Guía de Remediation para Controles de Supplier en CI/CD

por

Qué cambiar concretamente en entornos reales de CI/CD

🔐 Fortalecimiento de Acceso e Identidad

Si los controles de SSO/MFA fallan:

  • Imponer SAML SSO para la organización de GitHub/GitLab.
  • Deshabilitar el inicio de sesión basado en contraseña para administradores.
  • Imponer MFA basado en hardware para roles privilegiados.
  • Eliminar personal access tokens sin expiración.
  • Configurar la rotación automática de tokens.

🧱 Aislamiento de Runners

Si se utilizan runners compartidos en pipelines regulados:

  • Migrar a runners aislados auto-hospedados.
  • Usar un grupo de runners por nivel de sensibilidad.
  • Restringir la ejecución de runners a proyectos específicos.
  • Deshabilitar runners “public/shared” para repositorios regulados.

🚫 Policy Gates que No Bloquean

Si los resultados de SAST/SCA/DAST son solo informativos:

  • Convertir los umbrales de severidad crítica en bloqueantes.
  • Requerir aprobación de seguridad para anular.
  • Registrar cada anulación con referencia de ticket.
  • Añadir expiración a las aprobaciones de excepción.

📦 Integridad de Artefactos

Si falta la firma de artefactos:

  • Implementar firma de contenedores/imágenes (Cosign / Notary).
  • Imponer verificación de firma en el momento del despliegue.
  • Bloquear artefactos sin firmar en la etapa de release.
  • Almacenar registros de verificación de firma.

Centralización de Evidencia

Si los logs solo existen en la interfaz del proveedor:

  • Transmitir logs de CI/CD al SIEM.
  • Exportar informes de escaneo a un almacén central de evidencia.
  • Capturar eventos de aprobación.
  • Archivar definiciones de pipeline por cada release.

🔁 Debilidad en la Estrategia de Salida

Si el plan de salida existe pero no se ha probado:

  • Exportar el repositorio completo + ramas.
  • Exportar el YAML del pipeline.
  • Exportar imágenes de contenedores.
  • Simular la reconstrucción en un sistema de CI alternativo.
  • Documentar el tiempo de recuperación.

Las pruebas de salida deben incluir la reconstrucción real de artefactos.

Punto Ciego de Sub-Processors

Si falta visibilidad sobre los sub-processors:

  • Solicitar la lista oficial al proveedor.
  • Documentar cambios trimestralmente.
  • Mapear los sub-processors críticos en la arquitectura.
  • Añadir cláusula que requiera notificación.