\u00abShift left\u00bb se ha convertido en uno de los principios m\u00e1s ampliamente adoptados en DevSecOps. La idea es simple y atractiva: trasladar la seguridad a las fases m\u00e1s tempranas del ciclo de vida del desarrollo de software para detectar problemas antes, reducir costes y mejorar los resultados generales de seguridad.<\/p>\n
Con el tiempo, \u00abshift left\u00bb ha evolucionado de un concepto \u00fatil a un dogma casi incuestionable. El escaneo de seguridad, las pruebas y las verificaciones de pol\u00edticas se adelantan lo m\u00e1ximo posible, a menudo al IDE del desarrollador o a las primeras etapas de CI.<\/p>\n
Sin embargo, a pesar de a\u00f1os de \u00abshift left,\u00bb los ataques a la cadena de suministro de software siguen teniendo \u00e9xito. Los sistemas de build se comprometen. Se distribuyen dependencias maliciosas. Se publican releases con puertas traseras a trav\u00e9s de pipelines de confianza.<\/p>\n
El problema no es que \u00abshift left\u00bb sea incorrecto. El problema es que shift left por s\u00ed solo es insuficiente<\/strong>, y en muchos casos, fracasa precisamente porque ignora la seguridad de los propios pipelines CI\/CD.<\/p>\n Este art\u00edculo explica d\u00f3nde falla el modelo \u00abshift left\u00bb, por qu\u00e9 no aborda el compromiso de los pipelines, y c\u00f3mo DevSecOps debe evolucionar para incluir la seguridad expl\u00edcita de los pipelines.<\/p>\n El concepto de \u00abshift left\u00bb surgi\u00f3 como respuesta a los fallos de seguridad en etapas tard\u00edas.<\/p>\n Hist\u00f3ricamente, las revisiones de seguridad se realizaban al final del ciclo de vida del desarrollo: pruebas de penetraci\u00f3n antes del lanzamiento, puertas de aprobaci\u00f3n de seguridad y remediaci\u00f3n de \u00faltimo momento de problemas cr\u00edticos.<\/p>\n Este enfoque generaba problemas predecibles:<\/p>\n \u00abShift left\u00bb pretend\u00eda resolver esto introduciendo la seguridad m\u00e1s temprano:<\/p>\n Como principio, fue una mejora clara. La retroalimentaci\u00f3n temprana es casi siempre mejor que la retroalimentaci\u00f3n tard\u00eda.<\/p>\n Sin embargo, el modelo asum\u00eda algo que ya no es cierto:<\/p>\n Si el c\u00f3digo es seguro desde el principio, el software entregado ser\u00e1 seguro.<\/p>\n<\/blockquote>\n En la pr\u00e1ctica, \u00abshift left\u00bb se centra en un conjunto espec\u00edfico de riesgos:<\/p>\n Estos controles responden a preguntas importantes:<\/p>\n Lo que no<\/em> responden es igualmente importante:<\/p>\n \u00bfPodemos confiar en el sistema que construye y entrega este software?<\/p>\n<\/blockquote>\n Los controles shift-left se centran en qu\u00e9<\/em> se escribe. La seguridad de los pipelines se centra en c\u00f3mo<\/em> se transforma, empaqueta y distribuye.<\/p>\n Los pipelines CI\/CD se sit\u00faan aguas abajo de la mayor\u00eda de las actividades shift-left.<\/p>\n Para cuando un pipeline se ejecuta, el c\u00f3digo ya ha:<\/p>\n Sin embargo, es precisamente aqu\u00ed donde ocurren muchos compromisos en el mundo real.<\/p>\n La raz\u00f3n es estructural: los controles shift-left asumen que el pipeline en s\u00ed es confiable.<\/p>\n Esa suposici\u00f3n a menudo es falsa.<\/p>\n Los pipelines CI\/CD ejecutan rutinariamente:<\/p>\n Incluso si el c\u00f3digo fuente es \u00abseguro,\u00bb el pipeline est\u00e1 expuesto a comportamientos no confiables durante la ejecuci\u00f3n.<\/p>\n El escaneo shift-left no protege contra comportamientos maliciosos introducidos en tiempo de build o empaquetado.<\/p>\n Los pipelines a menudo tienen acceso a:<\/p>\n Si los atacantes comprometen el pipeline, no necesitan explotar los sistemas de producci\u00f3n en absoluto.<\/p>\n Simplemente pueden producir artefactos \u00ableg\u00edtimos\u00bb en los que los sistemas posteriores conf\u00edan impl\u00edcitamente.<\/p>\n Los principales incidentes de cadena de suministro no ocurrieron porque los equipos no escanearon el c\u00f3digo a tiempo.