Introducción La mayoría de los pipelines CI/CD comienzan con un objetivo simple: llevar el código desde la máquina de un desarrollador a producción lo más rápido posible. En el camino, alguien crea una cuenta de servicio, le otorga permisos amplios, almacena las credenciales como un secreto del pipeline y sigue adelante. Funciona. Los builds pasan, … Leer más
Los pipelines CI/CD se encuentran entre las cargas de trabajo más privilegiadas de cualquier organización. Extraen código fuente, descargan dependencias, acceden a secrets y envían artefactos a registries de producción. Sin embargo, en muchos entornos, los procesos de build detrás de estos pipelines se ejecutan con acceso de red sin restricciones y permisos completos sobre … Leer más
Descripción General La confusión de dependencias es un ataque a la cadena de suministro que explota la forma en que los gestores de paquetes resuelven los nombres de paquetes cuando se configuran tanto registros privados (internos) como públicos. Cuando un atacante publica un paquete malicioso en un registro público usando el mismo nombre que un … Leer más
Introducción: ¿Qué es SLSA y por qué debería importarte? Supply-chain Levels for Software Artifacts — SLSA (pronunciado «salsa») — es un framework de seguridad creado por Google y actualmente mantenido por la Open Source Security Foundation (OpenSSF). Su objetivo es engañosamente simple: dificultar que los atacantes manipulen el software que construyes y distribuyes. Si has … Leer más
Los pipelines CI/CD se han convertido en la columna vertebral de la entrega moderna de software. Pero con ese poder viene un riesgo significativo. El proyecto OWASP Top 10 de Riesgos de Seguridad CI/CD cataloga los vectores de ataque más críticos que afectan a los sistemas de integración y entrega continua. En esta guía, desglosamos … Leer más
Introducción Si audita los almacenes de secretos de la mayoría de las plataformas CI/CD hoy en día, encontrará un cementerio de credenciales de larga duración: claves de acceso de AWS creadas hace años, claves JSON de cuentas de servicio de GCP compartidas entre docenas de pipelines, Personal Access Tokens de GitHub con alcances amplios y … Leer más
Descripción general Si sus flujos de trabajo de GitHub Actions se autentican en AWS utilizando AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY almacenados como secretos del repositorio, tiene un problema de seguridad grave. Esas credenciales de larga duración nunca expiran por sí solas, pueden ser exfiltradas por cualquier paso del flujo de trabajo (incluidas las acciones de terceros) y … Leer más
Introducción Asegurar tu pipeline CI/CD ya no es opcional — es un requisito fundamental para cualquier organización de software moderna. A medida que los ataques a la cadena de suministro crecen en frecuencia y sofisticación, las herramientas que integras en tus pipelines de compilación y despliegue determinan directamente tu postura de seguridad. Pero con un … Leer más
Descripción general Los runners alojados en GitHub son compartidos y efímeros por defecto — cada trabajo obtiene una máquina virtual nueva que se destruye después de que el trabajo se completa. Los runners autoalojados, por otro lado, son persistentes y compartidos entre ejecuciones de flujos de trabajo. Esto crea un riesgo de seguridad significativo: secretos, … Leer más
Descripción General Los Software Bills of Materials (SBOMs) se están convirtiendo rápidamente en un componente obligatorio de la transparencia en la cadena de suministro de software. Órdenes ejecutivas, marcos regulatorios como NIST SSDF y estándares de la industria ahora requieren que las organizaciones produzcan, distribuyan y verifiquen SBOMs para cada lanzamiento de software. Un SBOM … Leer más
