{"id":618,"date":"2026-02-05T23:01:46","date_gmt":"2026-02-05T22:01:46","guid":{"rendered":"https:\/\/secure-pipelines.com\/?p=618"},"modified":"2026-03-24T18:44:29","modified_gmt":"2026-03-24T17:44:29","slug":"policy-as-code-ci-cd-opa-rego-security-gates","status":"publish","type":"post","link":"https:\/\/secure-pipelines.com\/es\/ci-cd-security\/policy-as-code-ci-cd-opa-rego-security-gates\/","title":{"rendered":"Policy as Code para CI\/CD: Aplicando Gates de Seguridad con OPA y Rego"},"content":{"rendered":"

Introducci\u00f3n: Por Qu\u00e9 las Revisiones de Seguridad Manuales No Escalan<\/h2>\n

Todo equipo de ingenier\u00eda eventualmente se topa con el mismo muro: las revisiones de seguridad que dependen de la inspecci\u00f3n humana no pueden mantener el ritmo de la velocidad de los pipelines CI\/CD modernos. Cuando los equipos despliegan decenas o cientos de veces al d\u00eda, pedirle a un ingeniero de seguridad que revise manualmente cada plan de Terraform, manifiesto de Kubernetes o Dockerfile se convierte en un cuello de botella que ralentiza la entrega o simplemente se omite por completo.<\/p>\n

Las consecuencias son predecibles. Las configuraciones incorrectas se filtran. Los contenedores se ejecutan como root. Las im\u00e1genes base derivan hacia versiones sin parches. Terraform aprovisiona buckets S3 accesibles p\u00fablicamente. Estos no son vulnerabilidades ex\u00f3ticas de d\u00eda cero \u2014 son patrones conocidos como incorrectos que podr\u00edan detectarse autom\u00e1ticamente si tuvi\u00e9ramos una forma sistem\u00e1tica de expresar y aplicar reglas de seguridad.<\/p>\n

Aqu\u00ed es donde entra en escena Policy as Code<\/strong>. En lugar de incorporar verificaciones de seguridad como scripts de shell fr\u00e1giles dispersos en las definiciones de los pipelines, Policy as Code trata las reglas de seguridad como artefactos de primera clase: declarativos, controlados por versiones, verificables y aplicables en cada etapa del ciclo de vida CI\/CD.<\/p>\n

En esta gu\u00eda, exploraremos c\u00f3mo usar el Open Policy Agent (OPA)<\/strong> y su lenguaje de pol\u00edticas Rego<\/strong> para construir gates de seguridad automatizados y auditables en sus pipelines CI\/CD \u2014 gates que escalan con su velocidad de despliegue en lugar de ir en contra de ella.<\/p>\n

\u00bfQu\u00e9 Es Policy as Code?<\/h2>\n

Policy as Code es una metodolog\u00eda para definir, gestionar y aplicar reglas mediante c\u00f3digo en lugar de procesos manuales o scripts ad-hoc. En esencia, implica escribir reglas declarativas<\/strong> que se eval\u00faan contra datos estructurados<\/strong> para producir decisiones<\/strong> \u2014 permitir, denegar o advertir.<\/p>\n

Conceptos Fundamentales<\/h3>\n
    \n
  • Reglas declarativas evaluadas contra datos estructurados:<\/strong> Las pol\u00edticas describen qu\u00e9<\/em> debe ser verdadero, no c\u00f3mo<\/em> verificarlo. Un motor de pol\u00edticas recibe datos estructurados (JSON, YAML) y eval\u00faa las reglas contra ellos para producir una decisi\u00f3n.<\/li>\n
  • Separaci\u00f3n de la pol\u00edtica de la l\u00f3gica del pipeline:<\/strong> Las pol\u00edticas residen en sus propios repositorios, mantenidos por equipos de seguridad o plataforma. Las definiciones de los pipelines referencian las pol\u00edticas pero no las contienen. Esta separaci\u00f3n de responsabilidades significa que los cambios en las pol\u00edticas no requieren cambios en los pipelines, y viceversa.<\/li>\n
  • Controladas por versiones, verificables, revisables:<\/strong> Dado que las pol\u00edticas son c\u00f3digo, pasan por el mismo ciclo de vida que el c\u00f3digo de la aplicaci\u00f3n \u2014 pull requests, revisiones de c\u00f3digo, pruebas automatizadas y lanzamientos versionados.<\/li>\n
  • Auditables por dise\u00f1o:<\/strong> Cada evaluaci\u00f3n de pol\u00edtica produce una decisi\u00f3n con una traza clara de qu\u00e9 se evalu\u00f3, qu\u00e9 reglas coincidieron y por qu\u00e9. Esto es esencial para el cumplimiento normativo y la respuesta a incidentes.<\/li>\n<\/ul>\n

