Los pipelines de GitLab CI\/CD son potentes \u2014 pero con ese poder viene el riesgo. Una variable mal configurada puede filtrar secretos. Un runner sin alcance definido puede ejecutar c\u00f3digo malicioso. Un entorno sin protecci\u00f3n puede permitir que un desarrollador junior haga un despliegue directo a producci\u00f3n. Este cheat sheet te ofrece YAML listo para copiar y pegar<\/strong> para cada control cr\u00edtico de seguridad en GitLab CI, desde variables protegidas hasta la federaci\u00f3n OIDC.<\/p>\n Guarda esta p\u00e1gina en tus favoritos. \u00dasala como referencia cada vez que configures un nuevo proyecto o audites uno existente.<\/p>\n Las variables de GitLab CI\/CD controlan c\u00f3mo fluyen los secretos en tus pipelines. Configurar esto incorrectamente es la causa n\u00famero uno de fugas de credenciales en CI\/CD. Cada valor sensible debe estar protegido<\/strong> (disponible solo en ramas\/tags protegidos), enmascarado<\/strong> (oculto en los logs del job) y, donde sea compatible, oculto<\/strong> (invisible en la interfaz despu\u00e9s de la creaci\u00f3n).<\/p>\n Reglas clave:<\/strong><\/p>\n Los runners ejecutan tus jobs de CI\/CD. Si cualquier runner puede tomar cualquier job, un merge request malicioso podr\u00eda exfiltrar secretos de un runner de producci\u00f3n. Un alcance adecuado es esencial.<\/p>\n Mejores pr\u00e1cticas:<\/strong><\/p>\n Los entornos protegidos a\u00f1aden una puerta humana antes de los despliegues. Esta es tu \u00faltima l\u00ednea de defensa contra cambios no autorizados en producci\u00f3n.<\/p>\n Configura esto en Settings > CI\/CD > Protected Environments<\/strong> en la interfaz de GitLab. Requiere al menos dos aprobaciones<\/strong> para despliegues a producci\u00f3n. Restringe el acceso de despliegue a grupos o usuarios espec\u00edficos \u2014 nunca a “All maintainers.”<\/p>\n Reglas clave:<\/strong> Habilita el l\u00edmite de alcance del CI\/CD job token en cada proyecto. Solo incluye en la lista de permitidos los proyectos espec\u00edficos que genuinamente necesitan acceso entre proyectos. Audita las listas de permitidos trimestralmente.<\/p>\n La federaci\u00f3n OIDC elimina por completo las credenciales de nube de larga duraci\u00f3n en tus variables de CI\/CD. GitLab emite un JWT de corta duraci\u00f3n, y tu proveedor de nube lo intercambia por credenciales temporales. Este es el est\u00e1ndar de oro para la autenticaci\u00f3n en la nube en pipelines.<\/p>\n En el lado de la nube, configura la pol\u00edtica de confianza para validar claims como Los pipelines de merge request se ejecutan sobre c\u00f3digo que a\u00fan no ha sido revisado. Tr\u00e1talos como no confiables. Nunca expongas secretos de producci\u00f3n a los pipelines de MR.<\/p>\n Controles cr\u00edticos:<\/strong><\/p>\n El esc\u00e1ner integrado de detecci\u00f3n de secretos de GitLab captura credenciales accidentalmente comprometidas antes de que lleguen a la rama por defecto.<\/p>\n Para un escaneo m\u00e1s completo, a\u00f1ade tambi\u00e9n las plantillas de SAST<\/strong> y dependency scanning<\/strong>:<\/p>\n Revisa los hallazgos en el Security Dashboard<\/strong> (disponible en GitLab Ultimate) o analiza los artefactos JSON en los tiers inferiores.<\/p>\n Las push rules aplican pol\u00edticas a nivel de Git \u2014 antes de que el c\u00f3digo entre siquiera en un pipeline. \u00dasalas para prevenir que se suban secretos, imponer est\u00e1ndares en los mensajes de commit y restringir tipos de archivos.<\/p>\n Push rules recomendadas:<\/strong><\/p>\n Los jobs desbocados desperdician recursos y pueden ser explotados para criptominer\u00eda. Establece timeouts expl\u00edcitos y marca los jobs no cr\u00edticos como interruptible para que se cancelen cuando un nuevo pipeline comience en la misma rama.<\/p>\n Directrices:<\/strong><\/p>\n1. Variables Protegidas, Enmascaradas y Ocultas<\/h2>\n
