Lab: Simulación de un Ataque de Confusión de Dependencias en un Entorno Sandbox

Lab: Simulación de un Ataque de Confusión de Dependencias en un Entorno Sandbox

Descripción General La confusión de dependencias es un ataque a la cadena de suministro que explota la forma en que los gestores de paquetes resuelven los nombres de paquetes cuando se configuran tanto registros privados (internos) como públicos. Cuando un atacante publica un paquete malicioso en un registro público usando el mismo nombre que un … Leer más

Niveles SLSA Explicados: Checklist Práctico de Cumplimiento para Equipos de Ingeniería

Niveles SLSA Explicados: Checklist Práctico de Cumplimiento para Equipos de Ingeniería

Introducción: ¿Qué es SLSA y por qué debería importarte? Supply-chain Levels for Software Artifacts — SLSA (pronunciado «salsa») — es un framework de seguridad creado por Google y actualmente mantenido por la Open Source Security Foundation (OpenSSF). Su objetivo es engañosamente simple: dificultar que los atacantes manipulen el software que construyes y distribuyes. Si has … Leer más

OWASP Top 10 de Riesgos CI/CD Explicados con Ejemplos Reales

OWASP Top 10 de Riesgos CI/CD Explicados con Ejemplos Reales

Los pipelines CI/CD se han convertido en la columna vertebral de la entrega moderna de software. Pero con ese poder viene un riesgo significativo. El proyecto OWASP Top 10 de Riesgos de Seguridad CI/CD cataloga los vectores de ataque más críticos que afectan a los sistemas de integración y entrega continua. En esta guía, desglosamos … Leer más

Credenciales de Corta Duración y Workload Identity Federation en Pipelines CI/CD

Credenciales de Corta Duración y Workload Identity Federation en Pipelines CI/CD

Introducción Si audita los almacenes de secretos de la mayoría de las plataformas CI/CD hoy en día, encontrará un cementerio de credenciales de larga duración: claves de acceso de AWS creadas hace años, claves JSON de cuentas de servicio de GCP compartidas entre docenas de pipelines, Personal Access Tokens de GitHub con alcances amplios y … Leer más

Lab: Configuración de Workload Identity OIDC para GitHub Actions con AWS

Lab: Configuración de Workload Identity OIDC para GitHub Actions con AWS

Descripción general Si sus flujos de trabajo de GitHub Actions se autentican en AWS utilizando AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY almacenados como secretos del repositorio, tiene un problema de seguridad grave. Esas credenciales de larga duración nunca expiran por sí solas, pueden ser exfiltradas por cualquier paso del flujo de trabajo (incluidas las acciones de terceros) y … Leer más

Escáneres de Seguridad CI/CD Comparados: Trivy vs Grype vs Snyk vs Checkov

Escáneres de Seguridad CI/CD Comparados: Trivy vs Grype vs Snyk vs Checkov

Introducción Asegurar tu pipeline CI/CD ya no es opcional — es un requisito fundamental para cualquier organización de software moderna. A medida que los ataques a la cadena de suministro crecen en frecuencia y sofisticación, las herramientas que integras en tus pipelines de compilación y despliegue determinan directamente tu postura de seguridad. Pero con un … Leer más

Laboratorio: Ejecutar Runners Autoalojados Efímeros de GitHub Actions con Actions Runner Controller

Laboratorio: Ejecutar Runners Autoalojados Efímeros de GitHub Actions con Actions Runner Controller

Descripción general Los runners alojados en GitHub son compartidos y efímeros por defecto — cada trabajo obtiene una máquina virtual nueva que se destruye después de que el trabajo se completa. Los runners autoalojados, por otro lado, son persistentes y compartidos entre ejecuciones de flujos de trabajo. Esto crea un riesgo de seguridad significativo: secretos, … Leer más

Lab: Construcción de un Pipeline de SBOM — Generar, Atestar y Verificar con Syft y Cosign

Lab: Construcción de un Pipeline de SBOM — Generar, Atestar y Verificar con Syft y Cosign

Descripción General Los Software Bills of Materials (SBOMs) se están convirtiendo rápidamente en un componente obligatorio de la transparencia en la cadena de suministro de software. Órdenes ejecutivas, marcos regulatorios como NIST SSDF y estándares de la industria ahora requieren que las organizaciones produzcan, distribuyan y verifiquen SBOMs para cada lanzamiento de software. Un SBOM … Leer más

Laboratorio: Explotación y Defensa contra Poisoned Pipeline Execution (PPE)

Laboratorio: Explotación y Defensa contra Poisoned Pipeline Execution (PPE)

Descripción general Poisoned Pipeline Execution (PPE) ocupa el puesto n.º 2 en el OWASP CI/CD Security Top 10. Se trata de una clase de ataques en la que un actor malicioso manipula el proceso de compilación inyectando código en las definiciones del pipeline o en los scripts de compilación, generalmente a través de un pull … Leer más

Patrones Defensivos y Mitigaciones para Ataques a Pipelines CI/CD

Patrones Defensivos y Mitigaciones para Ataques a Pipelines CI/CD

Introducción Comprender cómo se atacan los pipelines CI/CD es solo la mitad del panorama. El modelado de amenazas y la taxonomía de ataques nos proporcionan un mapa del campo de batalla, pero sin patrones defensivos concretos y mitigaciones de ingeniería, ese conocimiento permanece teórico. Esta guía cierra la brecha entre la concienciación y la acción. … Leer más