    En Qu\u00e9 Se Diferencia de las Verificaciones con Shell Scripts<\/h3>\n

    Muchos equipos comienzan con shell scripts en sus pipelines \u2014 un grep<\/code> para buscar \u00ablatest\u00bb en un Dockerfile, una consulta jq<\/code> contra un plan de Terraform. Esto funciona inicialmente pero se desmorona r\u00e1pidamente:<\/p>\n

      \n
    • Los shell scripts son imperativos y fr\u00e1giles \u2014 un cambio menor de formato los rompe.<\/li>\n
    • Carecen de composabilidad \u2014 combinar m\u00faltiples verificaciones requiere l\u00f3gica de orquestaci\u00f3n.<\/li>\n
    • Producen salidas inconsistentes \u2014 sin formato est\u00e1ndar para violaciones o advertencias.<\/li>\n
    • Son dif\u00edciles de probar de forma aislada.<\/li>\n
    • No pueden compartirse f\u00e1cilmente entre equipos o pipelines.<\/li>\n<\/ul>\n

      Policy as Code resuelve todos estos problemas proporcionando un framework estructurado y declarativo con un motor de evaluaci\u00f3n dedicado.<\/p>\n

      Fundamentos de OPA y Rego<\/h2>\n

      El Open Policy Agent (OPA)<\/strong> es un motor de pol\u00edticas de prop\u00f3sito general y c\u00f3digo abierto mantenido por la Cloud Native Computing Foundation (CNCF). Desacopla la pol\u00edtica de los servicios que necesitan aplicarla, proporcionando un framework \u00fanico para pol\u00edticas en toda la pila \u2014 desde el control de admisi\u00f3n de Kubernetes hasta los gates de CI\/CD y la autorizaci\u00f3n de APIs.<\/p>\n

      C\u00f3mo Funciona OPA<\/h3>\n

      OPA sigue un modelo simple: input \u2192 pol\u00edtica \u2192 decisi\u00f3n<\/strong>.<\/p>\n

        \n
      • Input:<\/strong> Datos estructurados (JSON) que representan lo que se est\u00e1 evaluando \u2014 un manifiesto de Kubernetes, un plan de Terraform, un \u00e1rbol de an\u00e1lisis de un Dockerfile o una configuraci\u00f3n de pipeline.<\/li>\n
      • Pol\u00edtica:<\/strong> Uno o m\u00e1s archivos Rego que definen reglas que eval\u00faan el input.<\/li>\n
      • Decisi\u00f3n:<\/strong> Un resultado JSON que indica si el input cumple con las pol\u00edticas, y si no, por qu\u00e9.<\/li>\n<\/ul>\n

        Fundamentos de la Sintaxis de Rego<\/h3>\n

        Rego es el lenguaje de pol\u00edticas dise\u00f1ado espec\u00edficamente para OPA. Es declarativo, lo que significa que usted describe condiciones en lugar de escribir l\u00f3gica paso a paso. Los bloques fundamentales incluyen:<\/p>\n

          \n
        • Packages:<\/strong> Organizan las pol\u00edticas l\u00f3gicamente por espacio de nombres (por ejemplo, package cicd.docker<\/code>).<\/li>\n
        • Rules:<\/strong> Expresiones con nombre que se eval\u00faan como verdaderas o producen valores.<\/li>\n
        • Imports:<\/strong> Referencian datos del input o de fuentes de datos externas.<\/li>\n<\/ul>\n

          Un Ejemplo Simple: Denegar la Etiqueta \u00ablatest\u00bb<\/h3>\n

          Comencemos con una regla de seguridad com\u00fan: denegar cualquier deployment de Kubernetes que use la etiqueta de imagen latest<\/code>, ya que hace que las builds no sean reproducibles y oculta la versi\u00f3n real que se ejecuta en producci\u00f3n.<\/p>\n

