQL vs NoSQL15 min
Básico
Cursor: Configuración y .cursorrules10 min
Básico
GitHub Copilot: Instrucciones12 min
Básico
Claude Code: CLI y Mejores Prácticas10 min
Básico
MCP: Model Context Protocol20 min
Intermedio
Arquitecturas de Agentes IA22 min
Intermedio
Skills y Prompts en GitHub Copilot15 min
Intermedio
Ingeniería de Prompts14 min
Básico
RAG: Retrieval Augmented Generation25 min
Avanzado
Context Window y Gestión de Tokens12 min
Intermedio
Arquitecturas Multi-Agente28 min
Avanzado
Aider, Continue, Codeium10 min
Básico
Windsurf y Otros Editores IA8 min
Básico
AWS: IAM, GuardDuty y WAF22 min
Intermedio
Azure: Defender, Sentinel y Entra ID22 min
Intermedio
Google Cloud: Security Command Center18 min
Intermedio
Costes OpenAI: GPT-4o, o1, o38 min
Básico
Costes Anthropic: Claude Sonnet/Opus8 min
Básico
Costes Google: Gemini 2.0 y 2.5 Pro8 min
Básico
Infrastructure as Code con Terraform20 min
Intermedio
Kubernetes: Hardening y RBAC25 min
Avanzado
CI/CD Seguro con GitHub Actions18 min
Intermedio
Serverless: Lambda y Functions16 min
Intermedio
SDL: Visión General y Fases15 min
Básico
Threat Modeling con STRIDE22 min
Intermedio
Requisitos de Seguridad14 min
Básico
Estándares de Codificación Segura18 min
Intermedio
Security Testing en el SDLC20 min
Intermedio
Fuzzing y Análisis Estático22 min
Avanzado
Gestión de Vulnerabilidades y CVSS16 min
Intermedio
Incident Response y PSIRT20 min
Avanzado
ISO/IEC 27001:2022 SGSI16 min
Básico
GDPR/RGPD14 min
Básico
Directiva NIS212 min
Básico
ENS — Esquema Nacional de Seguridad14 min
Básico
PCI DSS 4.014 min
Básico
NIST CSF 2.012 min
Básico
EU AI Act — Reglamento IA14 min
Básico
DORA (Finanzas)12 min
Básico
LOPDGDD y LSSI-CE12 min
Básico
HIPAA, SOX, ISO 2701714 min
Básico
OWASP SAMM — Madurez de AppSec20 min
Intermedio
OWASP ASVS — Verificación de Seguridad18 min
Intermedio
OWASP MASVS — Seguridad Móvil16 min
Intermedio
OWASP DSOMM — DevSecOps Maturity20 min
Avanzado
OWASP WSTG — Testing Guide22 min
Intermedio
OWASP API Security Top 10 202318 min
Intermedio
Mapa de Certificaciones10 min
Básico
CISSP16 min
Intermedio
CISM y CISA (ISACA)14 min
Básico
OSCP vs CEH14 min
Intermedio
Ruta CompTIA14 min
Básico
Certs Cloud Security14 min
Básico
ISO 27001 Lead Auditor/Implementer12 min
Básico
Certificación ENS y CSFP (España)10 min
Básico
Certificaciones de IA12 min
Básico
CSSLP y Desarrollo Seguro12 min
Básico
normativas

OWASP DSOMM — DevSecOps Maturity

DevSecOps Maturity Model: mide la integración de seguridad en pipelines CI/CD mediante 5 dimensiones y 4 niveles de madurez.

Pentester
20 minutos
Enero 2026
🌐

Content Available in Spanish Only

This article is currently available only in Spanish. We're working on translations.

Available in: ES Tip: Use your browser's translation feature or visit the Spanish version

¿Qué es OWASP DSOMM?

El DevSecOps Maturity Model (DSOMM) es el framework de OWASP específicamente diseñado para medir y mejorar la integración de seguridad en pipelines de DevOps. Mientras SAMM abarca todo el programa de AppSec organizativo, DSOMM se centra en las actividades concretas de seguridad dentro del flujo CI/CD y las operaciones cloud.

¿Por qué DSOMM y no solo SAMM?

