Ir al contenido principal

Para industrias reguladas

Cuando su código no puede salir legalmente del perímetro.

Defensa, sanidad (HDS), finanzas, sector público, infraestructuras críticas — sus obligaciones contractuales prohíben enviar el código fuente a una nube de terceros. StaticCodeAudit se ejecuta íntegramente en su hardware. Sin excepción.

Sectores en los que importa

🛡️

Defensa y soberanía

El código clasificado por los marcos de seguridad nacional no puede subirse a SaaS comerciales. La mayoría de proveedores SAST en la nube quedan fuera de alcance.

A tener en cuenta: RGS (FR), DoD Instruction 8500.01, NATO STANAG 4774.

🏥

Sanidad

HDS (FR), HIPAA (US), RGPD Art. 9 — flujos de datos sanitarios de pacientes. Las aplicaciones que los manejan son software auditable, pero el código fuente en sí suele estar clasificado.

A tener en cuenta: HDS, HIPAA, ISO 27799.

🏦

Finanzas

Lógicas de detección de fraude, algoritmos de market-making, modelos de riesgo — código que es la propiedad intelectual. Enviarlo a un analizador SaaS crea una superficie de ataque de terceros que la mayoría de los CISO rehúsan aceptar.

A tener en cuenta: DORA, PCI-DSS, ISO 27001 Anexo A.

🏛️

Sector público

RGS (FR), BSI Grundschutz (DE), reglas de contratación pública que imponen un alojamiento soberano y excluyen los SaaS estadounidenses para código sensible.

A tener en cuenta: RGS, BSI IT-Grundschutz, ENS (ES).

Lo que usted obtiene

  • Cero llamadas salientes durante el análisis — verificable con tcpdump. Ver el registro de auditoría.
  • Matriz de cumplimiento ISO 27001:2022 Anexo A (93 controles), precumplimentada en el informe HTML que entrega a su auditor.
  • Matriz de verificaciones OWASP ASVS v5.0.0 (348 requisitos, 17 capítulos).
  • Mapeo NIST CSF 2.0 (108 subcategorías) para cumplimiento alineado con EE. UU. / Canadá.
  • Export SBOM CycloneDX 1.5 — exigido por el Cyber Resilience Act europeo y el Executive Order 14028 estadounidense.
  • Export SARIF 2.1.0 con etiquetas CWE — se integra con los paneles GitHub/GitLab Advanced Security.
  • Despliegue soberano — binario único, funciona en Linux/macOS/Windows, sin Docker, sin JVM, sin base de datos.
  • Cláusula DPO / jurídica pre-redactada para su expediente de riesgo de proveedor. Cópiela desde aquí.

Frameworks de cumplimiento alineados con StaticCodeAudit

Cada hallazgo lleva metadata de mapeo explícito. Cuando exporta el SARIF o lee el HTML, cada issue es trazable a:

ISO/IEC 27001:2022

Controles Anexo A.5–A.8. Hallazgos etiquetados con el control que evidencian (p.ej. A.8.4 « Acceso al código fuente »).

OWASP Top 10 (2021) + ASVS v5.0.0

Referencia estándar para seguridad aplicativa. Requisitos ASVS Nivel 1/2/3 mapeados a reglas específicas (47 requisitos cubiertos).

NIST CSF 2.0

Identify-Protect-Detect-Respond-Recover. Reglas etiquetadas con subcategorías relevantes (PR.DS, DE.CM, etc.) — 108 reglas mapeadas.

CWE / CVE

100% de las reglas builtin llevan al menos un identificador CWE. Referencias CVE opcionales para reglas que detectan patrones de bibliotecas vulnerables.

WCAG 2.1 (UX/accesibilidad)

Hallazgos de accesibilidad en HTML / templates mapeados a criterios WCAG 2.1 Nivel A/AA — útil para licitaciones del sector público.

Frameworks sectoriales (reconocidos por reguladores)

  • Defensa / Aeroespacial — directrices ANSSI (FR), CMMC L2-L3 (cadena de suministro DoD US), MIL-STD-1474.
  • Sanidad — HIPAA Security Rule (US), HDS (FR), ISO 27799, FDA 510(k) validación de software.
  • Finanzas / Banca — PCI-DSS v4.0 §6.2 desarrollo seguro, DORA Art. 8 riesgo TIC, directiva NIS2, directrices EBA sobre TIC.
  • Sector público — eIDAS, cláusulas ISO 27001 en licitaciones, directrices ENISA, servicios esenciales NIS2.
  • Energía / Infraestructuras críticas — NIS2 Anexo I, NERC CIP (red eléctrica US), IEC 62443 (industrial), NIST SP 800-82.

Pruebas de auditoría que sobreviven a una inspección regulatoria

El informe HTML incluye el mapeo de cada hallazgo. Un inspector de un regulador puede verificar, para cualquier línea de código fuente:

  • Qué regla disparó (ID de regla + versión).
  • A qué estándar mapea la regla (CWE, OWASP, ISO, ASVS, NIST CSF).
  • Qué sanitizer o fix se recomienda (con ejemplo de código).
  • La severidad y la base de esa severidad (puntaje de riesgo CWE + contexto organizacional).
  • El hash SHA-256 del binario usado (publicado en nuestra página de descarga).

Como cada artefacto es texto plano o HTML, un regulador puede archivar el paquete completo de pruebas — sin visor propietario, sin dashboard SaaS que podría no estar disponible en 5 años si la auditoría se reabre.

Preguntas frecuentes (industrias reguladas)

¿StaticCodeAudit produce un export SARIF compatible con nuestro GRC existente?

Sí. SARIF v2.1.0 es el formato OASIS estándar. Herramientas como ServiceNow, Jira Security, RSA Archer, MetricStream y Hyperproof ingieren SARIF nativamente. La opción CLI --export sarif produce un JSON único junto al informe HTML.

¿Puede el binario ejecutarse en entorno air-gapped (sin internet, sin DNS)?

Sí. El binario no tiene rutas de código de red. Lee archivos fuente desde disco, escribe un informe a disco, sale. Adecuado para SCIF (US), zona restringida (FR), sicherer Bereich (DE) y entornos clasificados equivalentes.

¿Y el artículo 21 NIS2 — atestaciones de cadena de suministro software?

StaticCodeAudit produce un SBOM en formato CycloneDX (--export sbom). Combinado con los hallazgos SARIF, da la prueba « medidas técnicas y organizacionales » requerida bajo NIS2 Art. 21(2)(d) para entidades afectadas. El SBOM CycloneDX lista dependencias con versiones y hashes para atestación de cadena de procurement.

¿Firman su binario para que podamos verificar integridad para HIPAA / SOC 2?

Sí. Cada release de binario tiene un hash SHA-256 publicado en nuestra página de descarga (la misma expuesta vía /try.php y URLs de entrega específicas de cliente). Para Windows, el .exe está firmado con un certificado Authenticode. Los builds macOS están notarizados. Los builds Linux entregan firmas separadas.

¿Hay una autoatestación que podamos incluir en nuestra auditoría SOC 2?

Sí — nuestra página de seguridad pública (/security.php) describe la arquitectura 100% sin conexión y la postura de cero llamadas salientes. También podemos proporcionar una carta firmada a solicitud para inclusión en paquete de pruebas SOC 2 Type II (contacto: contact@codefixture.com).

Hable con un ingeniero de seguridad de CodeFixture

Podemos firmar la cláusula de flujo de datos para su expediente de proveedor, ejecutar StaticCodeAudit sobre una muestra de su código compartiendo pantalla, y responder directamente a preguntas de cumplimiento.

Contactar al fundador