          # policy\/k8s\/deny_latest_tag.rego\npackage k8s.images\n\ndeny[msg] {\n    container := input.spec.template.spec.containers[_]\n    endswith(container.image, \":latest\")\n    msg := sprintf(\"Container '%s' uses the 'latest' tag \u2014 pin to a specific version\", [container.name])\n}\n\ndeny[msg] {\n    container := input.spec.template.spec.containers[_]\n    not contains(container.image, \":\")\n    msg := sprintf(\"Container '%s' has no tag specified (defaults to 'latest') \u2014 pin to a specific version\", [container.name])\n}<\/code><\/pre>\n
          Esta pol\u00edtica itera sobre todos los contenedores en la especificaci\u00f3n de un deployment de Kubernetes y genera un mensaje de denegaci\u00f3n si la imagen usa :latest<\/code> o no tiene ninguna etiqueta.<\/p>\n
          Ejecutar OPA Localmente<\/h3>\n
          Puede evaluar esta pol\u00edtica localmente con la CLI de OPA:<\/p>\n
          # Guardar un input de ejemplo\ncat > input.json <<'EOF'\n{\n  \"spec\": {\n    \"template\": {\n      \"spec\": {\n        \"containers\": [\n          {\"name\": \"app\", \"image\": \"myregistry\/app:latest\"},\n          {\"name\": \"sidecar\", \"image\": \"envoyproxy\/envoy:v1.28.0\"}\n        ]\n      }\n    }\n  }\n}\nEOF\n\n# Evaluar la pol\u00edtica\nopa eval --input input.json --data policy\/ \"data.k8s.images.deny\"<\/code><\/pre>\n
          La salida incluir\u00e1 el mensaje de denegaci\u00f3n para el contenedor app<\/code> que usa :latest<\/code>, mientras que el contenedor sidecar<\/code> con una versi\u00f3n fijada pasar\u00e1 sin problemas.<\/p>\n
          Casos de Uso de OPA en CI\/CD<\/h2>\n
          OPA no se limita a Kubernetes. Su dise\u00f1o agn\u00f3stico al input lo hace \u00fatil en cualquier lugar donde necesite validar datos estructurados contra reglas. Estos son los casos de uso m\u00e1s impactantes en CI\/CD.<\/p>\n
          Validaci\u00f3n de Manifiestos de Kubernetes Antes del Despliegue<\/h3>\n
          Detecte configuraciones incorrectas antes de que lleguen al cl\u00faster: l\u00edmites de recursos faltantes, contenedores privilegiados, acceso a la red del host, contextos de seguridad faltantes o etiquetas no conformes.<\/p>\n
          # policy\/k8s\/deny_privileged.rego\npackage k8s.security\n\ndeny[msg] {\n    container := input.spec.template.spec.containers[_]\n    container.securityContext.privileged == true\n    msg := sprintf(\"Container '%s' must not run in privileged mode\", [container.name])\n}\n\ndeny[msg] {\n    not input.spec.template.spec.containers[_].resources.limits\n    msg := \"All containers must define resource limits\"\n}<\/code><\/pre>\n
          Aplicaci\u00f3n de Mejores Pr\u00e1cticas en Dockerfiles<\/h3>\n
          Usando herramientas como conftest<\/code> con un parser de Dockerfile (como la salida JSON de hadolint<\/code> o dockerfile-json<\/code>), puede aplicar reglas como no ejecutar como root e im\u00e1genes base fijadas:<\/p>\n
          # policy\/docker\/best_practices.rego\npackage docker\n\ndeny[msg] {\n    input.stages[_].commands[i].cmd == \"user\"\n    input.stages[_].commands[i].value == \"root\"\n    msg := \"Dockerfile must not explicitly set USER to root\"\n}\n\ndeny[msg] {\n    stage := input.stages[_]\n    stage.base_image\n    not contains(stage.base_image, \"@sha256:\")\n    not regex.match(`:.+$`, stage.base_image)\n    msg := sprintf(\"Base image '%s' must be pinned to a tag or digest\", [stage.base_image])\n}<\/code><\/pre>\n
          Verificaci\u00f3n de Planes de Terraform contra Violaciones de Seguridad<\/h3>\n
          Convierta un plan de Terraform a JSON con terraform show -json tfplan<\/code>, luego val\u00eddelo contra pol\u00edticas de seguridad:<\/p>\n
