Cheat Sheet de Seguridad de GitHub Actions: Permisos, Pinning, Secretos y OIDC

Cheat Sheet de Seguridad de GitHub Actions: Permisos, Pinning, Secretos y OIDC

1. Permisos — Principio de Mínimo Privilegio El cambio de mayor impacto que puedes hacer en cualquier workflow de GitHub Actions es restringir los permisos. Por defecto, GITHUB_TOKEN tiene acceso de lectura y escritura a la mayoría de los scopes. Anula eso inmediatamente. Permisos de Solo Lectura por Defecto (Nivel Superior) Coloca esto en la … Leer más

Amenazas y Ataques CI/CD: Qué Atacan los Adversarios y Cómo Defenderse

Amenazas y Ataques CI/CD: Qué Atacan los Adversarios y Cómo Defenderse

La entrega de software moderna se apoya en pipelines de integración continua y entrega continua (CI/CD) para construir, probar y desplegar código a gran escala. Estos pipelines se han convertido en la columna vertebral de DevOps, permitiendo a las organizaciones distribuir funcionalidades más rápido y de forma más fiable que nunca. Pero este poder conlleva … Leer más

Seguridad de GitHub Actions: La Guía Definitiva

Seguridad de GitHub Actions: La Guía Definitiva

GitHub Actions se ha convertido en la plataforma CI/CD más adoptada del mundo. Con más del 90 % de los repositorios de GitHub capaces de usarla de forma nativa, impulsa desde simples comprobaciones de linting hasta complejos despliegues multicloud. Pero esa ubicuidad la convierte en la superficie de ataque CI/CD más atacada del desarrollo de … Leer más

Seguridad de GitLab CI/CD: La Guía Definitiva

Seguridad de GitLab CI/CD: La Guía Definitiva

GitLab CI/CD se ha convertido en la columna vertebral del DevSecOps moderno, ofreciendo una plataforma integrada donde el código, los pipelines, el escaneo de seguridad y los despliegues convergen en una única interfaz. Pero esa profunda integración es un arma de doble filo: un pipeline mal configurado puede exponer secretos, permitir despliegues no autorizados o … Leer más

La Guía Completa de Seguridad de Pipelines CI/CD

La Guía Completa de Seguridad de Pipelines CI/CD

Introducción Los pipelines CI/CD son la columna vertebral de la entrega de software moderna. Automatizan el recorrido desde el commit de código hasta el despliegue en producción, permitiendo a los equipos entregar más rápido, de manera más confiable y con mayor confianza. Pero este poder conlleva una contrapartida crítica: los pipelines son cada vez más … Leer más

Laboratorio: Builds Reproducibles de Contenedores — Pinning, Verificación y Diffing de Imágenes

Laboratorio: Builds Reproducibles de Contenedores — Pinning, Verificación y Diffing de Imágenes

Descripción general Si construyes el mismo Dockerfile dos veces y obtienes imágenes diferentes, no puedes verificar la integridad del build. Un build no reproducible significa que no tienes forma de confirmar que el artefacto que se ejecuta en producción fue realmente producido a partir del código fuente que auditaste. Los atacantes pueden explotar esta ambigüedad … Leer más

Lab: Manipulación y Detección de Artifacts — Intercambio de Container Images en un Registry

Lab: Manipulación y Detección de Artifacts — Intercambio de Container Images en un Registry

Descripción general Los tags de container images son punteros mutables. A diferencia de un hash de commit de Git, el tag v1.0.0 no está vinculado criptográficamente a una imagen específica — es simplemente una etiqueta que un registry asocia a un digest de manifiesto. Cualquier persona con acceso de push a un repositorio puede sobrescribir … Leer más

Lab: Implementacion de un pipeline de construccion seguro con Tekton y Tekton Chains

Lab: Implementacion de un pipeline de construccion seguro con Tekton y Tekton Chains

Descripcion general Tekton es un potente framework de codigo abierto, nativo de Kubernetes, para crear sistemas de integracion continua y entrega continua (CI/CD). Se ejecuta como un conjunto de Custom Resource Definitions (CRDs) en cualquier cluster de Kubernetes, permitiendote definir pipelines como YAML declarativo que son portables entre entornos. Tekton Chains es un proyecto complementario … Leer más

Motores de Políticas CI/CD Comparados: OPA vs Kyverno vs Sentinel vs Cedar

Motores de Políticas CI/CD Comparados: OPA vs Kyverno vs Sentinel vs Cedar

Introducción: Por Qué los Motores de Políticas Son Importantes para CI/CD Los pipelines de CI/CD modernos se mueven rápido. Los equipos realizan decenas — a veces cientos — de despliegues por día, y cada uno de esos despliegues conlleva decisiones de configuración que afectan la seguridad, el cumplimiento normativo y la estabilidad operativa. Un solo … Leer más

Herramientas SBOM Comparadas: Syft vs Trivy vs CycloneDX CLI

Herramientas SBOM Comparadas: Syft vs Trivy vs CycloneDX CLI

Por qué importan los SBOMs: el imperativo regulatorio y de seguridad Un Software Bill of Materials (SBOM) es un inventario formal y legible por máquinas de cada componente, biblioteca y dependencia que compone un software. Piensa en ello como la etiqueta nutricional de tu aplicación — excepto que en lugar de calorías y sodio, estás … Leer más