Cobertura de conformidad 100 %
Cada una de las 697 reglas builtin está mapeada a un estándar publicado. Ninguna regla se distribuye sin un anclaje de trazabilidad.
Además, ISO/IEC 27001:2022 (93 controles), OWASP ASVS v5.0.0 (348 requisitos) y NIST CSF 2.0 (108 subcategorías) se matrizan en cada informe. Los findings llevan sus metadatos de conformidad en JSON, SARIF (rule.properties.tags) y HTML.
Estándares compatibles
Cada hallazgo está vinculado a uno o más estándares internacionales.
OWASP Foundation · EE.UU.
OWASP Top 10
Los 10 riesgos de seguridad más críticos para apps web. SCA etiqueta cada hallazgo con su categoría Top 10 para identificar la clase de riesgo de inmediato.
MITRE · EE.UU.
CWE
Catálogo MITRE de más de 1 000 debilidades de software. Identificadores estandarizados (p. ej. CWE-89 para inyección SQL) para comparar herramientas sin ambigüedad.
W3C · Internacional
WCAG 2.1
Estándar de accesibilidad W3C. Obligatorio en el sector público UE/US e impuesto al privado por la European Accessibility Act 2025.
Unión Europea · 2018
GDPR / RGPD
Reglamento europeo de protección de datos personales. SCA detecta datos codificados y cifrado ausente en campos sensibles. Multas hasta el 4 % de la facturación mundial.
OWASP Foundation · EE.UU.
OWASP CI/CD
Top 10 de riesgos propios de los pipelines CI/CD. SCA escanea GitHub Actions y GitLab CI — los pipelines tienen acceso directo a secretos y a producción.
OASIS / OWASP · Internacional
SARIF & SBOM
Exportaciones estándar de la industria. SARIF alimenta GitHub Code Scanning y GitLab SAST; SBOM CycloneDX es exigido por la Orden Ejecutiva US 14028 para contratistas federales.
ISO + IEC · Internacional
ISO 27001
Catálogo de controles ISMS (93 controles del Anexo A). Frecuentemente exigido por contratos empresariales para la certificación.
OWASP Foundation · EE.UU.
OWASP ASVS
Lista de verificación de seguridad aplicativa (348 requisitos). Lo que los auditores ejecutan para verificar la seguridad.
NIST · EE.UU.
NIST CSF 2.0
Resultados de ciberseguridad en 6 funciones. Exigido a contratistas federales US, adoptado en finanzas y sanidad.
ISO/IEC 27001:2022 — Annex A
ISO + IEC · Internacional
ISO/IEC 27001:2022 — Annex A
Matriz de conformidad que mapea 157 reglas de detección a 93 controles del Anexo A.
La certificación ISO/IEC 27001 es un requisito contractual para muchos clientes empresariales y el estándar ISMS internacional de facto. El catálogo del Anexo A da a los auditores una lista de salvaguardias. SCA pre-rellena los controles tecnológicos (A.8) visibles en el código fuente — su auditor se concentra en los procesos, no en la revisión de código.
Las herramientas SAST cubren principalmente los controles tecnológicos (A.8). La matriz de conformidad indica qué controles son verificables por análisis estático, no una certificación de conformidad completa.
Los 93 controles — haga clic en un tema para desplegar
La cobertura por SAST es intrínsecamente parcial: los controles de seguridad física (A.7) y RR.HH. (A.6) requieren medidas organizativas fuera del alcance del análisis estático. SCA cubre lo que el código puede probar.
OWASP ASVS v5.0.0
OWASP Foundation · EE.UU.
OWASP ASVS v5.0.0
Matriz de conformidad que mapea 106 reglas de detección a 348 requisitos ASVS en 17 capítulos.
Donde el OWASP Top 10 enumera los riesgos más comunes, ASVS enumera las verificaciones que un auditor realiza en una aplicación. Estructurado por capítulo (V1 arquitectura, V3 sesiones, V6 criptografía…) y por nivel (1, 2, 3). SCA automatiza las verificaciones de nivel 1 sobre entradas/salidas, liberando a los verificadores para el modelado de amenazas y la revisión de diseño.
ASVS v5.0.0 define 348 requisitos en 17 capítulos. Las herramientas SAST pueden verificar ~24% de estos — los requisitos de runtime, infraestructura y procedimentales necesitan evaluación separada.
NIST CSF 2.0
NIST · EE.UU.
NIST CSF 2.0
NIST Cybersecurity Framework 2.0 — cobertura de las subcategorías detectables mediante análisis estático.
NIST CSF 2.0 es el marco de ciberseguridad de facto para contratistas federales US, cada vez más adoptado en finanzas y sanidad. A diferencia de ISO 27001 (que enumera controles), CSF enumera resultados — lo que su programa de seguridad debe lograr. SCA cubre las subcategorías técnicas bajo Protect, Detect e Identify; las funciones Govern, Respond y Recover son organizativas, fuera del alcance SAST.
La cobertura se centra en las subcategorías técnicas detectables por SAST. Las funciones Respond (RS) y Recover (RC) son organizativas, fuera del alcance del análisis estático.
Authoritative sources
Direct links to every standards body referenced on this page.