          # policy\/terraform\/aws_security.rego\npackage terraform.aws\n\ndeny[msg] {\n    resource := input.resource_changes[_]\n    resource.type == \"aws_s3_bucket\"\n    resource.change.after.acl == \"public-read\"\n    msg := sprintf(\"S3 bucket '%s' must not be publicly readable\", [resource.address])\n}\n\ndeny[msg] {\n    resource := input.resource_changes[_]\n    resource.type == \"aws_security_group_rule\"\n    resource.change.after.cidr_blocks[_] == \"0.0.0.0\/0\"\n    resource.change.after.type == \"ingress\"\n    msg := sprintf(\"Security group rule '%s' must not allow ingress from 0.0.0.0\/0\", [resource.address])\n}<\/code><\/pre>\n
          Validaci\u00f3n de Configuraciones de Pipelines<\/h3>\n
          Incluso puede aplicar reglas sobre las propias definiciones de los pipelines \u2014 asegurando que cada pipeline incluya pasos requeridos como escaneo SAST, detecci\u00f3n de secretos o firma de im\u00e1genes:<\/p>\n
          # policy\/pipeline\/required_steps.rego\npackage pipeline\n\nrequired_jobs := {\"sast-scan\", \"secret-detection\", \"image-sign\"}\n\nmissing_jobs[job] {\n    job := required_jobs[_]\n    not job_exists(job)\n}\n\njob_exists(name) {\n    input.jobs[name]\n}\n\ndeny[msg] {\n    count(missing_jobs) > 0\n    msg := sprintf(\"Pipeline is missing required security jobs: %v\", [missing_jobs])\n}<\/code><\/pre>\n
          Aplicaci\u00f3n de Protecci\u00f3n de Ramas y Pol\u00edticas de Aprobaci\u00f3n<\/h3>\n
          Valide que los cambios a las ramas de producci\u00f3n cuenten con las aprobaciones requeridas y pasen las verificaciones obligatorias antes del merge. OPA puede evaluar payloads de webhooks de GitHub o GitLab o respuestas de API para aplicar estas pol\u00edticas program\u00e1ticamente.<\/p>\n
          Integraci\u00f3n de OPA en Pipelines CI\/CD<\/h2>\n
          La forma m\u00e1s ergon\u00f3mica de integrar OPA en CI\/CD es a trav\u00e9s de Conftest<\/strong>, una herramienta de pruebas construida sobre OPA espec\u00edficamente dise\u00f1ada para validar archivos de configuraci\u00f3n estructurados. Entiende YAML, JSON, HCL, Dockerfile y muchos otros formatos de forma nativa.<\/p>\n
          GitHub Actions: OPA con Conftest<\/h3>\n
          # .github\/workflows\/policy-check.yml\nname: Policy Checks\n\non:\n  pull_request:\n    branches: [main]\n\njobs:\n  validate-kubernetes:\n    runs-on: ubuntu-latest\n    steps:\n      - name: Checkout code\n        uses: actions\/checkout@v4\n\n      - name: Install Conftest\n        run: |\n          LATEST=$(wget -qO- \"https:\/\/api.github.com\/repos\/open-policy-agent\/conftest\/releases\/latest\" | jq -r '.tag_name' | sed 's\/v\/\/')\n          wget -q \"https:\/\/github.com\/open-policy-agent\/conftest\/releases\/download\/v${LATEST}\/conftest_${LATEST}_Linux_x86_64.tar.gz\"\n          tar xzf conftest_${LATEST}_Linux_x86_64.tar.gz\n          sudo mv conftest \/usr\/local\/bin\/\n\n      - name: Validate Kubernetes manifests\n        run: |\n          conftest test k8s\/*.yaml \\\n            --policy policy\/k8s\/ \\\n            --output json \\\n            --all-namespaces\n\n  validate-terraform:\n    runs-on: ubuntu-latest\n    steps:\n      - name: Checkout code\n        uses: actions\/checkout@v4\n\n      - name: Setup Terraform\n        uses: hashicorp\/setup-terraform@v3\n\n      - name: Install Conftest\n        run: |\n          LATEST=$(wget -qO- \"https:\/\/api.github.com\/repos\/open-policy-agent\/conftest\/releases\/latest\" | jq -r '.tag_name' | sed 's\/v\/\/')\n          wget -q \"https:\/\/github.com\/open-policy-agent\/conftest\/releases\/download\/v${LATEST}\/conftest_${LATEST}_Linux_x86_64.tar.gz\"\n          tar xzf conftest_${LATEST}_Linux_x86_64.tar.gz\n          sudo mv conftest \/usr\/local\/bin\/\n\n      - name: Generate Terraform plan JSON\n        run: |\n          cd terraform\/\n          terraform init\n          terraform plan -out=tfplan\n          terraform show -json tfplan > tfplan.json\n\n      - name: Validate Terraform plan\n        run: |\n          conftest test terraform\/tfplan.json \\\n            --policy policy\/terraform\/ \\\n            --output json<\/code><\/pre>\n
