Herramientas de Firma de Imágenes Container Comparadas: Cosign vs Notation vs GPG

Herramientas de Firma de Imágenes Container Comparadas: Cosign vs Notation vs GPG

Por Qué Importa la Firma de Imágenes Container Cada vez que descargas una imagen container y la despliegas en producción, estás depositando una confianza implícita en ese artefacto. Pero, ¿cómo verificas que la imagen no ha sido manipulada? ¿Cómo confirmas que fue realmente construida por tu pipeline CI/CD y no inyectada por un atacante que … Leer más

Provenance de Artefactos y Attestations: De SLSA a in-toto

Provenance de Artefactos y Attestations: De SLSA a in-toto

Introducción La firma de código ha sido durante mucho tiempo una piedra angular de la seguridad del software. Cuando verificas una firma, sabes quién firmó un artefacto. Pero saber quién firmó algo no te dice cómo fue construido, dónde fue construido ni qué código fuente se utilizó. Un mantenedor podría firmar un binario compilado en … Leer más

Lab: Aplicar Políticas de Despliegue en Kubernetes con OPA Conftest en CI/CD

Lab: Aplicar Políticas de Despliegue en Kubernetes con OPA Conftest en CI/CD

Descripción general Los manifiestos de Kubernetes mal configurados son una de las principales causas de incidentes de seguridad en producción. Un contenedor ejecutándose como root, una etiqueta de imagen sin fijar, un límite de recursos faltante o una red de host expuesta pueden abrir la puerta a la escalada de privilegios, el agotamiento de recursos … Leer más

Lab: Detección y Prevención de Fugas de Secretos en Pipelines CI/CD

Lab: Detección y Prevención de Fugas de Secretos en Pipelines CI/CD

Descripción General Las fugas de secretos en los pipelines CI/CD son la causa número uno de compromiso de pipelines. Las credenciales expuestas — claves API, contraseñas de bases de datos, tokens de acceso a la nube — proporcionan a los atacantes un camino directo hacia los sistemas de producción. Según el informe State of Secrets … Leer más

Lab: Hardening de Workflows GitHub Actions — Permisos, Pinning y Secretos

Lab: Hardening de Workflows GitHub Actions — Permisos, Pinning y Secretos

Descripción General GitHub Actions se ha convertido en la plataforma de CI/CD más ampliamente adoptada tanto para software de código abierto como comercial. Esa popularidad la convierte en la superficie de ataque número uno en el panorama CI/CD. Los workflows mal configurados filtran secretos de forma rutinaria, otorgan permisos excesivos e incorporan código de terceros … Leer más

Lab: Generación y Verificación de SLSA Provenance para Imágenes de Contenedores

Lab: Generación y Verificación de SLSA Provenance para Imágenes de Contenedores

Descripción General SLSA (Supply-chain Levels for Software Artifacts) provenance es un registro verificable que describe cómo se construyó un artefacto: el repositorio fuente, la plataforma de compilación, el punto de entrada y los materiales de entrada. Cuando se adjunta a una imagen de contenedor, el provenance permite a los consumidores responder una pregunta crítica antes … Leer más

Lab: Firma y Verificación de Imágenes Container con Cosign en GitHub Actions

Lab: Firma y Verificación de Imágenes Container con Cosign en GitHub Actions

Descripción General Cada imagen de contenedor que produce tu pipeline de CI/CD debe estar firmada criptográficamente antes de llegar a cualquier entorno. Las imágenes sin firmar son un punto ciego — no tienes prueba de que provengan de tu pipeline, no tienes garantía de que no hayan sido manipuladas en tránsito, y no tienes ningún … Leer más

Lab: Asegurando Pipelines de GitLab CI — Variables Protegidas, Runners y Entornos

Lab: Asegurando Pipelines de GitLab CI — Variables Protegidas, Runners y Entornos

Descripción General GitLab CI es la segunda plataforma de CI/CD más utilizada en la industria, impulsando millones de pipelines en organizaciones de todos los tamaños. Su estrecha integración con el control de código fuente la hace excepcionalmente conveniente — pero esa misma integración crea una amplia superficie de ataque si los pipelines no se endurecen … Leer más

Separación de Responsabilidades y Mínimo Privilegio en Pipelines CI/CD

Separación de Responsabilidades y Mínimo Privilegio en Pipelines CI/CD

Introducción La mayoría de los pipelines CI/CD comienzan con un objetivo simple: llevar el código desde la máquina de un desarrollador a producción lo más rápido posible. En el camino, alguien crea una cuenta de servicio, le otorga permisos amplios, almacena las credenciales como un secreto del pipeline y sigue adelante. Funciona. Los builds pasan, … Leer más

Restricciones de Red y Sistema de Archivos para Entornos de Build CI/CD

Restricciones de Red y Sistema de Archivos para Entornos de Build CI/CD

Los pipelines CI/CD se encuentran entre las cargas de trabajo más privilegiadas de cualquier organización. Descargan código fuente, obtienen dependencias, acceden a secretos y hacen push de artefactos a registros de producción. Sin embargo, en muchos entornos, los procesos de build que hay detrás de estos pipelines se ejecutan con acceso de red sin restricciones … Leer más