Qué cambiar concretamente en entornos reales de CI/CD 🔐 Fortalecimiento de Acceso e Identidad Si los controles de SSO/MFA fallan: Imponer SAML SSO para la organización de GitHub/GitLab. Deshabilitar el inicio de sesión basado en contraseña para administradores. Imponer MFA basado en hardware para roles privilegiados. Eliminar personal access tokens sin expiración. Configurar la rotación … Leer más
Introducción: Por Qué Importa la Seguridad de la Supply Chain de Software En diciembre de 2020, el mundo descubrió que SolarWinds — una plataforma de gestión de TI ampliamente confiable — había sido comprometida. Los atacantes inyectaron código malicioso en el proceso de build del software Orion, distribuyendo una actualización contaminada a aproximadamente 18.000 organizaciones, … Leer más
Descripción general Si construyes el mismo Dockerfile dos veces y obtienes imágenes diferentes, no puedes verificar la integridad del build. Un build no reproducible significa que no tienes forma de confirmar que el artefacto que se ejecuta en producción fue realmente producido a partir del código fuente que auditaste. Los atacantes pueden explotar esta ambigüedad … Leer más
Descripcion general Tekton es un potente framework de codigo abierto, nativo de Kubernetes, para crear sistemas de integracion continua y entrega continua (CI/CD). Se ejecuta como un conjunto de Custom Resource Definitions (CRDs) en cualquier cluster de Kubernetes, permitiendote definir pipelines como YAML declarativo que son portables entre entornos. Tekton Chains es un proyecto complementario … Leer más
Por qué importan los SBOMs: el imperativo regulatorio y de seguridad Un Software Bill of Materials (SBOM) es un inventario formal y legible por máquinas de cada componente, biblioteca y dependencia que compone un software. Piensa en ello como la etiqueta nutricional de tu aplicación — excepto que en lugar de calorías y sodio, estás … Leer más
Por Qué Importa la Firma de Imágenes Container Cada vez que descargas una imagen container y la despliegas en producción, estás depositando una confianza implícita en ese artefacto. Pero, ¿cómo verificas que la imagen no ha sido manipulada? ¿Cómo confirmas que fue realmente construida por tu pipeline CI/CD y no inyectada por un atacante que … Leer más
Introducción La firma de código ha sido durante mucho tiempo una piedra angular de la seguridad del software. Cuando verificas una firma, sabes quién firmó un artefacto. Pero saber quién firmó algo no te dice cómo fue construido, dónde fue construido ni qué código fuente se utilizó. Un mantenedor podría firmar un binario compilado en … Leer más
Descripción General SLSA (Supply-chain Levels for Software Artifacts) provenance es un registro verificable que describe cómo se construyó un artefacto: el repositorio fuente, la plataforma de compilación, el punto de entrada y los materiales de entrada. Cuando se adjunta a una imagen de contenedor, el provenance permite a los consumidores responder una pregunta crítica antes … Leer más
Descripción General Cada imagen de contenedor que produce tu pipeline de CI/CD debe estar firmada criptográficamente antes de llegar a cualquier entorno. Las imágenes sin firmar son un punto ciego — no tienes prueba de que provengan de tu pipeline, no tienes garantía de que no hayan sido manipuladas en tránsito, y no tienes ningún … Leer más
Introducción: ¿Qué es SLSA y por qué debería importarte? Supply-chain Levels for Software Artifacts — SLSA (pronunciado «salsa») — es un framework de seguridad creado por Google y actualmente mantenido por la Open Source Security Foundation (OpenSSF). Su objetivo es engañosamente simple: dificultar que los atacantes manipulen el software que construyes y distribuyes. Si has … Leer más