Configuraci\u00f3n de Variables a trav\u00e9s de la API<\/h3>\n
# Crear una variable protegida + enmascarada a trav\u00e9s de la API de GitLab\ncurl --request POST \\\n --header \"PRIVATE-TOKEN: $GITLAB_TOKEN\" \\\n \"https:\/\/gitlab.example.com\/api\/v4\/projects\/$PROJECT_ID\/variables\" \\\n --form \"key=AWS_SECRET_ACCESS_KEY\" \\\n --form \"value=$MY_SECRET\" \\\n --form \"protected=true\" \\\n --form \"masked=true\" \\\n --form \"variable_type=env_var\"<\/code><\/pre>\nUso de Variables en
.gitlab-ci.yml<\/code><\/h3>\nvariables:\n # Las variables a nivel de grupo o proyecto se inyectan autom\u00e1ticamente.\n # Las variables de tipo archivo se escriben en una ruta temporal.\n DEPLOY_TOKEN:\n description: \"Token para despliegue en producci\u00f3n\"\n value: \"\" # Intencionalmente vac\u00edo \u2014 configurar en CI\/CD Settings\n\ndeploy_production:\n stage: deploy\n script:\n - echo \"Desplegando con token enmascarado...\"\n - .\/deploy.sh --token \"$DEPLOY_TOKEN\"\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n environment:\n name: production<\/code><\/pre>\n\n
.gitlab-ci.yml<\/code> \u2014 utiliza siempre la configuraci\u00f3n de variables CI\/CD.<\/li>\nprotected=true<\/code> para que los secretos solo est\u00e9n disponibles en ramas protegidas.<\/li>\nmasked=true<\/code> para que los valores se oculten en los logs del job.<\/li>\n2. Tipos de Runners y Alcance<\/h2>\n
Registro de Runner con Tags y Protecci\u00f3n<\/h3>\n
# Registrar un runner con alcance solo para ramas protegidas\ngitlab-runner register \\\n --non-interactive \\\n --url \"https:\/\/gitlab.example.com\" \\\n --token \"$RUNNER_REG_TOKEN\" \\\n --executor docker \\\n --docker-image alpine:latest \\\n --tag-list \"production,protected\" \\\n --access-level ref_protected<\/code><\/pre>\nAsignaci\u00f3n de Jobs a Runners Espec\u00edficos<\/h3>\n
# .gitlab-ci.yml \u2014 asegurar que los jobs de producci\u00f3n solo se ejecuten en runners protegidos\ndeploy_production:\n stage: deploy\n tags:\n - production\n - protected\n script:\n - kubectl apply -f k8s\/production\/\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n environment:\n name: production\n\n# Los jobs de desarrollo usan un runner separado y sin privilegios\ntest:\n stage: test\n tags:\n - shared\n - development\n script:\n - pytest tests\/<\/code><\/pre>\n\n
--access-level ref_protected<\/code> para restringir los runners a ramas y tags protegidos.<\/li>\n3. Entornos Protegidos con Aprobaciones<\/h2>\n
Configuraci\u00f3n del Entorno en
.gitlab-ci.yml<\/code><\/h3>\n# .gitlab-ci.yml \u2014 despliegue con protecci\u00f3n de entorno\ndeploy_staging:\n stage: deploy\n script:\n - .\/deploy.sh staging\n environment:\n name: staging\n url: https:\/\/staging.example.com\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n\ndeploy_production:\n stage: deploy\n script:\n - .\/deploy.sh production\n environment:\n name: production\n url: https:\/\/example.com\n deployment_tier: production\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n when: manual\n allow_failure: false<\/code><\/pre>\nConfiguraci\u00f3n de Reglas de Aprobaci\u00f3n a trav\u00e9s de la API<\/h3>\n