          GitLab CI: Conftest en un Job de CI<\/h3>\n
          # .gitlab-ci.yml\nstages:\n  - validate\n  - build\n  - deploy\n\npolicy-check-k8s:\n  stage: validate\n  image: openpolicyagent\/conftest:latest\n  script:\n    - conftest test k8s\/*.yaml\n        --policy policy\/k8s\/\n        --output json\n        --all-namespaces\n  rules:\n    - changes:\n        - k8s\/**\/*\n        - policy\/k8s\/**\/*\n\npolicy-check-terraform:\n  stage: validate\n  image:\n    name: hashicorp\/terraform:latest\n    entrypoint: [\"\"]\n  before_script:\n    - apk add --no-cache wget\n    - wget -q https:\/\/github.com\/open-policy-agent\/conftest\/releases\/download\/v0.50.0\/conftest_0.50.0_Linux_x86_64.tar.gz\n    - tar xzf conftest_0.50.0_Linux_x86_64.tar.gz\n    - mv conftest \/usr\/local\/bin\/\n  script:\n    - cd terraform\/\n    - terraform init\n    - terraform plan -out=tfplan\n    - terraform show -json tfplan > tfplan.json\n    - conftest test tfplan.json --policy ..\/policy\/terraform\/\n  rules:\n    - changes:\n        - terraform\/**\/*\n        - policy\/terraform\/**\/*<\/code><\/pre>\n
          Conftest vs CLI Directa de OPA: Cu\u00e1ndo Usar Cada Uno<\/h3>\n
            \n
          • Use Conftest cuando:<\/strong> Est\u00e9 validando archivos de configuraci\u00f3n (YAML, JSON, HCL, Dockerfiles) en CI\/CD. Conftest maneja el an\u00e1lisis de archivos, proporciona formatos de salida estructurados, soporta m\u00faltiples tipos de archivo y sigue convenciones establecidas (reglas deny<\/code>, warn<\/code>, violation<\/code>).<\/li>\n
          • Use la CLI directa de OPA cuando:<\/strong> Necesite evaluar pol\u00edticas contra input JSON personalizado, integrar OPA como sidecar o daemon para decisiones en tiempo de ejecuci\u00f3n, trabajar con bundles de OPA o necesite la API completa de OPA (evaluaci\u00f3n parcial, profiling, etc.).<\/li>\n<\/ul>\n
            Para la mayor\u00eda de los casos de uso de gates de seguridad en CI\/CD, Conftest es la elecci\u00f3n correcta. Reduce el c\u00f3digo repetitivo y se integra limpiamente en los pasos del pipeline.<\/p>\n
            Escritura de Pol\u00edticas Rego Efectivas<\/h2>\n
            Escribir pol\u00edticas Rego que sean mantenibles, depurables y \u00fatiles en la pr\u00e1ctica requiere seguir patrones y convenciones establecidas.<\/p>\n
            Deny-by-Default vs Allow-by-Default<\/h3>\n
            Existen dos enfoques fundamentales:<\/p>\n
              \n
            • Deny-by-default:<\/strong> Todo est\u00e1 permitido a menos que coincida una regla deny<\/code>. Esta es la convenci\u00f3n est\u00e1ndar de Conftest y funciona bien para gates de CI\/CD donde se desea detectar patrones espec\u00edficos conocidos como incorrectos.<\/li>\n
            • Allow-by-default con denegaciones expl\u00edcitas:<\/strong> Igual que lo anterior \u2014 este es el patr\u00f3n m\u00e1s com\u00fan para casos de uso de CI\/CD.<\/li>\n<\/ul>\n
              Para m\u00e1xima seguridad, algunas organizaciones utilizan un modelo estricto de deny-by-default<\/strong> donde el input debe coincidir expl\u00edcitamente con una regla allow<\/code> o es rechazado. Esto es m\u00e1s apropiado para control de admisi\u00f3n que para gates de CI\/CD.<\/p>\n
