{"id":1046014,"date":"2023-11-14T18:51:17","date_gmt":"2023-11-14T18:51:17","guid":{"rendered":"https:\/\/teknomers.com\/es\/riesgos-de-ci-cd-proteccion-de-sus-canales-de-desarrollo-de-software\/"},"modified":"2023-11-14T18:51:22","modified_gmt":"2023-11-14T18:51:22","slug":"riesgos-de-ci-cd-proteccion-de-sus-canales-de-desarrollo-de-software","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/riesgos-de-ci-cd-proteccion-de-sus-canales-de-desarrollo-de-software\/","title":{"rendered":"Riesgos de CI\/CD: protecci\u00f3n de sus canales de desarrollo de software"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/11\/Riesgos-de-CICD-proteccion-de-sus-canales-de-desarrollo-de.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>\u00bfHas o\u00eddo hablar de Dependabot?  Si no, preg\u00fantele a cualquier desarrollador a su alrededor y probablemente se entusiasmar\u00e1 con c\u00f3mo ha revolucionado la tediosa tarea de verificar y actualizar dependencias obsoletas en proyectos de software. <\/p>\n<p>Dependabot no s\u00f3lo se encarga de las comprobaciones por usted, sino que tambi\u00e9n proporciona sugerencias de modificaciones que pueden aprobarse con un solo clic.  Aunque Dependabot se limita a proyectos alojados en GitHub, ha establecido un nuevo est\u00e1ndar para que los proveedores continuos ofrezcan capacidades similares.  Esta automatizaci\u00f3n de tareas &#8220;administrativas&#8221; se ha convertido en una norma, lo que permite a los desarrolladores integrar e implementar su trabajo m\u00e1s r\u00e1pido que nunca.  Los flujos de trabajo de implementaci\u00f3n e integraci\u00f3n continua se han convertido en la piedra angular de la ingenier\u00eda de software, impulsando el movimiento DevOps a la vanguardia de la industria.<\/p>\n<p>pero un <a rel=\"nofollow noopener\" href=\"https:\/\/checkmarx.com\/blog\/surprise-when-dependabot-contributes-malicious-code\/\" target=\"_blank\">aviso reciente<\/a> por la empresa de seguridad Checkmarx arroja luz sobre un incidente preocupante.  Recientemente, actores maliciosos han intentado explotar la confianza asociada con Dependabot haci\u00e9ndose pasar por la herramienta.  Al imitar las sugerencias hechas por Dependabot (en forma de solicitudes de extracci\u00f3n), estos actores intentaron enga\u00f1ar a los desarrolladores para que aceptaran cambios sin pensarlo dos veces.<\/p>\n<p>Si bien Dependabot ejemplifica los avances en la automatizaci\u00f3n de las tareas de mantenimiento de software, este incidente tambi\u00e9n subraya las complejidades y vulnerabilidades m\u00e1s amplias inherentes a las canalizaciones de CI\/CD.  Estos canales sirven como conductos vitales, vinculando el mundo externo de las herramientas y plataformas de desarrollo de software con los procesos internos de creaci\u00f3n e implementaci\u00f3n de software.  Comprender esta conexi\u00f3n es clave para abordar los desaf\u00edos de seguridad que enfrentamos.<\/p>\n<h2 style=\"text-align: left;\">Canalizaciones de CI\/CD: conectando el mundo exterior con el interior<\/h2>\n<p>Los flujos de trabajo de integraci\u00f3n continua (CI) e implementaci\u00f3n (CD) han revolucionado el proceso de desarrollo de software, brindando a los desarrolladores la capacidad de fusionar sin problemas su trabajo e implementarlo en el entorno de producci\u00f3n.  Estos flujos de trabajo garantizan que el c\u00f3digo se someta a an\u00e1lisis de seguridad automatizados, pruebas rigurosas y cumplimiento de los est\u00e1ndares de codificaci\u00f3n, lo que da como resultado un proceso de desarrollo m\u00e1s eficiente y confiable.  Se han convertido en un catalizador de la innovaci\u00f3n, permitiendo a los equipos centrarse en crear y mejorar sus productos con garant\u00eda de calidad y seguridad.