# Proteger el entorno de producci\u00f3n con aprobaciones requeridas\ncurl --request POST \\\n --header \"PRIVATE-TOKEN: $GITLAB_TOKEN\" \\\n \"https:\/\/gitlab.example.com\/api\/v4\/projects\/$PROJECT_ID\/protected_environments\" \\\n --data '{\"name\": \"production\", \"deploy_access_levels\": [{\"group_id\": 9899826}], \"required_approval_count\": 2, \"approval_rules\": [{\"group_id\": 9899826, \"required_approvals\": 2}]}'<\/code><\/pre>\n4. Alcance de CI_JOB_TOKEN<\/h2>\n
CI_JOB_TOKEN<\/code> es un token autom\u00e1tico que GitLab inyecta en cada job. Por defecto, puede acceder a otros proyectos en tu grupo \u2014 un riesgo serio de movimiento lateral. Desde GitLab 16.0, deber\u00edas restringir su alcance.<\/p>\nRestricci\u00f3n del Acceso del Token<\/h3>\n
# Verificar el alcance actual de CI_JOB_TOKEN\ncurl --header \"PRIVATE-TOKEN: $GITLAB_TOKEN\" \\\n \"https:\/\/gitlab.example.com\/api\/v4\/projects\/$PROJECT_ID\/job_token_scope\"\n\n# Limitar CI_JOB_TOKEN para que solo acceda a proyectos espec\u00edficos\ncurl --request PATCH \\\n --header \"PRIVATE-TOKEN: $GITLAB_TOKEN\" \\\n \"https:\/\/gitlab.example.com\/api\/v4\/projects\/$PROJECT_ID\/job_token_scope\" \\\n --data '{\"enabled\": true}'\n\n# A\u00f1adir un proyecto a la lista de permitidos\ncurl --request POST \\\n --header \"PRIVATE-TOKEN: $GITLAB_TOKEN\" \\\n \"https:\/\/gitlab.example.com\/api\/v4\/projects\/$PROJECT_ID\/job_token_scope\/allowlist\" \\\n --data '{\"target_project_id\": 12345}'<\/code><\/pre>\nUso Seguro de
CI_JOB_TOKEN<\/code> en Pipelines<\/h3>\n# .gitlab-ci.yml \u2014 uso de CI_JOB_TOKEN para triggers entre proyectos\ntrigger_deploy:\n stage: deploy\n trigger:\n project: my-group\/deploy-project\n branch: main\n strategy: depend\n # CI_JOB_TOKEN se usa autom\u00e1ticamente para el trigger.\n # El proyecto destino debe incluir este proyecto en su lista de permitidos.<\/code><\/pre>\n5. OIDC
id_tokens<\/code> para AWS y GCP<\/h2>\nFederaci\u00f3n OIDC con AWS<\/h3>\n
# .gitlab-ci.yml \u2014 autenticaci\u00f3n OIDC con AWS\ndeploy_aws:\n stage: deploy\n image: amazon\/aws-cli:latest\n id_tokens:\n GITLAB_OIDC_TOKEN:\n aud: https:\/\/gitlab.example.com\n variables:\n ROLE_ARN: arn:aws:iam::123456789012:role\/gitlab-ci-deploy\n script:\n - >\n export $(printf \"AWS_ACCESS_KEY_ID=%s AWS_SECRET_ACCESS_KEY=%s AWS_SESSION_TOKEN=%s\"\n $(aws sts assume-role-with-web-identity\n --role-arn $ROLE_ARN\n --role-session-name \"GitLabCI-${CI_PROJECT_ID}-${CI_PIPELINE_ID}\"\n --web-identity-token \"$GITLAB_OIDC_TOKEN\"\n --duration-seconds 3600\n --query 'Credentials.[AccessKeyId,SecretAccessKey,SessionToken]'\n --output text))\n - aws s3 sync .\/build s3:\/\/my-production-bucket\/\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n environment:\n name: production<\/code><\/pre>\nFederaci\u00f3n de Identidades de Carga de Trabajo con GCP<\/h3>\n
# .gitlab-ci.yml \u2014 autenticaci\u00f3n OIDC con GCP\ndeploy_gcp:\n stage: deploy\n image: google\/cloud-sdk:latest\n id_tokens:\n GITLAB_OIDC_TOKEN:\n aud: https:\/\/gitlab.example.com\n script:\n - echo \"$GITLAB_OIDC_TOKEN\" > \/tmp\/gitlab_token.txt\n - >\n gcloud iam workload-identity-pools create-cred-config\n projects\/$GCP_PROJECT_NUMBER\/locations\/global\/workloadIdentityPools\/$POOL_ID\/providers\/$PROVIDER_ID\n --service-account=\"$GCP_SERVICE_ACCOUNT\"\n --output-file=\/tmp\/gcp_creds.json\n --credential-source-file=\/tmp\/gitlab_token.txt\n - export GOOGLE_APPLICATION_CREDENTIALS=\/tmp\/gcp_creds.json\n - gcloud config set project $GCP_PROJECT_ID\n - gcloud run deploy my-service --image gcr.io\/$GCP_PROJECT_ID\/my-app:$CI_COMMIT_SHA\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n environment:\n name: production<\/code><\/pre>\nproject_path<\/code>, ref<\/code> y ref_protected<\/code> de modo que solo proyectos y ramas espec\u00edficos puedan asumir el rol.