Diseño de un Marco de trabajo para la Gestión de Prácticas de Seguridad en Entornos de Desarrollo Ágil de Software

Estado: 
Número de proyecto: 
834-C4-157
Vigencia:
De 01/Mar/2026 hasta 28/Feb/2027

Descripción:

El desarrollo de software requiere atender las necesidades cambiantes de los negocios, para lo cual se ha optado por utilizar metodologías de desarrollo ágil de software, enfocándose en satisfacer los requerimientos funcionales del software desde la perspectiva del negocio. La seguridad de la información constituye un requerimiento no funcional del cual las investigaciones han reportado que se ha visto relegado en función de la agilidad, dando como resultado un alto impacto organizacional al incrementar las vulnerabilidades y disminuir la confiabilidad en el software desarrollado.

La integración de prácticas de seguridad dentro del desarrollo ágil de software representa un desafío empresarial complejo, ya que su incorporación no siempre se alinea fácilmente con la agilidad. De ahí la importancia de lograr determinar qué prácticas de seguridad pueden ser adecuadas para entornos ágiles de desarrollo de software, así como identificar cómo utilizarlas en estos ambientes para cumplir los requerimientos de seguridad desde una perspectiva técnica y de negocio.

BizDevOps es una práctica que combina aspectos de tres áreas clave en una organización: Negocios (Business – Biz), Desarrollo (Development – Dev) y Operaciones (Operations – Ops). Su objetivo principal es fomentar la colaboración y la integración entre estas tres áreas para acelerar el desarrollo de software, mejorar la calidad y la confiabilidad de los productos y servicios, y alinear eficazmente la tecnología con los objetivos estratégicos organizacionales. Sus principios se logran a través de la automatización, la implementación continua, la integración de herramientas y la adopción de prácticas ágiles. DevSecOps es un enfoque que combina el desarrollo (Dev) y las operaciones (Ops), incorporando seguridad (Sec) en todas las etapas del ciclo de vida de las aplicaciones. Sin embargo, la incorporación y gestión de prácticas de seguridad desde las etapas de conceptualización requiere de un gran esfuerzo organizacional, por lo que debe ser dirigido e impulsado desde niveles estratégicos para obtener beneficios claros y cuantificables.

Investigador principal
Mag. Alejandra Selva Mora

Colaboradores
Dr. Adrian Lara Petitdemange
Dr. Christian Quesada-López
Dr. Marcelo Jenkins Coronas

Unidad académica base
Centro de Investigaciones en Tecnologías de la Información y Comunicación (CITIC)

Unidades académicas colaboradoras
Escuela de Ciencias de la Computación e Informática (ECCI)

Publicaciones asociadas

A BizDevOps-Aligned Framework for Integrating Security Practices in Agile Software Development

Descripción:

Agile software development methodologies are well suited to address business needs and be adaptable. However, security considerations are also essential, creating a need to integrate security practices to address critical risks and vulnerabilities. This research proposes a systematic approach to integrate security practices within agile software development environments, ensuring security requirements align with business needs. The study will develop a BizDevOps-aligned framework for integrating security practices in agile environments, including metrics to assess the effectiveness of these practices. A management model will also be created to manage the security practices and support continuous improvement based on observed outcomes.

Tipo de publicación: Conference Paper

Publicado en: 2025 IEEE/ACM 47th International Conference on Software Engineering: Companion Proceedings (ICSE-Companion)

Desarrollo Seguro de Software en BizDevOps: Incorporación Temprana de Metas y Controles

Descripción:

La adopción de enfoques de desarrollo de software en entornos BizDevOps pretende alinear el desarrollo de software con los objetivos empresariales, mejorando la velocidad de entrega. Sin embargo, este alineamiento plantea desafíos en ciberseguridad, puesto que no siempre se asegura la incorporación temprana de estrategias de seguridad. Este artículo propone, a partir de un análisis sistemático del estado del arte y del estado de la práctica en marcos de seguridad y BizDevOps, la incorporación de una nueva fase en el ciclo de negocio (Biz) de BizDevOps, enfocada en definir y asegurar el software desde las primeras etapas de desarrollo. El proceso planteado busca considerar sistemáticamente los objetivos de seguridad empresarial, identificando la deuda de seguridad acumulada para poder pagarla en forma oportuna. Este trabajo forma parte de una investigación en progreso que explorará actividades adicionales para fortalecer el diseño seguro de software

Tipo de publicación: Conference Paper

Publicado en: XIX Reunión Española sobre Criptología y Seguridad de la Información (RECSI 2026)

Security Practices in Agile Development: An Industry Survey on Adoption, Perceived Impact, and Measurement in DevOps

Descripción:

This paper presents an empirical survey study (N=24) examining the integration of security practices into agile and continuous development processes. The findings reveal that while the most adopted practices include Standards and Requirements (71%), Code Review (67%), and Compliance and Policy (63%), their implementation remains predominantly non-systematic. Despite moderate to high perceived impact, significant gaps exist between recognition and effective adoption, compounded by low security expert participation (37%) and a notable scarcity of metrics. The findings provide exploratory evidence on the current state of practice and key priorities for organizations looking to strengthen security integration while maintaining agility in their development processes.

Tipo de publicación: Conference Paper

Publicado en: Anais do XXIX Congresso Ibero-Americano em Engenharia de Software (CIbSE 2026)

An Empirical Study of LLM-Based Source Code Quality Assessment under ISO/IEC 5055:2021

Descripción:

Nowadays, many software companies are required to meet high quality standards in the development of their applications. Rather than replacing traditional SAST tools based on fixed rules, approaches such as GemCA leverage a Large Language Model (LLM) to perform semantic reasoning over code in relation to the ISO/IEC 5055:2021 standard, providing a complementary decision-support mechanism for early-stage quality assessment. This paper presents GemCA and reports an empirical analysis evaluating its accuracy on a dataset of known code weaknesses. The goal is to examine the framework’s ability to apply the criteria defined by the ISO/IEC 5055:2021 standard. Results show that GemCA achieves an average accuracy of 81% across 15 repetitions, with significantly higher performance in C# than PHP. However, accuracy varies substantially across weakness categories (p = 0.0000), indicating sensitivity to CWE type and programming language. These findings highlight both the potential and the current limitations of LLM-based analysis for ISO/IEC 5055:2021 compliance.

Tipo de publicación: Conference Paper

Publicado en: Anais do XXIX Congresso Ibero-Americano em Engenharia de Software (CIbSE 2026)