Modern software delivery relies on Continuous Integration and Continuous Delivery (CI/CD) pipelines to build, test, and deploy code at scale. These pipelines have become the backbone of DevOps, enabling organizations to ship features faster and more reliably than ever before. But this power comes with a critical trade-off: CI/CD systems have become one of the … Leer más
Descripción general Los tags de container images son punteros mutables. A diferencia de un hash de commit de Git, el tag v1.0.0 no está vinculado criptográficamente a una imagen específica — es simplemente una etiqueta que un registry asocia a un digest de manifiesto. Cualquier persona con acceso de push a un repositorio puede sobrescribir … Leer más
Descripción General La confusión de dependencias es un ataque a la cadena de suministro que explota la forma en que los gestores de paquetes resuelven los nombres de paquetes cuando se configuran tanto registros privados (internos) como públicos. Cuando un atacante publica un paquete malicioso en un registro público usando el mismo nombre que un … Leer más
Los pipelines CI/CD se han convertido en la columna vertebral de la entrega moderna de software. Pero con ese poder viene un riesgo significativo. El proyecto OWASP Top 10 de Riesgos de Seguridad CI/CD cataloga los vectores de ataque más críticos que afectan a los sistemas de integración y entrega continua. En esta guía, desglosamos … Leer más
Descripción general Poisoned Pipeline Execution (PPE) ocupa el puesto n.º 2 en el OWASP CI/CD Security Top 10. Se trata de una clase de ataques en la que un actor malicioso manipula el proceso de compilación inyectando código en las definiciones del pipeline o en los scripts de compilación, generalmente a través de un pull … Leer más
Introducción Comprender cómo se atacan los pipelines CI/CD es solo la mitad del panorama. El modelado de amenazas y la taxonomía de ataques nos proporcionan un mapa del campo de batalla, pero sin patrones defensivos concretos y mitigaciones de ingeniería, ese conocimiento permanece teórico. Esta guía cierra la brecha entre la concienciación y la acción. … Leer más
Introducción Los ataques a la cadena de suministro de software han aumentado tanto en frecuencia como en sofisticación en los últimos años. En lugar de atacar las aplicaciones directamente, los adversarios apuntan cada vez más a las capas de resolución de dependencias y distribución de artefactos que sustentan el desarrollo de software moderno. Dos de … Leer más
Descripción General Las GitHub Actions de terceros son una de las funcionalidades más convenientes del ecosistema de GitHub. Con una simple directiva uses:, puedes incorporar lógica de compilación compleja, desplegar en proveedores cloud o ejecutar escáneres de seguridad. Pero esa conveniencia conlleva una contrapartida crítica: cada action de terceros ejecuta código en tu entorno de … Leer más
El threat modeling es una práctica bien establecida en la seguridad de aplicaciones. Los equipos modelan amenazas de forma rutinaria contra APIs, servicios backend y entornos de producción. Sin embargo, los pipelines de CI/CD a menudo se excluyen de los ejercicios formales de threat modeling, a pesar de ser uno de los componentes más críticos … Leer más
Durante años, los programas de seguridad de aplicaciones se han centrado en los entornos de producción: fortalecer servidores, parchear vulnerabilidades, desplegar WAFs y monitorizar el comportamiento en tiempo de ejecución. Ese enfoque tenía sentido cuando la mayoría de los compromisos significativos ocurrían después del despliegue, al explotar debilidades en las aplicaciones en ejecución. Pero los … Leer más
