Glosario SAST — CWE, OWASP, ISO 27001, NIS2, SBOM, SARIF

SAST DAST IAST CWE CVE OWASP Top 10 OWASP ASVS ISO/IEC 27001 NIST CSF 2.0 SARIF SBOM Taint analysis CSP XSS SQL Injection SSRF XXE CSRF Prototype Pollution Insecure Deserialization Air-gapped NIS2 SOC 2 HIPAA PCI-DSS

SAST ¶: Static Application Security Testing — análisis del código fuente (o bytecode compilado) sin ejecutarlo, para encontrar vulnerabilidades. Opuesto al DAST. StaticCodeAudit es una herramienta SAST.
DAST ¶: Dynamic Application Security Testing — análisis de una aplicación en ejecución desde fuera (peticiones HTTP, flujos de login). Complementario al SAST. No puede encontrar issues en rutas de código no alcanzables.
IAST ¶: Interactive Application Security Testing — combina SAST y DAST instrumentando la aplicación en runtime. Requiere un agente en el proceso de la app, lo que limita el uso sin conexión.
CWE ¶: Common Weakness Enumeration — lista desarrollada por la comunidad de debilidades de software (p.ej. CWE-89 « Inyección SQL ») mantenida por MITRE. Cada regla StaticCodeAudit está etiquetada con al menos un identificador CWE.
CVE ¶: Common Vulnerabilities and Exposures — identificador único de una vulnerabilidad divulgada públicamente (p.ej. CVE-2021-44228 = log4shell). Sirve para rastrear qué versión de una librería está afectada.
OWASP Top 10 ¶: Lista OWASP actualizada regularmente de los 10 riesgos de seguridad web más críticos (última actualización: 2021). Incluye A01 Broken Access Control, A03 Injection, A07 Identification & Authentication Failures, etc.
OWASP ASVS ¶: Application Security Verification Standard — checklist OWASP de 280+ requisitos de verificación agrupados en 14 capítulos. Niveles 1 (básico) / 2 (estándar) / 3 (avanzado). Versión actual: 5.0.0.
ISO/IEC 27001 ¶: Estándar internacional para sistemas de gestión de seguridad de la información. El Anexo A lista 93 controles (revisión 2022). La certificación prueba que una organización ha implementado y opera un ISMS.
NIST CSF 2.0 ¶: NIST Cybersecurity Framework, versión 2.0 (2024). Cinco funciones: Identify, Protect, Detect, Respond, Recover. Ampliamente adoptado por agencias federales US y operadores de infraestructuras críticas.
SARIF ¶: Static Analysis Results Interchange Format — formato JSON estándar OASIS (v2.1.0) para salidas SAST agnósticas. Ingerido por GitHub Code Scanning, GitLab Security Dashboard, ServiceNow, RSA Archer, etc.
SBOM ¶: Software Bill of Materials — inventario legible por máquina de cada componente (librería, versión, licencia) en un software. Requerido por la Executive Order 14028 US y la directiva NIS2 UE para atestaciones de cadena de suministro de software. Formatos comunes: CycloneDX, SPDX.
Taint analysis ¶: Seguimiento de cómo una entrada de usuario no confiable (« source ») fluye por el código hasta alcanzar una función peligrosa (« sink ») sin pasar por un sanitizer. La técnica detrás de la detección de inyecciones SQL, XSS, SSRF, command injection.
CSP ¶: Content Security Policy — cabecera HTTP de respuesta que indica al navegador qué fuentes de script, estilo, imagen, etc. están permitidas. Mitiga XSS bloqueando scripts inline y CDNs no autorizados.
XSS ¶: Cross-Site Scripting — vulnerabilidad donde una entrada controlada por el atacante se refleja en el HTML sin escape, permitiendo al atacante ejecutar JavaScript en el navegador de la víctima. Variantes: stored, reflected, DOM-based.
SQL Injection ¶: Vulnerabilidad donde una entrada de usuario se concatena en una consulta SQL sin parámetro bind, permitiendo al atacante alterar la lógica de la consulta (leer otras filas, eliminar tablas, exfiltrar datos). CWE-89.
SSRF ¶: Server-Side Request Forgery — vulnerabilidad donde el atacante engaña a un servidor para que haga peticiones HTTP a servicios internos (endpoints metadata cloud, RDS, microservicios internos) que el atacante no puede alcanzar directamente. CWE-918.
XXE ¶: XML External Entity — vulnerabilidad de parsers XML que resuelven entidades externas (referencias DTD). Permite al atacante leer archivos locales, hacer SSRF, o disparar denegación de servicio (billion laughs). CWE-611.
CSRF ¶: Cross-Site Request Forgery — ataque donde una víctima autenticada es engañada para enviar una petición elegida por el atacante, abusando de la cookie de sesión de la víctima. Mitigado por tokens anti-CSRF o cookies SameSite. CWE-352.
Prototype Pollution ¶: Vulnerabilidad específica de JavaScript donde el atacante puede contaminar Object.prototype mediante claves forjadas (__proto__, constructor). Afecta a todos los objetos derivados. CWE-1321.
Insecure Deserialization ¶: Deserializar bytes controlados por el atacante (pickle, Java ObjectInputStream, PHP unserialize, .NET BinaryFormatter) lleva a la ejecución de código arbitrario vía cadenas de gadgets. CWE-502.
Air-gapped ¶: Entorno informático físicamente y lógicamente aislado de redes externas (sin internet, sin DNS, sin medios removibles). Requerido para entornos de datos clasificados (SCIF, zona restringida) y muchos despliegues de defensa / infraestructuras críticas.
NIS2 ¶: Directiva UE 2022/2555 sobre ciberseguridad para entidades « esenciales » e « importantes » (energía, bancos, sanidad, infraestructura digital, etc.). El artículo 21 ordena medidas de gestión de riesgos incluyendo seguridad de la cadena de suministro y prueba SBOM.
SOC 2 ¶: Service Organisation Control 2 — framework de auditoría AICPA para proveedores de servicios, cubriendo 5 « criterios de servicio de confianza » (seguridad, disponibilidad, integridad del procesamiento, confidencialidad, privacidad). Las auditorías Tipo II cubren un periodo (típicamente 6-12 meses).
HIPAA ¶: US Health Insurance Portability and Accountability Act. La Security Rule (45 CFR §164.302–318) exige salvaguardas técnicas sobre la información de salud protegida electrónica (ePHI), incluyendo controles de acceso, logs de auditoría y verificación de integridad.
PCI-DSS ¶: Payment Card Industry Data Security Standard. Requerido por Visa/MC/Amex para cualquier comerciante o procesador que maneje datos de tarjetas de pago. La versión 4.0 (2024) §6.2 exige prácticas de desarrollo seguro incluyendo revisión de código.