<\/p>\n6. Seguridad de Pipelines de Merge Request<\/h2>\n
# .gitlab-ci.yml \u2014 reglas separadas para pipelines de MR vs. pipelines de rama\ntest:\n stage: test\n script:\n - pytest tests\/\n rules:\n - if: $CI_PIPELINE_SOURCE == \"merge_request_event\"\n - if: $CI_COMMIT_BRANCH == \"main\"\n\ndeploy_production:\n stage: deploy\n script:\n - .\/deploy.sh production\n rules:\n # NUNCA ejecutar en pipelines de merge request\n - if: $CI_PIPELINE_SOURCE == \"merge_request_event\"\n when: never\n - if: $CI_COMMIT_BRANCH == \"main\"\n environment:\n name: production<\/code><\/pre>\n\n
rules:<\/code> para asegurar que los jobs de despliegue nunca<\/strong> se ejecuten en pipelines de tipo merge_request_event<\/code>.<\/li>\n7. Plantilla de Detecci\u00f3n de Secretos<\/h2>\n
# .gitlab-ci.yml \u2014 incluir la plantilla de detecci\u00f3n de secretos\ninclude:\n - template: Jobs\/Secret-Detection.gitlab-ci.yml\n\n# Sobrescribir para que el pipeline falle si se encuentran secretos\nsecret_detection:\n variables:\n SECRET_DETECTION_HISTORIC_SCAN: \"true\" # Escanear el historial completo de git\n rules:\n - if: $CI_PIPELINE_SOURCE == \"merge_request_event\"\n - if: $CI_COMMIT_BRANCH == $CI_DEFAULT_BRANCH\n allow_failure: false # Bloquear el pipeline al detectar secretos<\/code><\/pre>\ninclude:\n - template: Jobs\/Secret-Detection.gitlab-ci.yml\n - template: Jobs\/SAST.gitlab-ci.yml\n - template: Jobs\/Dependency-Scanning.gitlab-ci.yml<\/code><\/pre>\n8. Push Rules<\/h2>\n
# Configurar push rules a trav\u00e9s de la API\ncurl --request PUT \\\n --header \"PRIVATE-TOKEN: $GITLAB_TOKEN\" \\\n \"https:\/\/gitlab.example.com\/api\/v4\/projects\/$PROJECT_ID\/push_rule\" \\\n --data '{\"deny_delete_tag\": true, \"prevent_secrets\": true, \"commit_message_regex\": \"^(feat|fix|chore|docs|refactor|test|ci)\\\\(.*\\\\):.*\", \"max_file_size\": 50, \"member_check\": true, \"reject_unsigned_commits\": true}'<\/code><\/pre>\n\n
prevent_secrets: true<\/code> \u2014 Rechaza pushes que contengan archivos que parezcan secretos (claves, tokens, certificados).<\/li>\nreject_unsigned_commits: true<\/code> \u2014 Requiere commits firmados con GPG (GitLab Premium+).<\/li>\ncommit_message_regex<\/code> \u2014 Impone mensajes de commit convencionales para un registro de auditor\u00eda limpio.<\/li>\nmax_file_size<\/code> \u2014 Previene la subida accidental de binarios grandes.<\/li>\nmember_check: true<\/code> \u2014 Rechaza commits de personas que no son miembros del proyecto.<\/li>\n<\/ul>\n9. Timeouts de Jobs e
interruptible<\/code><\/h2>\n# .gitlab-ci.yml \u2014 timeouts e interruptible\ndefault:\n timeout: 30m # Timeout global por defecto para todos los jobs\n interruptible: true # Cancelar jobs en ejecuci\u00f3n cuando se hace push de un nuevo commit\n retry:\n max: 1\n when:\n - runner_system_failure\n - stuck_or_timeout_failure\n\ntest:\n stage: test\n timeout: 15m\n interruptible: true\n script:\n - pytest tests\/ --timeout=600\n\ndeploy_production:\n stage: deploy\n timeout: 20m\n interruptible: false # NUNCA cancelar un despliegue a producci\u00f3n en ejecuci\u00f3n\n script:\n - .\/deploy.sh production\n rules:\n - if: $CI_COMMIT_BRANCH == \"main\"\n when: manual\n environment:\n name: production<\/code><\/pre>\n\n
interruptible: true<\/code> para ahorrar capacidad de runners.<\/li>\ninterruptible: false<\/code> para prevenir despliegues parciales.<\/li>\nretry<\/code> solo para fallos transitorios de infraestructura \u2014 nunca para fallos de tests.<\/li>\n<\/ul>\nTabla de Referencia R\u00e1pida<\/h2>\n