Said OULMAKHZOUNE Descripción general Los tags de container images son punteros mutables. A diferencia de un hash de commit de Git, el tag v1.0.0 no está vinculado criptográficamente a una imagen específica — es simplemente una etiqueta que un registry asocia a un digest de manifiesto. Cualquier persona con acceso de push a un repositorio puede sobrescribir … Leer más
Descripcion general Tekton es un potente framework de codigo abierto, nativo de Kubernetes, para crear sistemas de integracion continua y entrega continua (CI/CD). Se ejecuta como un conjunto de Custom Resource Definitions (CRDs) en cualquier cluster de Kubernetes, permitiendote definir pipelines como YAML declarativo que son portables entre entornos. Tekton Chains es un proyecto complementario … Leer más
Introducción: Por Qué los Motores de Políticas Son Importantes para CI/CD Los pipelines de CI/CD modernos se mueven rápido. Los equipos realizan decenas — a veces cientos — de despliegues por día, y cada uno de esos despliegues conlleva decisiones de configuración que afectan la seguridad, el cumplimiento normativo y la estabilidad operativa. Un solo … Leer más
Por qué importan los SBOMs: el imperativo regulatorio y de seguridad Un Software Bill of Materials (SBOM) es un inventario formal y legible por máquinas de cada componente, biblioteca y dependencia que compone un software. Piensa en ello como la etiqueta nutricional de tu aplicación — excepto que en lugar de calorías y sodio, estás … Leer más
Por Qué Importa la Firma de Imágenes Container Cada vez que descargas una imagen container y la despliegas en producción, estás depositando una confianza implícita en ese artefacto. Pero, ¿cómo verificas que la imagen no ha sido manipulada? ¿Cómo confirmas que fue realmente construida por tu pipeline CI/CD y no inyectada por un atacante que … Leer más
Introducción La firma de código ha sido durante mucho tiempo una piedra angular de la seguridad del software. Cuando verificas una firma, sabes quién firmó un artefacto. Pero saber quién firmó algo no te dice cómo fue construido, dónde fue construido ni qué código fuente se utilizó. Un mantenedor podría firmar un binario compilado en … Leer más
Descripción general Los manifiestos de Kubernetes mal configurados son una de las principales causas de incidentes de seguridad en producción. Un contenedor ejecutándose como root, una etiqueta de imagen sin fijar, un límite de recursos faltante o una red de host expuesta pueden abrir la puerta a la escalada de privilegios, el agotamiento de recursos … Leer más
Descripción General Las fugas de secretos en los pipelines CI/CD son la causa número uno de compromiso de pipelines. Las credenciales expuestas — claves API, contraseñas de bases de datos, tokens de acceso a la nube — proporcionan a los atacantes un camino directo hacia los sistemas de producción. Según el informe State of Secrets … Leer más
Descripción General GitHub Actions se ha convertido en la plataforma de CI/CD más ampliamente adoptada tanto para software de código abierto como comercial. Esa popularidad la convierte en la superficie de ataque número uno en el panorama CI/CD. Los workflows mal configurados filtran secretos de forma rutinaria, otorgan permisos excesivos e incorporan código de terceros … Leer más
Descripción General SLSA (Supply-chain Levels for Software Artifacts) provenance es un registro verificable que describe cómo se construyó un artefacto: el repositorio fuente, la plataforma de compilación, el punto de entrada y los materiales de entrada. Cuando se adjunta a una imagen de contenedor, el provenance permite a los consumidores responder una pregunta crítica antes … Leer más
