A lo largo del último año, desde la Oficina de Calidad hemos estado trabajando en la evolución de la herramienta Sonarqube a la versión 9.9 LTS como parte de nuestro compromiso de mejora continua.
La actualización de esta herramienta de análisis de código estático, junto con la nueva actualización normativa asociada (publicada como "PRE-RELEASE" desde julio y comunicada a través del blog de notificaciones del espacio Confluence), introduce mejoras significativas en la plataforma para la evaluación y mejora de la calidad del código. El objetivo es establecer una base sólida para la verificación de la calidad del código fuente, reforzando tanto la seguridad como la eficiencia del desarrollo del software. Las herramientas actualizadas y las nuevas métricas aseguran que los desarrolladores cuenten con los recursos necesarios para mantener altos estándares de calidad en sus proyectos.
Nuevas características y mejoras que se incluyen:

• Nueva Métrica "Security Hotspots Reviewed",  que permite identificar y gestionar áreas del código que pueden ser vulnerables a problemas de seguridad.

• Actualización de Umbrales de Calidad

• Los umbrales de calidad se revisan y actualizan en normativa para incorporar las capacidades avanzadas de Sonarqube 9.9 LTS, garantizando una evaluación más precisa y rigurosa de la calidad del código.

• Los umbrales ahora incluyen la nueva métrica "Security Hotspots Reviewed" para una mejor gestión de la seguridad del código.

• Tabla de Plugins Instalados

• Se actualiza la lista de plugins instalados en Sonarqube para reflejar las versiones más recientes y compatibles con Sonarqube 9.9 LTS mejorando la capacidad de análisis y detección de problemas.

• Inclusión de SonarLint, herramienta de análisis estático que se integra con entornos de desarrollo integrados (IDE) como Eclipse, IntelliJ IDEA y Visual Studio.

• SonarLint permite a los desarrolladores identificar y corregir problemas de calidad y seguridad en tiempo real, durante el proceso de desarrollo, asegurando que el código cumpla con los estándares establecidos desde las primeras fases del desarrollo.

Parada programada:
Con el objetivo de implementar esta actualización, hemos planificado una parada de las herramientas que dan servicio al proceso de integración continua el miércoles 27 de noviembre de 15:00 a 19:00, en horario de bajo impacto. En principio, estimamos que los cambios de la plataforma y actualización de la herramienta no tendrán impacto en los proyectos.

Recomendaciones:

• Revisar la documentación: Se recomienda a todos los equipos de desarrollo revisar la documentación proporcionada en Confluence para familiarizarse con los nuevos requisitos y mejoras introducidas.
• Adoptar la nueva actualización normativa: Es importante integrar los cambios y recomendaciones de la nueva versión en los ciclos de desarrollo actuales para asegurar la calidad del código fuente.

• Retroalimentación: Cualquier duda o sugerencia sobre la nueva normativa puede ser comunicada al equipo de la Oficina de Calidad para su evaluación y posible incorporación.

Verificación entregas:

• Durante los dos meses siguientes a la puesta en producción de la actualización de SonarQube, se informará sobre el resultado de los análisis realizados. No obstante, la resolución del Servicio de Verificación de Entregas (SVE) no será resuelto como desfavorable por incumplimientos generados como consecuencia de esta actualización, brindando así el tiempo necesario para que los proyectos adopten las modificaciones requeridas.   

Se ha publicado una importante actualización sobre los métodos y criterios a seguir en la Evaluación de Seguridad dentro del ámbito de la Oficina de Calidad de la STIC. Pretende servir de guía para la realización de pruebas de seguridad de las aplicaciones y servicios web cuyo objetivo es reforzar la protección de la aplicación ante posibles amenazas. Esta normativa, que ya está disponible en su portal oficial, introduce una serie de directrices clave para garantizar una mayor protección de los sistemas y servicios frente a las amenazas cibernéticas y otros riesgos asociados a la seguridad de la información.

¿Por qué es importante?

En un mundo cada vez más digitalizado, la seguridad de los datos y sistemas administrativos es esencial para proteger tanto a los usuarios como a las instituciones. La nueva normativa establece un marco más robusto y detallado para evaluar los riesgos de seguridad, identificando no solo las amenazas potenciales, sino también los controles necesarios para mitigarlas.

A través de la implementación de un enfoque sistemático y actualizado, se busca:

• Fortalecer la protección de la información sensible que maneja la administración.
• Asegurar la continuidad de los servicios públicos, minimizando los riesgos derivados de incidentes de seguridad.
• Garantizar el cumplimiento de las normativas y regulaciones europeas y nacionales en materia de protección de datos y ciberseguridad.

¿Qué incluye?

Los puntos clave de la publicación incluyen:

1. Métodos para la evaluación de riesgos: Se detalla cómo se deben llevar a cabo las evaluaciones de seguridad, proporcionando una metodología clara y efectiva para la identificación, análisis y gestión de riesgos asociados a la tecnología y los sistemas utilizados en los desarrollos software.

2. Criterios para la implementación de medidas de seguridad: Además de los métodos de evaluación, también se especifican los criterios para la adopción de medidas correctivas y preventivas, lo que facilita hacer frente a cualquier amenaza que pueda surgir.

3. Monitoreo y mejora continua: Un aspecto fundamental contemplado es la obligación de llevar a cabo un proceso de seguimiento continuo, con el objetivo de adaptar las estrategias de seguridad a las nuevas amenazas y avances tecnológicos. La mejora constante es clave para mantener la protección a largo plazo.

¿A quién afecta?

La publicación está dirigida principalmente a todas las áreas de la STIC, entidades y organismos que forman parte de la DGSIC , incluyendo servicios, departamentos y dependencias que manejan información sensible y sistemas críticos. Todos estos actores deberán ajustar sus procedimientos y prácticas de seguridad a los criterios establecidos, asegurando que las evaluaciones de seguridad sean rigurosas y efectivas.

¿Cómo acceder?

La normativa está disponible en el portal público Gobernanza y Calidad de la Subdirección de las Tecnologías de la Información y Comunicaciones (STIC), a través de este enlace directo, donde los interesados pueden consultar todos los detalles sobre el método y los criterios para la evaluación de la seguridad.

Un paso hacia una administración más segura

Este avance refuerza el compromiso con la seguridad cibernética y la protección de datos personales, y es un paso fundamental hacia la consolidación de una administración pública más transparente, moderna y segura. Sin duda, ésta normativa contribuirá a mejorar la confianza de los ciudadanos en los servicios digitales, al mismo tiempo que fortalece las capacidades de los organismos públicos para afrontar los desafíos de la seguridad informática.

¡ La seguridad es tarea de todos !