<\/p>\n<p>Para ilustrar el concepto, imagina construir un rompecabezas.  CI act\u00faa como un inspector atento, verificando que cada nueva pieza del rompecabezas encaje correctamente antes de seguir adelante.  Por otro lado, CD va un paso m\u00e1s all\u00e1 al colocar autom\u00e1ticamente cada pieza verificada en el rompecabezas final, eliminando la necesidad de esperar a que se complete todo el rompecabezas.  Este proceso acelerado permite una entrega de funciones m\u00e1s r\u00e1pida y, en \u00faltima instancia, acelera el cronograma general de desarrollo del producto.<\/p>\n<p>Sin embargo, estos flujos de trabajo de CI\/CD tambi\u00e9n conectan el mundo exterior con el entorno de desarrollo interno, lo que genera riesgos potenciales.  Por ejemplo, considere un escenario en el que un desarrollador integra una biblioteca de terceros en su proyecto a trav\u00e9s de una canalizaci\u00f3n de CI\/CD.  Si el desarrollador no examina minuciosamente la biblioteca o si la canalizaci\u00f3n carece de controles de seguridad adecuados, se podr\u00eda incorporar c\u00f3digo malicioso al proyecto sin saberlo, comprometiendo su integridad.  En los \u00faltimos a\u00f1os ha habido un aumento de ataques como <a rel=\"nofollow noopener\" href=\"https:\/\/blog.gitguardian.com\/protecting-your-software-supply-chain-understanding-typosquatting-and-dependency-confusion-attacks\/\" target=\"_blank\">Errores tipogr\u00e1ficos y confusi\u00f3n de dependencia<\/a>cuyo objetivo es explotar la dependencia del software de c\u00f3digo abierto para obtener ganancias financieras.<\/p>\n<p>El aumento de los flujos de trabajo de integraciones automatizadas ha cambiado la econom\u00eda para los atacantes al reducir el costo y aumentar las ganancias potenciales de un ataque.  Los atacantes pueden apuntar a repositorios centrales de paquetes populares como PyPi, que aloja miles de paquetes y ofrece millones de descargas diariamente.  La enorme escala de las operaciones hace que sea econ\u00f3micamente viable para los atacantes probar suerte, incluso con una peque\u00f1a posibilidad de \u00e9xito. <\/p>\n<p>Otro ejemplo es el uso de API externas dentro de las canalizaciones de CI\/CD.  Los desarrolladores a menudo necesitan proporcionar credenciales v\u00e1lidas para estas API para permitir la implementaci\u00f3n automatizada o la integraci\u00f3n con servicios externos.  Sin embargo, si estas credenciales no se administran de forma segura o si se exponen inadvertidamente en registros o artefactos, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.gitguardian.com\/codecov-supply-chain-breach\/\" target=\"_blank\">pueden ser explotados por atacantes<\/a> para obtener acceso no autorizado a recursos confidenciales o manipular el comportamiento de la tuber\u00eda.<\/p>\n<p>Las infracciones de CI\/CD con frecuencia surgen de una vulneraci\u00f3n inicial de secretos o de que los desarrolladores se convierten en objetivos de ataques espec\u00edficos.  Sin embargo, en lugar de culpar a los desarrolladores por estas infracciones, es fundamental reconocer que el problema radica en la falta inherente de seguridad en estas tuber\u00edas.  Esto pone de relieve un problema mayor: las canalizaciones de CI\/CD est\u00e1n lejos de ser seguras de forma predeterminada.<\/p>\n<h2 style=\"text-align: left;\">El problema: las canalizaciones de CI\/CD est\u00e1n lejos de ser seguras por defecto<\/h2>\n<p>Aunque la idea de implementar flujos de trabajo seguros por dise\u00f1o se est\u00e1 volviendo m\u00e1s popular, las plataformas CI\/CD todav\u00eda tienen un camino importante por recorrer.  Plataformas como GitHub Actions, GitLab CI\/CD y CircleCI, que inicialmente se dise\u00f1aron teniendo en cuenta la flexibilidad, a menudo priorizan la facilidad de uso sobre medidas de seguridad s\u00f3lidas.  