Caso · DevSecOps a escala

DevSecOps en un estate de ~1.900 proyectos, sin frenar la ingeniería

De detección dispersa a seguridad continua — a escala y bajo compliance.

Un programa de fidelización de alcance nacional, con operación de pagos regulada por PCI DSS, necesitaba llevar la seguridad a un estate de aproximadamente 1.900 proyectos GitLab distribuidos en cerca de 100 subgrupos — con un equipo de seguridad reducido. En un DevSecOps Quickstart de 11 meses, Excelium instituyó detección continua en cinco categorías, una capacidad de remediación activa y la gobernanza que faltaba, sin interrumpir la entrega.

26,3 milVulnerabilidades detectadas2,4× el histórico · 5 categorías de scan
7.362Vulnerabilidades resueltas8,9× todo lo resuelto antes
R$ 1,78 miAhorro estimadocosto de severidad bloqueada en producción
100%Proyectos nuevos cubiertosscanners habilitados por defecto

El desafío

Detección dispersa y puntos ciegos

El SAST corría de forma parcial y Secret Detection, Container Scanning y DAST eran capacidades esencialmente inexistentes — las vulnerabilidades llegaban a producción sin barrera.

Escala sin gobernanza uniforme

Cerca de 1.900 proyectos en ~100 subgrupos, sin estándar de protección de rama, aprobación de merge request ni cobertura de scanners consistente entre equipos.

Compliance de pagos

Entorno sujeto a PCI DSS, ISO 27001, SOC 2 y NIST CSF — exigiendo evidencia auditable y políticas que bloqueen lo crítico, no solo reportes.

Equipo de seguridad reducido

Una operación pequeña para cientos de proyectos: cualquier solución tenía que ser automatizada e internalizable por la propia ingeniería, no dependiente de esfuerzo manual.

El enfoque

Scanners nativos de GitLab a escala

Habilitación de SAST, Dependency, Secret Detection, Container Scanning y DAST en el pipeline, con plantillas reutilizables para cubrir el estate sin configuración proyecto por proyecto.

Framework de compliance con política activa

Un framework de compliance a medida con scan diario y Scan Result Policy bloqueando severidades CRITICAL y HIGH — seguridad como gate, no como aviso.

Remediación asistida en olas

Dos grandes olas de limpieza junto al equipo, priorizando por severidad y criticidad de proyecto, con plan de cierre pre-entrega.

Gobernanza y shift-left

Protección de rama, reglas de aprobación de MR y CODEOWNERS institucionalizados, moviendo la detección a antes del merge — vulnerabilidad frenada antes de llegar a main.

Resultados

26.298Detectadas (únicas)

2,4× todo lo identificado en los meses anteriores, cubriendo SAST, dependencias, secretos, contenedores y DAST.

7.362Resueltas en el proyecto

8,9× el total de 827 resoluciones acumuladas en los 8 meses previos a la contratación — remediación activa, en dos olas.

+2.721%Secret Detection

De 196 a 5.530 detecciones — credenciales expuestas en código, antes prácticamente invisibles.

+6.720%Container Scanning

De 10 a 682 detecciones en imágenes, Dockerfiles y base layers — pilar nuevo en producción.

DASTHabilitado por 1ª vez

Análisis dinámico activado en el entorno por primera vez — hito de cierre del alcance.

953 / ~1.900Proyectos con scanners

Cobertura institucionalizada; 10 de 10 proyectos creados en los últimos 30 días ya entraron cubiertos.

970Branch protection

50,9% del estate con protección de rama institucionalizada, con reglas de aprobación y CODEOWNERS.

R$ 1,78 miAhorro estimado

Comparativa con × sin framework de compliance, por el costo de severidad bloqueada antes de producción.

Lo que quedó

Visibilidad

De detección dispersa a observabilidad activa: cinco categorías de scan cubriendo el estate, con 2,4× más vulnerabilidades únicas identificadas que todo el histórico anterior.

Remediación

Una capacidad de respuesta establecida — de 827 resoluciones históricas a 7.362 durante el proyecto, en dos olas de limpieza asistida.

Pilares nuevos en producción

Secret Detection, Container Scanning y DAST — inexistentes al inicio — operativos a escala al final del Quickstart.

Adopción por la ingeniería

100% de los proyectos nuevos entran con scanners por defecto: señal de que la baseline de seguridad se internalizó, no se impuso.

Base para la fase 2

Frentes de hardening ya mapeados — gobernanza de rama y reglas de aprobación en el resto del estate — con alcance y plantillas listos.

Identidad del cliente preservada por confidencialidad. Cifras auditadas a partir del informe de entrega del proyecto.

¿Quieres un resultado así en tu ingeniería?

Agenda un diagnóstico gratuito de 30 minutos: mapeamos dónde se traban la seguridad y la entrega — y por dónde empezar.