Qué cambiar concretamente en entornos reales de CI/CD 🔐 Fortalecimiento de Acceso e Identidad Si los controles de SSO/MFA fallan: Imponer SAML SSO para la organización de GitHub/GitLab. Deshabilitar el inicio de sesión basado en contraseña para administradores. Imponer MFA basado en hardware para roles privilegiados. Eliminar personal access tokens sin expiración. Configurar la rotación … Leer más
1. Permisos — Principio de Mínimo Privilegio El cambio de mayor impacto que puedes hacer en cualquier workflow de GitHub Actions es restringir los permisos. Por defecto, GITHUB_TOKEN tiene acceso de lectura y escritura a la mayoría de los scopes. Anula eso inmediatamente. Permisos de Solo Lectura por Defecto (Nivel Superior) Coloca esto en la … Leer más
GitHub Actions has become the most widely adopted CI/CD platform in the world. With over 90% of GitHub repositories capable of using it natively, it powers everything from simple linting checks to complex multi-cloud deployments. But that ubiquity makes it the single most targeted CI/CD attack surface in modern software development. In 2024 and 2025, … Leer más
Descripción General GitHub Actions se ha convertido en la plataforma de CI/CD más ampliamente adoptada tanto para software de código abierto como comercial. Esa popularidad la convierte en la superficie de ataque número uno en el panorama CI/CD. Los workflows mal configurados filtran secretos de forma rutinaria, otorgan permisos excesivos e incorporan código de terceros … Leer más
Descripción General Cada imagen de contenedor que produce tu pipeline de CI/CD debe estar firmada criptográficamente antes de llegar a cualquier entorno. Las imágenes sin firmar son un punto ciego — no tienes prueba de que provengan de tu pipeline, no tienes garantía de que no hayan sido manipuladas en tránsito, y no tienes ningún … Leer más
Descripción general Si sus flujos de trabajo de GitHub Actions se autentican en AWS utilizando AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY almacenados como secretos del repositorio, tiene un problema de seguridad grave. Esas credenciales de larga duración nunca expiran por sí solas, pueden ser exfiltradas por cualquier paso del flujo de trabajo (incluidas las acciones de terceros) y … Leer más
Descripción general Los runners alojados en GitHub son compartidos y efímeros por defecto — cada trabajo obtiene una máquina virtual nueva que se destruye después de que el trabajo se completa. Los runners autoalojados, por otro lado, son persistentes y compartidos entre ejecuciones de flujos de trabajo. Esto crea un riesgo de seguridad significativo: secretos, … Leer más
Descripción General Las GitHub Actions de terceros son una de las funcionalidades más convenientes del ecosistema de GitHub. Con una simple directiva uses:, puedes incorporar lógica de compilación compleja, desplegar en proveedores cloud o ejecutar escáneres de seguridad. Pero esa conveniencia conlleva una contrapartida crítica: cada action de terceros ejecuta código en tu entorno de … Leer más
GitHub Actions se ha convertido en una de las plataformas de CI/CD más ampliamente adoptadas. Su flexibilidad, su estrecha integración con los repositorios de GitHub y su rico ecosistema la hacen atractiva para equipos de todos los tamaños. Al mismo tiempo, los GitHub Actions runners han surgido como una superficie de ataque crítica en los … Leer más
