Fortress Offensive Security

AppSec en el ciclo de vida

Diseño y código seguros en el SDLC

Diseño, código e integración segura antes y durante el desarrollo — complementa el pentest manual.

AppSec en el ciclo de vida

Diseño, código e integración segura antes y durante el desarrollo — complementa el pentest manual.

Threat Modeling

Identificar amenazas y controles antes de construir o desplegar la superficie.

  • STRIDE / PASTA
  • Superficie de ataque
  • Controles existentes

Workshop + entregable priorizado

runbook · threat-modeling

fortress@engagement:~$ stride_workshop --scope checkout_flow
threats_identified: 14 · controls_mapped: 9
deliverable: prioritized_threat_backlog.md
next: design review on HIGH items

Secuencia ilustrativa bajo alcance acordado

Qué cubre
Flujos críticos, activos, trust boundaries y supuestos de diseño acordados con producto e ingeniería.
Entregables típicos
Mapa de amenazas priorizado, gaps de control y recomendaciones accionables para backlog.
Supuestos / modalidad
Sesiones facilitadas sobre diagramas o documentación existente; sin pruebas invasivas.

Revisión de diseño seguro

Validar arquitectura y decisiones de diseño antes de comprometer implementación.

  • Arquitectura
  • Autenticación
  • Segregación de datos

Revisión sobre artefactos de diseño

runbook · secure-design-review

fortress@engagement:~$ design_review --artifacts adr,diagrams
findings: 6 · severity HIGH: 2
report: design_gaps_with_remediation
no invasive testing in this phase

Secuencia ilustrativa bajo alcance acordado

Qué cubre
Diagramas, ADRs, modelos de datos y flujos de identidad en alcance acordado.
Entregables típicos
Informe de hallazgos de diseño con severidad, impacto y guía de remediación.
Supuestos / modalidad
Revisión estática; puede complementarse con pentest posterior.

Revisión de código

Análisis manual de código en rutas críticas: auth, autorización y lógica sensible.

  • Auth / authz
  • Inyección
  • Secretos
  • Lógica de negocio

Repositorios acotados + rutas críticas

runbook · code-review

fortress@engagement:~$ codereview --paths auth/,payments/
issues: 11 · secrets_leak: 0 · authz_gap: 2
findings linked to commit refs
read-only repo access

Secuencia ilustrativa bajo alcance acordado

Qué cubre
Repositorios y módulos acordados; foco en rutas de alto riesgo y superficies expuestas.
Entregables típicos
Hallazgos con referencia a línea/archivo, reproducción cuando aplique y recomendaciones concretas.
Supuestos / modalidad
Acceso read-only a repos; sin despliegue ni pruebas activas salvo acuerdo explícito.

Revisión IaC & Pipelines

Endurecimiento de infraestructura como código y cadena CI/CD antes del despliegue.

  • Terraform / K8s
  • Secrets en CI
  • Permisos de pipeline

Terraform, K8s, pipelines CI/CD

runbook · iac-pipelines-review

fortress@engagement:~$ iac_audit --terraform modules/network
misconfigs: 8 · public_exposure: 1
quick_wins: 3 (pipeline secrets rotation)
artifact review only

Secuencia ilustrativa bajo alcance acordado

Qué cubre
Plantillas IaC, manifiestos, workflows de CI/CD y políticas de despliegue en alcance.
Entregables típicos
Lista priorizada de misconfiguraciones, riesgos de supply chain y quick wins.
Supuestos / modalidad
Revisión de artefactos; sin cambios en producción.

SAST, DAST, SCA

Selección, calibración y triage de herramientas automatizadas con criterio manual.

  • False positives
  • Políticas de umbral
  • Integración CI

Calibración + triage de hallazgos

runbook · sast-dast-sca

fortress@engagement:~$ tool_tune --sast ruleset=custom_v1
noise_ratio: 0.41 → 0.12 after triage
baseline: triage_playbook attached
complements manual pentest

Secuencia ilustrativa bajo alcance acordado

Qué cubre
Stack acordado, pipelines existentes y herramientas candidatas o ya desplegadas.
Entregables típicos
Recomendación de tooling, reglas calibradas, baseline de triage y playbook de operación.
Supuestos / modalidad
No sustituye pentest manual; reduce ruido y acelera detección temprana.

Gap Assessment DevSecOps

Diagnóstico de madurez: procesos, herramientas y ownership entre desarrollo y seguridad.

  • Madurez SDLC
  • Ownership
  • Métricas

Assessment + roadmap

runbook · devsecops-gap

fortress@engagement:~$ maturity_scan --sdlc all_phases
gaps: 9 · quick_wins_30d: 4
roadmap: prioritized_by_impact
workshop + stakeholder interviews

Secuencia ilustrativa bajo alcance acordado

Qué cubre
Prácticas actuales de diseño, build, deploy y respuesta; entrevistas con stakeholders clave.
Entregables típicos
Matriz de gaps, roadmap priorizado por impacto y esfuerzo, quick wins en 30–90 días.
Supuestos / modalidad
Workshops + revisión documental; sin acceso invasivo.
Solicitar briefing

¿Busca pentest manual sobre aplicaciones, APIs o móvil? Ver pentest AppSec