Seguridad para CI/CD y cadenas de suministro de software
Secure Pipelines es un centro de conocimiento técnico dedicado a la seguridad de CI/CD, GitOps y pipelines de entrega de software. Ingeniería de seguridad práctica, implementaciones reales y laboratorios prácticos — del código a producción.
Creado por profesionales, para profesionales.
Empieza aquí
¿Nuevo en seguridad CI/CD? Comienza con estas guías completas:
- La guía completa de seguridad de pipelines CI/CD — Todo lo que necesitas saber sobre la seguridad de pipelines, desde límites de confianza hasta controles de despliegue.
- Seguridad de la cadena de suministro de software: guía completa — Dependencias, integridad de builds, firma de artefactos, provenance y SBOMs.
- Amenazas y ataques CI/CD: lo que atacan los adversarios — Técnicas de ataque reales y cómo defenderse de ellas.
Guías por plataforma
| Plataforma | Guía definitiva | Cheat Sheet | Laboratorio práctico |
|---|---|---|---|
| GitHub Actions | Guía de seguridad | Cheat Sheet | Laboratorio de hardening |
| GitLab CI | Guía de seguridad | Cheat Sheet | Laboratorio de securización |
| Tekton | — | Laboratorio Tekton Chains | |
Guías destacadas
- Firma y verificación de imágenes de contenedores con Sigstore y Cosign
- Gestión de secretos en pipelines CI/CD: patrones, anti-patrones e integración con Vault
- Provenance y attestations de artefactos: de SLSA a in-toto
- Credenciales de corta duración y Workload Identity Federation
- Policy as Code para CI/CD: controles de seguridad con OPA y Rego
- Dependency Confusion y Artifact Poisoning: técnicas de ataque y defensas
- Patrones defensivos y mitigaciones para ataques a pipelines CI/CD
- Modelos de ejecución CI/CD y supuestos de confianza
- Separación de funciones y privilegio mínimo en pipelines CI/CD
- Integridad de builds y builds reproducibles
Laboratorios prácticos
Ejercicios paso a paso con configuraciones CI/CD reales, ejemplos YAML y escenarios de fallo.
Ataque y defensa
- Poisoned Pipeline Execution (PPE) — Explotar y defender
- Simulación de ataque Dependency Confusion
- Detección de GitHub Actions maliciosas
- Manipulación y detección de artefactos
- Detección y prevención de fugas de secretos
Cadena de suministro y firma
- Firma de imágenes de contenedores con Cosign en GitHub Actions
- Generación y verificación de SLSA Provenance
- Pipeline SBOM con Syft y Cosign
- Builds de contenedores reproducibles
Hardening de plataformas
- Hardening de workflows de GitHub Actions
- Securización de pipelines GitLab CI
- OIDC Workload Identity para GitHub Actions con AWS
- Runners efímeros con Actions Runner Controller
- Políticas de Kubernetes con OPA Conftest
- Pipeline de build seguro con Tekton Chains
Comparativas de herramientas
¿Eligiendo las herramientas adecuadas? Estas comparativas detalladas te ayudan a decidir.
- Escáneres de seguridad: Trivy vs Grype vs Snyk vs Checkov
- Herramientas de firma: Cosign vs Notation vs GPG
- Herramientas SBOM: Syft vs Trivy vs CycloneDX CLI
- Motores de políticas: OPA vs Kyverno vs Sentinel vs Cedar
Referencias rápidas
- OWASP Top 10 riesgos CI/CD — Explicados con ejemplos reales
- Niveles SLSA — Lista de verificación práctica de cumplimiento
- GitHub Actions Security Cheat Sheet
- GitLab CI Security Cheat Sheet
→ Ver todos los recursos y herramientas
Explorar por tema
| Tema | Qué cubre | Empieza aquí |
|---|---|---|
| CI/CD Security | Límites de confianza, permisos, secretos, controles de despliegue | Guía completa |
| Supply Chain | Dependencias, builds, firma, provenance, SBOMs | Guía completa |
| GitHub Actions | Workflows, permisos, runners, OIDC, actions de terceros | Guía definitiva |
| GitLab CI | Variables, runners, environments, tokens, despliegues | Guía definitiva |
| Amenazas y ataques | PPE, dependency confusion, robo de credenciales, manipulación de artefactos | Guía de amenazas |
| Pipeline Hardening | Aislamiento de runners, restricciones de red, privilegio mínimo | Guía de hardening |
¿Para quién es este sitio?
Secure Pipelines está diseñado para equipos de ingeniería que operan pipelines en el mundo real:
- Ingenieros DevOps — hardening de los pipelines que construyes y mantienes
- Ingenieros de plataforma — diseño de infraestructura CI/CD segura a escala
- Ingenieros de seguridad — evaluación y mejora de la postura de seguridad de pipelines
- Profesionales DevSecOps — integración de seguridad en los flujos de entrega
- Arquitectos técnicos — diseño de modelos de confianza y arquitecturas de control
Sin marketing de vendedores. Sin checklists superficiales. Solo seguridad práctica, enfocada en la ingeniería.
El ecosistema
Secure Pipelines forma parte de un ecosistema de dos sitios:
- Secure Pipelines — Implementación técnica: cómo construir, endurecer y defender pipelines CI/CD.
- Regulated DevSecOps — Gobernanza y cumplimiento: cómo gobernar, auditar y certificar esos controles (ISO 27001, NIS2, SOC 2).
Juntos, proporcionan tanto la perspectiva de ingeniería como la de gobernanza necesarias para asegurar la entrega de software moderna.
La seguridad CI/CD debe ser diseñada, no añadida después.
