¿Qué es OWASP DSOMM?
El DevSecOps Maturity Model (DSOMM) es el framework de OWASP específicamente diseñado para medir y mejorar la integración de seguridad en pipelines de DevOps. Mientras SAMM abarca todo el programa de AppSec organizativo, DSOMM se centra en las actividades concretas de seguridad dentro del flujo CI/CD y las operaciones cloud.
¿Por qué DSOMM y no solo SAMM?
SAMM es excelente para el programa global de AppSec, pero no tiene la granularidad necesaria para evaluar el pipeline DevOps. DSOMM tiene actividades específicas como "Scanning de imágenes de contenedor", "Secrets detection en commits" o "Runtime security con eBPF", que SAMM no detalla al mismo nivel.
Las 5 dimensiones del DSOMM
Terminal
DSOMM — 5 Dimensiones de DevSecOps
══════════════════════════════════════════════════════════════
1. STATIC DEPTH Análisis estático de código y dependencias
2. DYNAMIC DEPTH Análisis dinámico y testing en runtime
3. INTENSITY Frecuencia y cobertura de las actividades
4. CONSOLIDATION Gestión y priorización de hallazgos
5. ENVIRONMENT Seguridad del entorno de build y producción
Niveles de madurez (1–4) por actividad
Nivel 1 — Básico
Actividad realizada de forma manual o ad-hoc, sin automatización en el pipeline.
Nivel 2 — Integrado
Actividad automatizada en CI, pero sin bloqueo de builds ni SLA de remediación definido.
Nivel 3 — Gestionado
Automatizado, con quality gates que bloquean builds con severidad Alta o Crítica, y métricas de tracking.
Nivel 4 — Optimizado
Integrado en el SDLC completo, con retroalimentación en tiempo real a desarrolladores, métricas por equipo y mejora continua basada en datos.
Actividades clave por fase del pipeline
Pre-commit / IDE
- Secrets Detection: pre-commit hooks con
gitleaksotruffleHogpara detectar API keys, tokens y credenciales antes de hacer push. - Linting de seguridad: reglas SAST básicas en el IDE (extensiones Snyk, SonarLint).
.pre-commit-config.yaml — secrets detection
yamlCI Build — Static Analysis
GitHub Actions — SAST + SCA + Secrets
yamlCI Build — Container Security
GitHub Actions — Trivy container scan
yamlCD Staging — DAST
OWASP ZAP DAST en staging
yamlRuntime — Security in Production
- Falco: detección de comportamiento anómalo en contenedores mediante reglas eBPF (lectura de
/etc/shadow, ejecución de shells, exfiltración de red). - Wazuh / SIEM: correlación de logs de aplicación, sistema y red.
- Runtime dependency scanning: detección de vulnerabilidades en librería en uso (Contrast Security, Datadog RASP).
Falco — regla de detección básica
yamlEjemplo de scorecard DSOMM
Terminal
DSOMM Scorecard — Pipeline de ejemplo (2025)
══════════════════════════════════════════════════════════════
Actividad Nivel Actual Target Q4
──────────────────────────────────────────────────────────
Secrets detection (pre-commit) 3 3 ✅
SAST (Semgrep en CI) 2 3
SCA (Dependency-Check) 2 3
Container scanning (Trivy) 2 3
IaC scanning (Checkov) 1 2
DAST en staging (OWASP ZAP) 1 2
Image signing (cosign) 0 2
Runtime monitoring (Falco) 1 2
SBOM generation (Syft) 0 1
Pentest recurrente 1 2
──────────────────────────────────────────────────────────
Madurez media: 1.3 / 4 Target: 2.3 / 4
Toolkit DevSecOps por nivel DSOMM
Terminal
Categoría Nivel 1 (básico) Nivel 2–3 Nivel 4
──────────────────────────────────────────────────────────────────────────
SAST Semgrep (free) SonarQube CE Fortify, Coverity
SCA npm audit Snyk, Dependabot Mend, Black Duck
Secrets gitleaks pre-commit Gitleaks CI + Block Vault + rotation
Container scan Trivy (local) Trivy en CI Prisma Cloud, Snyk
IaC scan checkov local tfsec en CI Bridgecrew, Wiz
DAST OWASP ZAP (manual) ZAP en CI pipeline Burp Suite Enterprise
SBOM — Syft / CycloneDX DependencyTrack
Runtime Logs básicos Falco Contrast RASP, Datadog
Signing — cosign + Rekor SLSA L3 + Sigstore
Empieza con el nivel 1 en todas las categorías antes de profundizar en alguna. Un pipeline con secrets detection, SAST, SCA y scan de contenedores al nivel 1 ya supera la madurez del 70 % de las organizaciones según los benchmarks BSIMM 2024.
Por Aitana Security Team