# STIG





## ¿Qué es STIG?

Las [Security Technical Implementation Guides (STIG)](https://public.cyber.mil/stigs/)
son estándares de configuración publicados por la U.S. Defense Information Systems
Agency (DISA). Definen los requisitos de seguridad para sistemas operativos, aplicaciones,
bases de datos y otras tecnologías utilizadas en los entornos del U.S. Department of
Defense (DoD).

Las STIG ayudan a garantizar que los sistemas estén configurados de manera segura y
consistente para reducir las vulnerabilidades. A menudo se basan en requisitos más
amplios, como la General Purpose Operating System Security Requirements Guide (GPOS SRG)
del DoD.

## Por qué es importante la guía STIG

Seguir la guía STIG es crítico para las organizaciones que trabajan con o dan soporte a los
sistemas del gobierno de los EE. UU. Demuestra la alineación con los estándares de
seguridad del DoD y ayuda a:

- Acelerar los procesos de Autorización para Operar (ATO) de los sistemas del DoD
- Reducir el riesgo de configuraciones incorrectas y debilidades explotables
- Facilitar las auditorías y los informes a través de líneas base estandarizadas

Incluso fuera de los entornos federales, las STIG son utilizadas por organizaciones
conscientes de la seguridad como un benchmark para configuraciones de sistemas endurecidos.

Las STIG se derivan de directrices más amplias del NIST, en particular de la [NIST Special
Publication 800-53](https://csrc.nist.gov/publications/sp800), que define un catálogo
de controles de seguridad y privacidad para sistemas federales. Las organizaciones que
buscan cumplir con la norma 800-53 o marcos relacionados (como FedRAMP) pueden utilizar las
STIG como guías de implementación que ayudan a cumplir con los requisitos de control aplicables.

## Cómo ayudan las Docker Hardened Images a aplicar la guía STIG

Las Docker Hardened Images (DHI) incluyen variantes STIG que se escanean contra perfiles
personalizados basados en STIG e incluyen atestaciones de escaneo STIG firmadas. Estas
atestaciones pueden respaldar auditorías e informes de cumplimiento.

Aunque las Docker Hardened Images están disponibles para todo el mundo, la variante STIG
requiere una suscripción de Docker.

Docker crea perfiles personalizados basados en STIG para imágenes a partir de la GPOS SRG y
la Guía del Proceso de Endurecimiento de Contenedores del DoD. Dado que la DISA no ha publicado
una STIG específica para contenedores, estos perfiles ayudan a aplicar directrices similares a
STIG en entornos de contenedores de manera consistente y revisable, y están diseñados para
reducir los falsos positivos comunes en las imágenes de contenedor.

## Identificar imágenes que incluyen resultados de escaneo STIG

Las Docker Hardened Images que incluyen resultados de escaneo STIG están etiquetadas como
**STIG** en el catálogo de Docker Hardened Images.

Para encontrar repositorios DHI con variantes de imagen STIG, [explora las
imágenes](/dhi/how-to/explore/#image-variants) y:

- Utiliza el filtro **STIG** en la página del catálogo
- Busca etiquetas **STIG** en los listados de imágenes individuales

Para encontrar una variante de imagen STIG dentro de un repositorio, ve a la pestaña **Tags**
del repositorio y busca imágenes etiquetadas con **STIG** en la columna **Compliance**.

## Utilizar una variante STIG

Para utilizar una variante STIG, debes [replicar (mirror)](/dhi/how-to/mirror/) el repositorio
y luego descargar la imagen STIG desde tu repositorio replicado.

## Visualizar y verificar los resultados de escaneo STIG

Docker proporciona una [atestación de escaneo STIG](/dhi/core-concepts/attestations/) firmada
para cada imagen lista para STIG. Estas atestaciones incluyen:

- Un resumen de los resultados del escaneo, que incluye el número de comprobaciones aprobadas,
  fallidas y no aplicables
- El nombre y la versión del perfil STIG utilizado
- Salida completa en formatos HTML y XCCDF (XML)

### Visualizar atestaciones de escaneo STIG

Puedes recuperar e inspeccionar una atestación de escaneo STIG utilizando la CLI de Docker Scout:

```console
$ docker scout attest get \
  --predicate-type https://docker.com/dhi/stig/v0.1 \
  --verify \
  --predicate \
  dhi.io/<image>:<tag>
```

### Extraer informe HTML

Para extraer y ver el informe HTML legible para humanos:

```console
$ docker scout attest get dhi.io/<image>:<tag> \
  --predicate-type https://docker.com/dhi/stig/v0.1 \
  --verify \
  --predicate \
  | jq -r '.[0].output[] | select(.format == "html").content | @base64d' > stig_report.html
```

### Extraer informe XCCDF

Para extraer el informe XML (XCCDF) para la integración con otras herramientas:

```console
$ docker scout attest get dhi.io/<image>:<tag> \
  --predicate-type https://docker.com/dhi/stig/v0.1 \
  --verify \
  --predicate \
  | jq -r '.[0].output[] | select(.format == "xccdf").content | @base64d' > stig_report.xml
```

### Visualizar resumen de escaneo STIG

Para ver únicamente el resumen del escaneo sin los informes completos:

```console
$ docker scout attest get dhi.io/<image>:<tag> \
  --predicate-type https://docker.com/dhi/stig/v0.1 \
  --verify \
  --predicate \
  | jq -r '.[0] | del(.output)'
```