Cheat Sheet de Seguridad de GitHub Actions: Permisos, Pinning, Secretos y OIDC

Cheat Sheet de Seguridad de GitHub Actions: Permisos, Pinning, Secretos y OIDC

1. Permisos — Principio de Mínimo Privilegio El cambio de mayor impacto que puedes hacer en cualquier workflow de GitHub Actions es restringir los permisos. Por defecto, GITHUB_TOKEN tiene acceso de lectura y escritura a la mayoría de los scopes. Anula eso inmediatamente. Permisos de Solo Lectura por Defecto (Nivel Superior) Coloca esto en la … Leer más

Seguridad de GitHub Actions: La Guía Definitiva

Seguridad de GitHub Actions: La Guía Definitiva

GitHub Actions se ha convertido en la plataforma CI/CD más adoptada del mundo. Con más del 90 % de los repositorios de GitHub capaces de usarla de forma nativa, impulsa desde simples comprobaciones de linting hasta complejos despliegues multicloud. Pero esa ubicuidad la convierte en la superficie de ataque CI/CD más atacada del desarrollo de … Leer más

Lab: Hardening de Workflows GitHub Actions — Permisos, Pinning y Secretos

Lab: Hardening de Workflows GitHub Actions — Permisos, Pinning y Secretos

Descripción General GitHub Actions se ha convertido en la plataforma de CI/CD más ampliamente adoptada tanto para software de código abierto como comercial. Esa popularidad la convierte en la superficie de ataque número uno en el panorama CI/CD. Los workflows mal configurados filtran secretos de forma rutinaria, otorgan permisos excesivos e incorporan código de terceros … Leer más

Lab: Firma y Verificación de Imágenes Container con Cosign en GitHub Actions

Lab: Firma y Verificación de Imágenes Container con Cosign en GitHub Actions

Descripción General Cada imagen de contenedor que produce tu pipeline de CI/CD debe estar firmada criptográficamente antes de llegar a cualquier entorno. Las imágenes sin firmar son un punto ciego — no tienes prueba de que provengan de tu pipeline, no tienes garantía de que no hayan sido manipuladas en tránsito, y no tienes ningún … Leer más

Lab: Configuración de Workload Identity OIDC para GitHub Actions con AWS

Lab: Configuración de Workload Identity OIDC para GitHub Actions con AWS

Descripción general Si sus flujos de trabajo de GitHub Actions se autentican en AWS utilizando AWS_ACCESS_KEY_ID y AWS_SECRET_ACCESS_KEY almacenados como secretos del repositorio, tiene un problema de seguridad grave. Esas credenciales de larga duración nunca expiran por sí solas, pueden ser exfiltradas por cualquier paso del flujo de trabajo (incluidas las acciones de terceros) y … Leer más

Laboratorio: Ejecutar Runners Autoalojados Efímeros de GitHub Actions con Actions Runner Controller

Laboratorio: Ejecutar Runners Autoalojados Efímeros de GitHub Actions con Actions Runner Controller

Descripción general Los runners alojados en GitHub son compartidos y efímeros por defecto — cada trabajo obtiene una máquina virtual nueva que se destruye después de que el trabajo se completa. Los runners autoalojados, por otro lado, son persistentes y compartidos entre ejecuciones de flujos de trabajo. Esto crea un riesgo de seguridad significativo: secretos, … Leer más

Lab: Detección de GitHub Actions Maliciosas con Static Analysis

Lab: Detección de GitHub Actions Maliciosas con Static Analysis

Descripción General Las GitHub Actions de terceros son una de las funcionalidades más convenientes del ecosistema de GitHub. Con una simple directiva uses:, puedes incorporar lógica de compilación compleja, desplegar en proveedores cloud o ejecutar escáneres de seguridad. Pero esa conveniencia conlleva una contrapartida crítica: cada action de terceros ejecuta código en tu entorno de … Leer más

Seguridad de los GitHub Actions Runners: Arquitectura, Riesgos y Mejores Prácticas

Seguridad de los GitHub Actions Runners: Arquitectura, Riesgos y Mejores Prácticas

GitHub Actions se ha convertido en una de las plataformas de CI/CD más ampliamente adoptadas. Su flexibilidad, su estrecha integración con los repositorios de GitHub y su rico ecosistema la hacen atractiva para equipos de todos los tamaños. Al mismo tiempo, los GitHub Actions runners han surgido como una superficie de ataque crítica en los … Leer más