              # Deny-by-default (com\u00fan para CI\/CD \u2014 detecta violaciones espec\u00edficas)\npackage k8s.images\n\ndeny[msg] {\n    # Denegar expl\u00edcitamente patrones conocidos como incorrectos\n    container := input.spec.template.spec.containers[_]\n    endswith(container.image, \":latest\")\n    msg := sprintf(\"Container '%s' uses ':latest' tag\", [container.name])\n}\n\n# Solo permitir expl\u00edcitamente (todo lo no permitido se deniega)\npackage k8s.registries\n\nallowed_registries := {\n    \"gcr.io\/my-project\",\n    \"us-docker.pkg.dev\/my-project\",\n}\n\ndeny[msg] {\n    container := input.spec.template.spec.containers[_]\n    image := container.image\n    not image_from_allowed_registry(image)\n    msg := sprintf(\"Container '%s' uses image '%s' from a non-approved registry\", [container.name, image])\n}\n\nimage_from_allowed_registry(image) {\n    some registry in allowed_registries\n    startswith(image, registry)\n}<\/code><\/pre>\n
              Generaci\u00f3n de Mensajes de Violaci\u00f3n Significativos<\/h3>\n
              Una pol\u00edtica que dice \"violaci\u00f3n detectada\" es pr\u00e1cticamente in\u00fatil. Los buenos mensajes de violaci\u00f3n deben indicar al ingeniero qu\u00e9<\/em> est\u00e1 mal, d\u00f3nde<\/em> en la configuraci\u00f3n ocurre, e idealmente c\u00f3mo<\/em> solucionarlo:<\/p>\n
              deny[msg] {\n    container := input.spec.template.spec.containers[_]\n    not container.securityContext.runAsNonRoot\n    msg := sprintf(\n        \"Container '%s' must set securityContext.runAsNonRoot to true. \"\n        \"See: https:\/\/wiki.internal\/policies\/container-security#non-root\",\n        [container.name]\n    )\n}<\/code><\/pre>\n
              Pruebas de Pol\u00edticas con opa test<\/code><\/h3>\n
              Las pol\u00edticas Rego deben probarse igual que el c\u00f3digo de la aplicaci\u00f3n. OPA incluye un framework de pruebas integrado:<\/p>\n
              # policy\/k8s\/deny_latest_tag_test.rego\npackage k8s.images\n\ntest_deny_latest_tag {\n    result := deny with input as {\n        \"spec\": {\"template\": {\"spec\": {\"containers\": [\n            {\"name\": \"app\", \"image\": \"nginx:latest\"}\n        ]}}}\n    }\n    count(result) == 1\n    contains(result[_], \"latest\")\n}\n\ntest_allow_pinned_tag {\n    result := deny with input as {\n        \"spec\": {\"template\": {\"spec\": {\"containers\": [\n            {\"name\": \"app\", \"image\": \"nginx:1.25.3\"}\n        ]}}}\n    }\n    count(result) == 0\n}\n\ntest_deny_no_tag {\n    result := deny with input as {\n        \"spec\": {\"template\": {\"spec\": {\"containers\": [\n            {\"name\": \"app\", \"image\": \"nginx\"}\n        ]}}}\n    }\n    count(result) == 1\n}<\/code><\/pre>\n
              Ejecute las pruebas con:<\/p>\n
              opa test policy\/ -v<\/code><\/pre>\n
              Organizaci\u00f3n de Pol\u00edticas por Dominio<\/h3>\n
              Una estructura limpia del repositorio de pol\u00edticas las hace descubribles y mantenibles:<\/p>\n
              policy\/\n\u251c\u2500\u2500 k8s\/\n\u2502   \u251c\u2500\u2500 deny_latest_tag.rego\n\u2502   \u251c\u2500\u2500 deny_latest_tag_test.rego\n\u2502   \u251c\u2500\u2500 deny_privileged.rego\n\u2502   \u251c\u2500\u2500 deny_privileged_test.rego\n\u2502   \u251c\u2500\u2500 require_labels.rego\n\u2502   \u2514\u2500\u2500 require_labels_test.rego\n\u251c\u2500\u2500 terraform\/\n\u2502   \u251c\u2500\u2500 aws_security.rego\n\u2502   \u251c\u2500\u2500 aws_security_test.rego\n\u2502   \u251c\u2500\u2500 gcp_security.rego\n\u2502   \u2514\u2500\u2500 gcp_security_test.rego\n\u251c\u2500\u2500 docker\/\n\u2502   \u251c\u2500\u2500 best_practices.rego\n\u2502   \u2514\u2500\u2500 best_practices_test.rego\n\u2514\u2500\u2500 pipeline\/\n    \u251c\u2500\u2500 required_steps.rego\n    \u2514\u2500\u2500 required_steps_test.rego<\/code><\/pre>\n
