Seguridad como Código
¿Qué es Seguridad como Código?
Seguridad como CódigoPráctica de expresar controles, pruebas e infraestructura de seguridad como código fuente para versionarlos, revisarlos, automatizarlos y entregarlos continuamente junto a las aplicaciones.
La seguridad como código (SaC) generaliza la idea de política como código a todos los artefactos de seguridad: reglas de detección, endurecimiento IaC, permisos IAM, configuración de secretos, modelos de amenazas y puertas de seguridad de CI/CD se guardan como código en Git y se entregan por las mismas tuberías que las aplicaciones. Componentes típicos son módulos Terraform con valores por defecto seguros, bundles de políticas Rego/Sentinel, reglas CodeQL o Semgrep, detecciones Falco/Sigma y manifiestos Kubernetes con contexto de seguridad incorporado. Aporta historial, revisión por pares, pruebas automatizadas, detección de desviaciones y despliegues reproducibles, sustituyendo el endurecimiento manual por entrega continua y auditable integrada con DevSecOps.
● Ejemplos
- 01
Módulo Terraform que despliega un clúster EKS con endpoints privados y registros de auditoría por defecto.
- 02
Conjunto de reglas Semgrep versionado en un repositorio de seguridad, requerido para fusionar.
● Preguntas frecuentes
¿Qué es Seguridad como Código?
Práctica de expresar controles, pruebas e infraestructura de seguridad como código fuente para versionarlos, revisarlos, automatizarlos y entregarlos continuamente junto a las aplicaciones. Pertenece a la categoría de Seguridad en la nube en ciberseguridad.
¿Qué significa Seguridad como Código?
Práctica de expresar controles, pruebas e infraestructura de seguridad como código fuente para versionarlos, revisarlos, automatizarlos y entregarlos continuamente junto a las aplicaciones.
¿Cómo funciona Seguridad como Código?
La seguridad como código (SaC) generaliza la idea de política como código a todos los artefactos de seguridad: reglas de detección, endurecimiento IaC, permisos IAM, configuración de secretos, modelos de amenazas y puertas de seguridad de CI/CD se guardan como código en Git y se entregan por las mismas tuberías que las aplicaciones. Componentes típicos son módulos Terraform con valores por defecto seguros, bundles de políticas Rego/Sentinel, reglas CodeQL o Semgrep, detecciones Falco/Sigma y manifiestos Kubernetes con contexto de seguridad incorporado. Aporta historial, revisión por pares, pruebas automatizadas, detección de desviaciones y despliegues reproducibles, sustituyendo el endurecimiento manual por entrega continua y auditable integrada con DevSecOps.
¿Cómo defenderse de Seguridad como Código?
Las defensas contra Seguridad como Código combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Seguridad como Código?
Nombres alternativos comunes: SaC, DevSecOps como código.
● Términos relacionados
- cloud-security№ 839
Política como Código
Práctica de definir reglas de seguridad, cumplimiento y gobierno en código legible por máquina para versionarlas, probarlas, revisarlas y aplicarlas de forma automática.
- cloud-security№ 756
OPA (Open Policy Agent)
Motor de políticas de propósito general graduado por la CNCF que desacopla las decisiones de autorización de las aplicaciones y del control de admisión de Kubernetes usando el lenguaje Rego.
- cloud-security№ 600
Seguridad de Kubernetes
Protección de un cluster de Kubernetes —su API server, plano de control, nodos, cargas y red— frente a configuraciones erróneas, compromisos y movimiento lateral.
- compliance№ 204
Cumplimiento normativo
Disciplina que asegura el cumplimiento de requisitos legales, regulatorios, contractuales e internos de seguridad mediante controles documentados, evidencia y evaluación continua.
- cloud-security№ 1014
Seguridad de Service Mesh
Conjunto de controles de identidad, cifrado y autorización que un service mesh provee para asegurar el tráfico servicio-a-servicio en entornos cloud-native.
- network-security№ 1262
Red Zero Trust
Arquitectura de red que nunca confía en usuarios, dispositivos o servicios por defecto y exige verificación continua basada en identidad para cada conexión.