Said OULMAKHZOUNE Descripción General Cada imagen de contenedor que produce tu pipeline de CI/CD debe estar firmada criptográficamente antes de llegar a cualquier entorno. Las imágenes sin firmar son un punto ciego — no tienes prueba de que provengan de tu pipeline, no tienes garantía de que no hayan sido manipuladas en tránsito, y no tienes ningún … Leer más
Descripción General GitLab CI es la segunda plataforma de CI/CD más utilizada en la industria, impulsando millones de pipelines en organizaciones de todos los tamaños. Su estrecha integración con el control de código fuente la hace excepcionalmente conveniente — pero esa misma integración crea una amplia superficie de ataque si los pipelines no se endurecen … Leer más
Introducción La mayoría de los pipelines CI/CD comienzan con un objetivo simple: llevar el código desde la máquina de un desarrollador a producción lo más rápido posible. En el camino, alguien crea una cuenta de servicio, le otorga permisos amplios, almacena las credenciales como un secreto del pipeline y sigue adelante. Funciona. Los builds pasan, … Leer más
Los pipelines CI/CD se encuentran entre las cargas de trabajo más privilegiadas de cualquier organización. Extraen código fuente, descargan dependencias, acceden a secrets y envían artefactos a registries de producción. Sin embargo, en muchos entornos, los procesos de build detrás de estos pipelines se ejecutan con acceso de red sin restricciones y permisos completos sobre … Leer más
Descripción General La confusión de dependencias es un ataque a la cadena de suministro que explota la forma en que los gestores de paquetes resuelven los nombres de paquetes cuando se configuran tanto registros privados (internos) como públicos. Cuando un atacante publica un paquete malicioso en un registro público usando el mismo nombre que un … Leer más
Introducción: ¿Qué es SLSA y por qué debería importarte? Supply-chain Levels for Software Artifacts — SLSA (pronunciado «salsa») — es un framework de seguridad creado por Google y actualmente mantenido por la Open Source Security Foundation (OpenSSF). Su objetivo es engañosamente simple: dificultar que los atacantes manipulen el software que construyes y distribuyes. Si has … Leer más
Los pipelines CI/CD se han convertido en la columna vertebral de la entrega moderna de software. Pero con ese poder viene un riesgo significativo. El proyecto OWASP Top 10 de Riesgos de Seguridad CI/CD cataloga los vectores de ataque más críticos que afectan a los sistemas de integración y entrega continua. En esta guía, desglosamos … Leer más
Introducción Si audita los almacenes de secretos de la mayoría de las plataformas CI/CD hoy en día, encontrará un cementerio de credenciales de larga duración: claves de acceso de AWS creadas hace años, claves JSON de cuentas de servicio de GCP compartidas entre docenas de pipelines, Personal Access Tokens de GitHub con alcances amplios y … Leer más
Descripción general Si sus flujos de trabajo de GitHub Actions se autentican en AWS utilizando AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY almacenados como secretos del repositorio, tiene un problema de seguridad grave. Esas credenciales de larga duración nunca expiran por sí solas, pueden ser exfiltradas por cualquier paso del flujo de trabajo (incluidas las acciones de terceros) y … Leer más
Introducción Asegurar tu pipeline CI/CD ya no es opcional — es un requisito fundamental para cualquier organización de software moderna. A medida que los ataques a la cadena de suministro crecen en frecuencia y sofisticación, las herramientas que integras en tus pipelines de compilación y despliegue determinan directamente tu postura de seguridad. Pero con un … Leer más