              Gesti\u00f3n de Bundles de Pol\u00edticas<\/h3>\n
              Para organizaciones con muchos equipos, distribuir pol\u00edticas como bundles de OPA<\/strong> es el enfoque recomendado. Los bundles son tarballs versionados de archivos Rego y datos que pueden alojarse en cualquier servidor HTTP, registro OCI o almacenamiento en la nube:<\/p>\n
              # Construir un bundle\nopa build -b policy\/ -o bundle.tar.gz\n\n# Enviar a un registro OCI\nconftest push myregistry.io\/policies\/security:v1.2.0\n\n# Descargar y usar en un pipeline\nconftest pull myregistry.io\/policies\/security:v1.2.0\nconftest test k8s\/*.yaml --policy policy\/<\/code><\/pre>\n
              Este enfoque permite a los equipos de seguridad publicar pol\u00edticas de forma centralizada mientras los equipos de aplicaciones consumen versiones espec\u00edficas, y habilita despliegues controlados de nuevas versiones de pol\u00edticas.<\/p>\n
              Fallo Seguro y Expl\u00edcito de Pipelines<\/h2>\n
              Aplicar pol\u00edticas en CI\/CD es tanto un desaf\u00edo de ingenier\u00eda como de seguridad. Implementar fallos duros desde el primer d\u00eda crear\u00e1 caos. Un enfoque gradual es esencial.<\/p>\n
              Gates Duros vs Gates Suaves<\/h3>\n
              Conftest soporta dos tipos de reglas que se mapean claramente a esta distinci\u00f3n:<\/p>\n
                \n
              • Reglas deny<\/code>:<\/strong> Gates duros. El pipeline falla si cualquier regla deny<\/code> coincide.<\/li>\n
              • Reglas warn<\/code>:<\/strong> Gates suaves. El pipeline registra la advertencia pero contin\u00faa. Esto es invaluable para el despliegue gradual de nuevas pol\u00edticas.<\/li>\n<\/ul>\n
                # Comenzar con warn, promover a deny una vez que los equipos se hayan adaptado\nwarn[msg] {\n    container := input.spec.template.spec.containers[_]\n    not container.resources.requests\n    msg := sprintf(\"[WARN] Container '%s' should define resource requests\", [container.name])\n}<\/code><\/pre>\n
                Excepciones y Exenciones de Pol\u00edticas<\/h3>\n
                Ninguna pol\u00edtica puede cubrir todos los casos l\u00edmite leg\u00edtimos. Se necesita un mecanismo de excepciones que sea auditable y que no elude completamente el sistema:<\/p>\n
                # policy\/k8s\/exceptions.rego\npackage k8s.images\n\nimport data.exceptions\n\n# Omitir la regla deny si existe una excepci\u00f3n aprobada\ndeny[msg] {\n    container := input.spec.template.spec.containers[_]\n    endswith(container.image, \":latest\")\n    not exception_exists(input.metadata.name, container.name)\n    msg := sprintf(\"Container '%s' uses the 'latest' tag\", [container.name])\n}\n\nexception_exists(deployment, container) {\n    exception := exceptions.approved[_]\n    exception.deployment == deployment\n    exception.container == container\n    exception.policy == \"deny-latest-tag\"\n    time.now_ns() < exception.expires_ns\n}<\/code><\/pre>\n
                El archivo de datos de excepciones tambi\u00e9n est\u00e1 controlado por versiones y requiere aprobaci\u00f3n:<\/p>\n
                # data\/exceptions.json\n{\n  \"approved\": [\n    {\n      \"deployment\": \"legacy-app\",\n      \"container\": \"app\",\n      \"policy\": \"deny-latest-tag\",\n      \"reason\": \"Legacy build system cannot produce tagged images \u2014 migration tracked in JIRA-1234\",\n      \"approved_by\": \"security-team\",\n      \"expires_ns\": 1735689600000000000\n    }\n  ]\n}<\/code><\/pre>\n