SAMM es excelente para el programa global de AppSec, pero no tiene la granularidad necesaria para evaluar el pipeline DevOps. DSOMM tiene actividades específicas como "Scanning de imágenes de contenedor", "Secrets detection en commits" o "Runtime security con eBPF", que SAMM no detalla al mismo nivel.

Las 5 dimensiones del DSOMM

Terminal
DSOMM — 5 Dimensiones de DevSecOps ══════════════════════════════════════════════════════════════ 1. STATIC DEPTH Análisis estático de código y dependencias 2. DYNAMIC DEPTH Análisis dinámico y testing en runtime 3. INTENSITY Frecuencia y cobertura de las actividades 4. CONSOLIDATION Gestión y priorización de hallazgos 5. ENVIRONMENT Seguridad del entorno de build y producción

Niveles de madurez (1–4) por actividad

Nivel 1 — Básico

Actividad realizada de forma manual o ad-hoc, sin automatización en el pipeline.

Nivel 2 — Integrado

Actividad automatizada en CI, pero sin bloqueo de builds ni SLA de remediación definido.

Nivel 3 — Gestionado

Automatizado, con quality gates que bloquean builds con severidad Alta o Crítica, y métricas de tracking.

Nivel 4 — Optimizado

Integrado en el SDLC completo, con retroalimentación en tiempo real a desarrolladores, métricas por equipo y mejora continua basada en datos.

Actividades clave por fase del pipeline

Pre-commit / IDE

  • Secrets Detection: pre-commit hooks con gitleaks o truffleHog para detectar API keys, tokens y credenciales antes de hacer push.
  • Linting de seguridad: reglas SAST básicas en el IDE (extensiones Snyk, SonarLint).
.pre-commit-config.yaml — secrets detection
yaml

CI Build — Static Analysis

GitHub Actions — SAST + SCA + Secrets
yaml

CI Build — Container Security

GitHub Actions — Trivy container scan
yaml

CD Staging — DAST

OWASP ZAP DAST en staging
yaml

Runtime — Security in Production

  • Falco: detección de comportamiento anómalo en contenedores mediante reglas eBPF (lectura de /etc/shadow, ejecución de shells, exfiltración de red).
  • Wazuh / SIEM: correlación de logs de aplicación, sistema y red.
  • Runtime dependency scanning: detección de vulnerabilidades en librería en uso (Contrast Security, Datadog RASP).
Falco — regla de detección básica
yaml

Ejemplo de scorecard DSOMM

Terminal
DSOMM Scorecard — Pipeline de ejemplo (2025) ══════════════════════════════════════════════════════════════ Actividad Nivel Actual Target Q4 ────────────────────────────────────────────────────────── Secrets detection (pre-commit) 3 3 ✅ SAST (Semgrep en CI) 2 3 SCA (Dependency-Check) 2 3 Container scanning (Trivy) 2 3 IaC scanning (Checkov) 1 2 DAST en staging (OWASP ZAP) 1 2 Image signing (cosign) 0 2 Runtime monitoring (Falco) 1 2 SBOM generation (Syft) 0 1 Pentest recurrente 1 2 ────────────────────────────────────────────────────────── Madurez media: 1.3 / 4 Target: 2.3 / 4

Toolkit DevSecOps por nivel DSOMM

Terminal
Categoría Nivel 1 (básico) Nivel 2–3 Nivel 4 ────────────────────────────────────────────────────────────────────────── SAST Semgrep (free) SonarQube CE Fortify, Coverity SCA npm audit Snyk, Dependabot Mend, Black Duck Secrets gitleaks pre-commit Gitleaks CI + Block Vault + rotation Container scan Trivy (local) Trivy en CI Prisma Cloud, Snyk IaC scan checkov local tfsec en CI Bridgecrew, Wiz DAST OWASP ZAP (manual) ZAP en CI pipeline Burp Suite Enterprise SBOM — Syft / CycloneDX DependencyTrack Runtime Logs básicos Falco Contrast RASP, Datadog Signing — cosign + Rekor SLSA L3 + Sigstore
Empieza con el nivel 1 en todas las categorías antes de profundizar en alguna. Un pipeline con secrets detection, SAST, SCA y scan de contenedores al nivel 1 ya supera la madurez del 70 % de las organizaciones según los benchmarks BSIMM 2024.
Por Aitana Security Team
Volver a la Wiki