Authoritative sources

Every definition in this glossary is derived from a publicly maintained specification. Verify directly:

• CWE — cwe.mitre.org (MITRE, maintained list)
• CVE — cve.org (MITRE / CVE Program)
• OWASP Top 10 (2021) — owasp.org/Top10
• OWASP ASVS v5 — owasp.org/ASVS
• ISO/IEC 27001:2022 — iso.org/standard/27001
• NIST CSF 2.0 — nist.gov/cyberframework
• SARIF v2.1.0 — OASIS specification
• SBOM (CycloneDX) — cyclonedx.org (OWASP project)
• SBOM (SPDX) — spdx.dev (Linux Foundation)
• WCAG 2.1 — w3.org/TR/WCAG21
• NIS2 (EU 2022/2555) — EUR-Lex full text
• SOC 2 (AICPA) — aicpa-cima.com
• HIPAA Security Rule — hhs.gov/hipaa
• PCI-DSS v4.0 — pcisecuritystandards.org

Glosario SAST y seguridad

SAST

DAST

IAST

CWE

CVE

OWASP Top 10

OWASP ASVS

ISO/IEC 27001

NIST CSF 2.0

SARIF

SBOM

Taint analysis

CSP

XSS

SQL Injection

SSRF

XXE

CSRF

Prototype Pollution

Insecure Deserialization

Air-gapped

NIS2

SOC 2

HIPAA

PCI-DSS

Authoritative sources