                Reporte de Resultados de Pol\u00edticas a Dashboards<\/h3>\n
                Tanto Conftest como OPA soportan salida JSON, lo que facilita el env\u00edo de resultados a plataformas de observabilidad. En su pipeline, capture la salida y env\u00edela a su SIEM, plataforma de logging o un dashboard personalizado:<\/p>\n
                # Capturar resultados como JSON\nconftest test k8s\/*.yaml --policy policy\/k8s\/ --output json > policy-results.json\n\n# Enviar a su plataforma de logging\ncurl -X POST https:\/\/logging.internal\/api\/v1\/policy-results \\\n  -H \"Content-Type: application\/json\" \\\n  -d @policy-results.json<\/code><\/pre>\n
                Esto crea una pista de auditor\u00eda independiente de los logs de CI\/CD \u2014 esencial para el cumplimiento normativo y el an\u00e1lisis de tendencias.<\/p>\n
                Despliegue Gradual: Modo Auditor\u00eda Antes del Modo Aplicaci\u00f3n<\/h3>\n
                La estrategia de despliegue recomendada para cualquier nueva pol\u00edtica sigue esta progresi\u00f3n:<\/p>\n
                  \n
                1. Modo auditor\u00eda:<\/strong> Ejecute la pol\u00edtica como reglas warn<\/code>. Recopile datos sobre cu\u00e1ntos pipelines fallar\u00edan. Comparta informes con los equipos.<\/li>\n
                2. Aplicaci\u00f3n suave:<\/strong> Mantenga las reglas warn<\/code> pero agregue notificaciones \u2014 alertas de Slack, tickets de Jira \u2014 para que los equipos est\u00e9n al tanto y puedan remediar.<\/li>\n
                3. Aplicaci\u00f3n dura:<\/strong> Promueva las reglas de warn<\/code> a deny<\/code> despu\u00e9s de una fecha l\u00edmite comunicada. Aseg\u00farese de que el proceso de excepciones est\u00e9 en su lugar.<\/li>\n
                4. Ajuste continuo:<\/strong> Monitoree falsos positivos, ajuste pol\u00edticas, agregue nuevas reglas basadas en incidentes e inteligencia de amenazas.<\/li>\n<\/ol>\n
                  Este enfoque respeta los flujos de trabajo de ingenier\u00eda mientras eleva constantemente el est\u00e1ndar de seguridad.<\/p>\n
                  Limitaciones y Compromisos<\/h2>\n
                  Policy as Code con OPA es poderoso, pero no est\u00e1 exento de compromisos. Ser honesto sobre las limitaciones le ayuda a tomar decisiones informadas.<\/p>\n
                  La Curva de Aprendizaje de Rego<\/h3>\n
                  Rego es un lenguaje dise\u00f1ado espec\u00edficamente con un modelo de evaluaci\u00f3n \u00fanico. No es imperativo \u2014 no hay bucles ni variables mutables en el sentido tradicional. Los ingenieros acostumbrados a Python, Go o Bash necesitar\u00e1n tiempo para internalizar el enfoque declarativo y basado en conjuntos de Rego. Invierta en capacitaci\u00f3n del equipo, programaci\u00f3n en pareja para las pol\u00edticas iniciales y una biblioteca de pol\u00edticas de ejemplo bien comentadas.<\/p>\n
                  Rendimiento con Inputs Grandes<\/h3>\n
                  OPA eval\u00faa las pol\u00edticas en memoria. Para la mayor\u00eda de los casos de uso de CI\/CD \u2014 manifiestos de Kubernetes, planes de Terraform, Dockerfiles \u2014 los tama\u00f1os de input son peque\u00f1os y la evaluaci\u00f3n es casi instant\u00e1nea. Sin embargo, planes de Terraform muy grandes (miles de recursos) o pol\u00edticas complejas con recursi\u00f3n profunda pueden causar latencia notable. Perfile las pol\u00edticas con opa eval --profile<\/code> si el rendimiento se convierte en una preocupaci\u00f3n.<\/p>\n
                  OPA vs Otras Herramientas de Pol\u00edticas<\/h3>\n
                  OPA no es la \u00fanica opci\u00f3n. Considere alternativas seg\u00fan su stack:<\/p>\n