C02 - Gestión de vulnerabilidades en código, dependencias y módulos Decidim

[paarals]

Plan de tratamiento

C02 — Gestión de vulnerabilidades en código, dependencias y módulos Decidim

Riesgos ALTO cubiertos

• Fila 75 — Plataforma Decidim — Vulnerabilidad en dependencia o módulo

Objetivo

Reducir el riesgo de introducir o mantener vulnerabilidades en el código, dependencias, módulos propios o módulos de terceros utilizados en las plataformas Decidim gestionadas por Pokecode.

Acciones

• Mantener un inventario simple de versión Decidim, módulos propios, módulos de terceros y dependencias relevantes.
• Revisar alertas de seguridad disponibles en repositorios, dependencias o avisos relevantes de Decidim, Ruby on Rails y módulos utilizados.
• Registrar vulnerabilidades críticas o altas aplicables como issues.
• Priorizar la corrección de vulnerabilidades críticas o altas según impacto y exposición real.
• Revisar técnicamente nuevos módulos o dependencias antes de incorporarlos.
• Documentar decisiones de aceptación temporal del riesgo cuando una vulnerabilidad no se corrija de forma inmediata.

Evidencias

• Inventario de módulos y dependencias: https://docs.google.com/spreadsheets/d/1QTJEKDuT5Yz2q4EqYm7Ww_LfeXiPYCLqCksYNDjMGFY/edit?gid=0#gid=0
• Issues de vulnerabilidades detectadas:
• PRs o commits de actualización:
• Registro de revisión técnica:
• Registro de aceptación temporal del riesgo, si aplica: