Said OULMAKHZOUNE «Shift left» se ha convertido en uno de los principios más ampliamente adoptados en DevSecOps. La idea es simple y atractiva: trasladar la seguridad a las fases más tempranas del ciclo de vida del desarrollo de software para detectar problemas antes, reducir costes y mejorar los resultados generales de seguridad. Con el tiempo, «shift left» … Leer más
Qué cambiar concretamente en entornos reales de CI/CD 🔐 Fortalecimiento de Acceso e Identidad Si los controles de SSO/MFA fallan: Imponer SAML SSO para la organización de GitHub/GitLab. Deshabilitar el inicio de sesión basado en contraseña para administradores. Imponer MFA basado en hardware para roles privilegiados. Eliminar personal access tokens sin expiración. Configurar la rotación … Leer más
1. Permisos — Principio de Mínimo Privilegio El cambio de mayor impacto que puedes hacer en cualquier workflow de GitHub Actions es restringir los permisos. Por defecto, GITHUB_TOKEN tiene acceso de lectura y escritura a la mayoría de los scopes. Anula eso inmediatamente. Permisos de Solo Lectura por Defecto (Nivel Superior) Coloca esto en la … Leer más
Modern software delivery relies on Continuous Integration and Continuous Delivery (CI/CD) pipelines to build, test, and deploy code at scale. These pipelines have become the backbone of DevOps, enabling organizations to ship features faster and more reliably than ever before. But this power comes with a critical trade-off: CI/CD systems have become one of the … Leer más
GitHub Actions has become the most widely adopted CI/CD platform in the world. With over 90% of GitHub repositories capable of using it natively, it powers everything from simple linting checks to complex multi-cloud deployments. But that ubiquity makes it the single most targeted CI/CD attack surface in modern software development. In 2024 and 2025, … Leer más
Introducción: Por Qué Importa la Seguridad de la Supply Chain de Software En diciembre de 2020, el mundo descubrió que SolarWinds — una plataforma de gestión de TI ampliamente confiable — había sido comprometida. Los atacantes inyectaron código malicioso en el proceso de build del software Orion, distribuyendo una actualización contaminada a aproximadamente 18.000 organizaciones, … Leer más
GitLab CI/CD se ha convertido en la columna vertebral del DevSecOps moderno, ofreciendo una plataforma integrada donde el código, los pipelines, el escaneo de seguridad y los despliegues convergen en una única interfaz. Pero esa profunda integración es un arma de doble filo: un pipeline mal configurado puede exponer secretos, permitir despliegues no autorizados o … Leer más
Introducción Los pipelines CI/CD son la columna vertebral de la entrega de software moderna. Automatizan el recorrido desde el commit de código hasta el despliegue en producción, permitiendo a los equipos entregar más rápido, de manera más confiable y con mayor confianza. Pero este poder conlleva una contrapartida crítica: los pipelines son cada vez más … Leer más
CI/CD pipelines have become the backbone of modern software delivery. They compile code, run tests, manage secrets, provision infrastructure, and deploy applications to production. Yet this central role makes them one of the most privileged — and most targeted — components in your entire technology stack. A compromised pipeline doesn’t just affect one system; it … Leer más
Descripción general Si construyes el mismo Dockerfile dos veces y obtienes imágenes diferentes, no puedes verificar la integridad del build. Un build no reproducible significa que no tienes forma de confirmar que el artefacto que se ejecuta en producción fue realmente producido a partir del código fuente que auditaste. Los atacantes pueden explotar esta ambigüedad … Leer más
