Laboratorios

Los laboratorios en Secure Pipelines son ejercicios prácticos diseñados para explorar escenarios reales de seguridad en CI/CD y en la cadena de suministro de software.

Se centran en comprender cómo se atacan los pipelines, dónde se rompe la confianza y cómo se pueden implementar controles de seguridad eficaces.

---

Qué esperar de los laboratorios

Los laboratorios son prácticos por diseño y están construidos en torno a plataformas y herramientas reales de CI/CD.

• Ejercicios paso a paso
• Configuraciones y workflows reales de CI/CD
• Ejemplos de YAML y comandos
• Resultados esperados claros
• Escenarios de fallo y configuraciones incorrectas

Cada laboratorio está diseñado para demostrar no solo cómo asegurar un pipeline, sino también cómo y por qué los controles de seguridad pueden fallar.

---

Laboratorios de plataformas CI/CD

Estos laboratorios se centran en asegurar plataformas CI/CD y entornos de ejecución específicos.

• Laboratorios de GitHub Actions
  • Hardening de workflows de GitHub Actions — Permisos, pinning y secrets
  • Configuración de OIDC Workload Identity para GitHub Actions con AWS
  • Detección de GitHub Actions maliciosas con análisis estático
  • Ejecución de runners self-hosted efímeros con Actions Runner Controller
• Laboratorios de GitLab CI
  • Asegurando pipelines de GitLab CI — Variables protegidas, runners y environments
• Laboratorios de Tekton
  • Implementación de un pipeline de build seguro con Tekton y Tekton Chains

---

Laboratorios de cadena de suministro de software

Estos laboratorios exploran ataques y defensas relacionados con la cadena de suministro de software.

• Compromiso y envenenamiento de dependencias — Simulación de un ataque de dependency confusion
• Firma y verificación de artefactos con Cosign en GitHub Actions
• Generación y verificación de provenance con SLSA
• Creación, attestation y validación de SBOM con Syft y Cosign
• Builds reproducibles de contenedores — Pinning, verificación y diffing de imágenes

---

Laboratorios de hardening de pipelines

Estos laboratorios se centran en fortalecer los entornos de ejecución de pipelines.

• Aislamiento de runners y modelos de ejecución — Runners efímeros con ARC
• Privilegio mínimo y alcance de permisos
• Exposición y protección de secrets
• Aplicación de políticas de despliegue en Kubernetes con OPA Conftest

---

Escenarios de ataque y defensa

Comprender las técnicas de los atacantes es esencial para defender los pipelines.

• Poisoned Pipeline Execution (PPE) — Explotación y defensa contra el ataque #2 en CI/CD
• Dependencias comprometidas — Simulación de dependency confusion
• Actions comprometidas — Detección de GitHub Actions maliciosas
• Detección y prevención de fugas de secrets
• Manipulación y detección de artefactos — Intercambio de imágenes de contenedor en un registry

---

Cómo usar los laboratorios

Los laboratorios están diseñados para ejecutarse en entornos de prueba o sandbox.

Antes de comenzar un laboratorio, deberías:

• Tener conocimientos básicos de CI/CD y Git
• Comprender la plataforma o herramienta objetivo
• Usar únicamente entornos que no sean de producción

Cada laboratorio incluye:

• Requisitos previos
• Instrucciones de configuración
• Pasos de ejecución
• Guía de limpieza

---

Ecosistema relacionado

Para perspectivas de gobernanza, auditabilidad y cumplimiento relacionadas con la seguridad en CI/CD, consulta regulated-devsecops.com.

Secure Pipelines se centra en cómo se implementan y prueban los controles de seguridad, mientras que Regulated DevSecOps explica cómo se gobiernan y evalúan esos controles.