Detección dispersa y puntos ciegos
El SAST corría de forma parcial y Secret Detection, Container Scanning y DAST eran capacidades esencialmente inexistentes — las vulnerabilidades llegaban a producción sin barrera.
Caso · DevSecOps a escala
De detección dispersa a seguridad continua — a escala y bajo compliance.
Un programa de fidelización de alcance nacional, con operación de pagos regulada por PCI DSS, necesitaba llevar la seguridad a un estate de aproximadamente 1.900 proyectos GitLab distribuidos en cerca de 100 subgrupos — con un equipo de seguridad reducido. En un DevSecOps Quickstart de 11 meses, Excelium instituyó detección continua en cinco categorías, una capacidad de remediación activa y la gobernanza que faltaba, sin interrumpir la entrega.
El SAST corría de forma parcial y Secret Detection, Container Scanning y DAST eran capacidades esencialmente inexistentes — las vulnerabilidades llegaban a producción sin barrera.
Cerca de 1.900 proyectos en ~100 subgrupos, sin estándar de protección de rama, aprobación de merge request ni cobertura de scanners consistente entre equipos.
Entorno sujeto a PCI DSS, ISO 27001, SOC 2 y NIST CSF — exigiendo evidencia auditable y políticas que bloqueen lo crítico, no solo reportes.
Una operación pequeña para cientos de proyectos: cualquier solución tenía que ser automatizada e internalizable por la propia ingeniería, no dependiente de esfuerzo manual.
Habilitación de SAST, Dependency, Secret Detection, Container Scanning y DAST en el pipeline, con plantillas reutilizables para cubrir el estate sin configuración proyecto por proyecto.
Un framework de compliance a medida con scan diario y Scan Result Policy bloqueando severidades CRITICAL y HIGH — seguridad como gate, no como aviso.
Dos grandes olas de limpieza junto al equipo, priorizando por severidad y criticidad de proyecto, con plan de cierre pre-entrega.
Protección de rama, reglas de aprobación de MR y CODEOWNERS institucionalizados, moviendo la detección a antes del merge — vulnerabilidad frenada antes de llegar a main.
2,4× todo lo identificado en los meses anteriores, cubriendo SAST, dependencias, secretos, contenedores y DAST.
8,9× el total de 827 resoluciones acumuladas en los 8 meses previos a la contratación — remediación activa, en dos olas.
De 196 a 5.530 detecciones — credenciales expuestas en código, antes prácticamente invisibles.
De 10 a 682 detecciones en imágenes, Dockerfiles y base layers — pilar nuevo en producción.
Análisis dinámico activado en el entorno por primera vez — hito de cierre del alcance.
Cobertura institucionalizada; 10 de 10 proyectos creados en los últimos 30 días ya entraron cubiertos.
50,9% del estate con protección de rama institucionalizada, con reglas de aprobación y CODEOWNERS.
Comparativa con × sin framework de compliance, por el costo de severidad bloqueada antes de producción.
De detección dispersa a observabilidad activa: cinco categorías de scan cubriendo el estate, con 2,4× más vulnerabilidades únicas identificadas que todo el histórico anterior.
Una capacidad de respuesta establecida — de 827 resoluciones históricas a 7.362 durante el proyecto, en dos olas de limpieza asistida.
Secret Detection, Container Scanning y DAST — inexistentes al inicio — operativos a escala al final del Quickstart.
100% de los proyectos nuevos entran con scanners por defecto: señal de que la baseline de seguridad se internalizó, no se impuso.
Frentes de hardening ya mapeados — gobernanza de rama y reglas de aprobación en el resto del estate — con alcance y plantillas listos.
Identidad del cliente preservada por confidencialidad. Cifras auditadas a partir del informe de entrega del proyecto.
Agenda un diagnóstico gratuito de 30 minutos: mapeamos dónde se traban la seguridad y la entrega — y por dónde empezar.