Las guías en Secure Pipelines son recursos estructurados y detallados diseñados para explicar cómo diseñar, proteger y operar pipelines de CI/CD y entrega de software.
A diferencia de los artículos individuales, las guías se centran en conceptos fundamentales, arquitecturas y prácticas a largo plazo que siguen siendo relevantes independientemente de las herramientas y plataformas.
Arquitectura segura de CI/CD
Estas guías exploran cómo se diseñan los pipelines de CI/CD, dónde existen los límites de confianza y cómo se pueden integrar controles de seguridad sin interrumpir los flujos de trabajo de entrega.
- Modelos de ejecución de CI/CD y supuestos de confianza
- Etapas del pipeline y responsabilidades de seguridad
- Arquitecturas seguras de runners y estrategias de aislamiento
- Separación de funciones y privilegio mínimo en pipelines
Seguridad de la cadena de suministro de software
La seguridad de la cadena de suministro de software se centra en proteger la integridad de lo que se construye, cómo se construye y cómo se entrega.
- Riesgos de dependencias y confianza transitiva
- Integridad del build y builds reproducibles
- Procedencia de artefactos y attestations
- Niveles SLSA e implementación práctica
Integridad del build y confianza en artefactos
Estas guías cubren técnicas y patrones para garantizar que los resultados del build sean auténticos, rastreables y estén protegidos contra manipulaciones.
- Firma y verificación de artefactos
- Uso de Sigstore y Cosign
- Formatos de attestation y metadatos
- Verificación de artefactos en tiempo de despliegue
Gestión de secrets en pipelines
Los secrets son una de las fuentes más comunes de compromiso en CI/CD.
Estas guías se centran en gestionar secrets de forma segura a lo largo de las etapas y entornos del pipeline.
- Riesgos de exposición de secrets en CI/CD
- Patrones de inyección de secrets
- Credenciales de corta duración y acceso basado en identidad
- Integración de gestores de secrets externos
Aplicación de políticas y controles
Los controles de seguridad en pipelines deben ser aplicables, auditables y predecibles.
- Conceptos de Policy as Code
- Uso de OPA para controles de pipeline
- Validación de configuraciones y flujos de trabajo
- Fallo seguro y explícito de pipelines
Amenazas, ataques y defensas
Comprender cómo se atacan los pipelines de CI/CD es esencial para protegerlos.
- Rutas de ataque comunes en CI/CD
- Runners comprometidos y build agents
- Dependency confusion y envenenamiento de artefactos
- Patrones defensivos y mitigaciones
Cómo usar las guías
Las guías están diseñadas para leerse de forma secuencial o utilizarse como material de referencia.
Cada guía:
- Explica los conceptos subyacentes
- Muestra opciones prácticas de diseño e implementación
- Discute compromisos y limitaciones
- Enlaza a labs y artículos relevantes
A medida que surgen nuevas amenazas, herramientas y prácticas, las guías se actualizan para seguir siendo precisas y útiles con el tiempo.
Ecosistema relacionado
Para orientación sobre cumplimiento normativo, gobernanza y regulación relacionada con CI/CD y DevSecOps, consulte regulated-devsecops.com.
Juntos, ambos sitios proporcionan tanto la perspectiva de ingeniería como la de gobernanza necesarias para proteger los pipelines modernos de entrega de software.
