Recursos - Secure Pipelines

Esta página reúne materiales de referencia, herramientas y recursos técnicos relacionados con la seguridad de CI/CD y la protección de la cadena de suministro de software.

Los recursos aquí listados han sido seleccionados por su relevancia, profundidad técnica y utilidad práctica.

Estándares y frameworks

SLSA (Supply-chain Levels for Software Artifacts)
Framework para mejorar la integridad de las builds y la procedencia en las cadenas de suministro de software.
→ Guía: Artifact Provenance and Attestations | → Lab: SLSA Provenance
in-toto
Framework para asegurar la integridad de las cadenas de suministro de software mediante metadatos y attestations.
→ Guía: De SLSA a in-toto
SSDF (NIST Secure Software Development Framework)
Directrices para integrar la seguridad a lo largo del ciclo de vida del desarrollo de software.
OWASP Top 10 CI/CD Risks
Modelo de amenazas centrado en los riesgos de seguridad de los pipelines CI/CD.
→ Guía: Patrones Defensivos y Mitigaciones

Herramientas de seguridad CI/CD

Sigstore (Cosign, Rekor, Fulcio)
Herramientas para firmar, verificar y registrar artefactos de software y attestations.
→ Guía: Firma con Sigstore y Cosign | → Lab: Cosign en GitHub Actions
Trivy
Escáner de vulnerabilidades, configuración y SBOM para contenedores y pipelines.
Syft
Herramienta de generación de SBOM para contenedores y artefactos de código fuente.
→ Lab: SBOM Pipeline con Syft y Cosign
Grype
Escáner de vulnerabilidades basado en análisis de SBOM.
→ Lab: SBOM Pipeline con Syft y Cosign
Checkov
Herramienta de análisis estático para infrastructure as code y configuraciones de pipelines.
Gitleaks
Herramienta de detección de secrets para repositorios git, pre-commit hooks y pipelines CI/CD.
→ Lab: Detección y Prevención de Fugas de Secrets
TruffleHog
Escáner de credenciales con detección verificada de secrets en el historial de git, sistemas de archivos y servicios en la nube.
→ Lab: Detección y Prevención de Fugas de Secrets
actionlint
Verificador estático para archivos de workflow de GitHub Actions — detecta errores de configuración y riesgos de inyección de expresiones.
→ Lab: Detección de GitHub Actions Maliciosas
zizmor
Análisis estático enfocado en seguridad para workflows de GitHub Actions.
→ Lab: Detección de GitHub Actions Maliciosas
crane
Herramienta CLI para interactuar con registros de contenedores — inspeccionar, copiar, mutar y comparar imágenes.
→ Lab: Manipulación y Detección de Artefactos
diffoscope
Herramienta de comparación en profundidad para archivos, directorios e imágenes de contenedores — esencial para verificar la reproducibilidad de las builds.
→ Lab: Builds Reproducibles de Contenedores

Aplicación de políticas y controles

Open Policy Agent (OPA)
Motor de políticas de propósito general para aplicar controles de seguridad en pipelines.
→ Guía: Policy as Code con OPA y Rego | → Lab: OPA Conftest en CI/CD
Kyverno
Motor de políticas diseñado para entornos nativos de Kubernetes.
Conftest
Herramienta para escribir y probar políticas contra datos de configuración estructurados.
→ Lab: OPA Conftest en CI/CD

Gestión de secrets

HashiCorp Vault
Plataforma de gestión de secrets con secrets dinámicos, cifrado y acceso basado en identidad.
→ Guía: Gestión de Secrets con Integración de Vault
GitHub Actions OIDC
Federación de identidad de workloads para GitHub Actions — elimina credenciales de larga duración en la nube.
→ Guía: Workload Identity Federation | → Lab: OIDC con AWS
GitLab CI OIDC
Autenticación con ID token para GitLab CI — credenciales de corta duración para acceso a la nube.
→ Guía: Workload Identity Federation

Plataformas y ecosistemas CI/CD

GitHub Actions
Plataforma CI/CD con un sólido ecosistema y funcionalidades de seguridad en crecimiento.
→ Lab: Hardening de GitHub Actions
GitLab CI/CD
Plataforma DevSecOps integrada con controles de seguridad incorporados.
→ Lab: Asegurando GitLab CI
Tekton
Framework CI/CD nativo de Kubernetes para construir pipelines personalizados.
→ Lab: Tekton y Tekton Chains
Actions Runner Controller (ARC)
Operador de Kubernetes para runners efímeros y auto-escalables de GitHub Actions.
→ Lab: Runners Efímeros con ARC

Modelado de amenazas y ataques

OWASP Top 10 CI/CD Risks
El modelo de amenazas definitivo para los riesgos de seguridad en pipelines CI/CD.
→ Guía: Pipelines CI/CD como Superficie de Ataque
Poisoned Pipeline Execution (PPE)
Riesgo #2 de OWASP CI/CD — el atacante modifica el código del pipeline o los scripts de build mediante pull requests.
→ Lab: Explotación y Defensa contra PPE
Dependency confusion (Alex Birsan, 2021)
Investigación original que comprometió Apple, Microsoft y Tesla mediante la resolución de nombres de los gestores de paquetes.
→ Guía: Dependency Confusion y Artifact Poisoning | → Lab: Simulación de Dependency Confusion
CI/CD Threat Modeling
Análisis de límites de confianza y rutas de ataque en pipelines CI/CD.
→ Guía: Modelos de Ejecución y Suposiciones de Confianza

Guías comparativas

Comparaciones en profundidad para ayudarte a elegir las herramientas adecuadas para tu stack de seguridad CI/CD.

Hojas de referencia rápida

Referencias concisas y listas para copiar y pegar para tareas cotidianas de seguridad CI/CD.

Referencias externas

OWASP Foundation
Recursos de seguridad abiertos y modelos de amenazas.
CNCF TAG Security
Iniciativas y mejores prácticas cloud-native en torno a la seguridad de la cadena de suministro.
NIST CSRC
Estándares de seguridad y orientación relacionados con el desarrollo de software y las cadenas de suministro.
OpenSSF (Open Source Security Foundation)
Colaboración interindustrial en seguridad de software open source, incluyendo Scorecard, SLSA y Sigstore.

Ecosistema relacionado

Para los aspectos de cumplimiento, gobernanza y regulación de DevSecOps y CI/CD, consulta regulated-devsecops.com.

Los dos sitios están diseñados para complementarse:

Secure Pipelines: implementación técnica y prácticas de ingeniería
Regulated DevSecOps: gobernanza, auditabilidad y cumplimiento