<\/p>\n Ocurrieron porque los atacantes explotaron mecanismos de build y entrega de confianza.<\/p>\n Cuando los atacantes inyectan comportamiento malicioso en:<\/p>\n los artefactos resultantes pueden pasar todas las verificaciones shift-left.<\/p>\n Desde la perspectiva del pipeline, todo parece normal.<\/p>\n Desde la perspectiva de producci\u00f3n, el artefacto es leg\u00edtimo.<\/p>\n Las herramientas shift-left se centran en detectar problemas conocidos.<\/p>\n No modelan:<\/p>\n Por eso los atacantes apuntan a los pipelines: explotan relaciones de confianza, no vulnerabilidades.<\/p>\n Si los controles shift-left son insuficientes, \u00bfd\u00f3nde deben aplicarse los controles de seguridad del pipeline?<\/p>\n La respuesta no es \u00aba\u00fan m\u00e1s temprano.\u00bb<\/p>\n La seguridad del pipeline requiere controles en transiciones de confianza espec\u00edficas.<\/p>\n No todos los triggers del pipeline deben tratarse por igual.<\/p>\n Los controles deben distinguir entre:<\/p>\n Los secrets, las acciones privilegiadas y los pasos de despliegue deben estar controlados en consecuencia.<\/p>\n Los runners son donde la confianza es m\u00e1s fr\u00e1gil.<\/p>\n Los controles efectivos incluyen:<\/p>\n El escaneo shift-left no protege contra el compromiso de runners. El aislamiento s\u00ed.<\/p>\n El control de pipeline m\u00e1s cr\u00edtico es a menudo el \u00faltimo.<\/p>\n Antes del despliegue, los sistemas deben verificar:<\/p>\n Sin verificaci\u00f3n, producci\u00f3n conf\u00eda impl\u00edcitamente en el pipeline.<\/p>\n DevSecOps necesita un modelo mental m\u00e1s completo.<\/p>\n La seguridad debe ser:<\/p>\n La seguridad del pipeline aborda el tercer punto.<\/p>\n Introduce garant\u00edas aplicables que el escaneo por s\u00ed solo no puede proporcionar.<\/p>\n En lugar de \u00abshift left,\u00bb un mejor enfoque es:<\/p>\n Asegurar el ciclo de vida de la confianza.<\/p>\n<\/blockquote>\n Esto significa:<\/p>\n Los controles shift-left siguen siendo valiosos, pero solo como parte de un sistema m\u00e1s amplio que incluya la seguridad del pipeline.<\/p>\n \u00abShift left\u00bb no es incorrecto, pero es incompleto.<\/p>\n Mejora la calidad del c\u00f3digo y detecta defectos tempranamente, pero no protege contra el compromiso de los pipelines ni contra los ataques a la cadena de suministro.<\/p>\n Los pipelines CI\/CD son donde la confianza se transforma, amplifica y finalmente se otorga.<\/p>\n Ignorar la seguridad del pipeline significa confiar en los mismos sistemas que los atacantes apuntan cada vez m\u00e1s.<\/p>\n DevSecOps debe evolucionar m\u00e1s all\u00e1 de los esl\u00f3ganes y centrarse en la ingenier\u00eda de la confianza de extremo a extremo.<\/p>\n Sin seguridad en los pipelines CI\/CD, \u00abshift left\u00bb no es una estrategia, es una suposici\u00f3n.<\/p>\n
\nEl origen de \u00abshift left\u00bb<\/h2>\n
\n
\n
\n
\nQu\u00e9 asegura realmente \u00abshift left\u00bb<\/h2>\n
\n
\n
\n
\nPor qu\u00e9 \u00abshift left\u00bb no cubre el pipeline<\/h2>\n
\n
\nLos pipelines ejecutan entradas no confiables por dise\u00f1o<\/h3>\n
\n
\nLos pipelines operan con privilegios elevados<\/h3>\n
\n
\nFallos reales de la mentalidad \u00abshift left\u00bb<\/h2>\n
\nEl compromiso del pipeline elude los controles a nivel de c\u00f3digo<\/h3>\n
\n
\nLos controles shift-left no modelan los l\u00edmites de confianza<\/h3>\n
\n
\nD\u00f3nde deben aplicarse los controles de seguridad del pipeline<\/h2>\n
\nAntes de la ejecuci\u00f3n: controlar las entradas no confiables<\/h3>\n
\n
\nDurante la ejecuci\u00f3n: aislar los runners<\/h3>\n
\n
\nDespu\u00e9s de la ejecuci\u00f3n: verificar los artefactos<\/h3>\n
\n
\nReplanteando DevSecOps m\u00e1s all\u00e1 de \u00abshift left\u00bb<\/h2>\n
\n
\nUn modelo m\u00e1s preciso: asegurar el ciclo de vida de la confianza<\/h2>\n
\n
\n
\nConclusi\u00f3n<\/h2>\n
\n