Como resultado, faltan salvaguardias predeterminadas para evitar que surjan problemas potenciales. <\/p>\n<p>Un ejemplo evidente de esto es lo f\u00e1cil que es para un desarrollador exponer informaci\u00f3n confidencial como secretos.  Los desarrolladores suelen inyectar secretos en tiempo de ejecuci\u00f3n y para ello conf\u00edan en la capacidad de almacenar secretos en el propio proveedor de CI.  Si bien esta pr\u00e1ctica no es un problema en s\u00ed misma, plantea al menos dos preocupaciones de seguridad: primero, el proveedor de CI que aloja los secretos se convierte en una b\u00f3veda de informaci\u00f3n confidencial y un objetivo atractivo para los atacantes.  A principios de 2023, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.gitguardian.com\/how-to-secure-your-ci-cd-pipeline\/\" target=\"_blank\">CircleCI sufri\u00f3 una violaci\u00f3n de sus sistemas que <\/a>oblig\u00f3 a los usuarios a rotar &#8220;todos y cada uno&#8221; de sus secretos luego de una violaci\u00f3n de los sistemas de la empresa. <\/p>\n<p>En segundo lugar, los secretos a menudo pueden filtrarse y pasar desapercibidos a trav\u00e9s de los propios canales de CI\/CD.  Por ejemplo, si un secreto se concatena con otra cadena (por ejemplo, una URL) y luego se registra, el mecanismo de redacci\u00f3n de CI no funcionar\u00e1.  Lo mismo ocurre con los secretos codificados.  La consecuencia es que los registros de CI a menudo exponen secretos de texto sin formato.  Del mismo modo, es <a rel=\"nofollow noopener\" href=\"https:\/\/blog.gitguardian.com\/hunting-for-secrets-in-docker-hub\/\" target=\"_blank\">no es nada raro<\/a> para encontrar secretos codificados en artefactos de software, siendo el resultado de un flujo de trabajo de integraci\u00f3n continua mal configurado. <\/p>\n<p>Los proveedores de CI\/CD ya han tomado medidas para mejorar la seguridad, como las comprobaciones de seguridad de GitHub Dependabot.  Pero la mayor\u00eda de las veces, los valores predeterminados permisivos y los modelos de permisos complejos siguen siendo la regla.  Para proteger las canalizaciones de CI\/CD y evitar que el c\u00f3digo se vea comprometido, los desarrolladores deben tomar medidas adicionales para reforzar sus canalizaciones contra ataques.  Un aspecto crucial es garantizar la protecci\u00f3n de las credenciales de los desarrolladores.  Otra es adoptar un enfoque proactivo de la seguridad con activadores de alertas.<\/p>\n<h2 style=\"text-align: left;\">Protecci\u00f3n de CI\/CD y la cadena de suministro de software<\/h2>\n<p>Para proteger eficazmente las canalizaciones de CI\/CD, es fundamental considerarlas como entornos de alta prioridad potencialmente conectados externamente.  La clave es una combinaci\u00f3n de mejores pr\u00e1cticas:<\/p>\n<ul>\n<li><strong>Restringir el acceso y minimizar los privilegios<\/strong>: Otorga acceso seg\u00fan la necesidad, no la conveniencia.  El acceso amplio a todos los miembros del equipo de DevOps aumenta el riesgo de que una cuenta comprometida proporcione a los atacantes un amplio acceso al sistema.  Limite el acceso a controles, configuraciones o datos confidenciales cr\u00edticos.<\/li>\n<\/ul>\n<ul>\n<li><strong>Aplicar la autenticaci\u00f3n multifactor (MFA)<\/strong>: Lo m\u00e1s importante es utilizar siempre la autenticaci\u00f3n multifactor (MFA) para iniciar sesi\u00f3n en la plataforma CI\/CD.  MFA agrega una capa esencial de seguridad, lo que hace que sea mucho m\u00e1s dif\u00edcil para los usuarios no autorizados obtener acceso incluso si tienen credenciales comprometidas.<\/li>\n<\/ul>\n<ul>\n<li><strong>Utilice OpenID Connect (OIDC)<\/strong>: Emplee OIDC para conectar de forma segura cargas de trabajo a sistemas externos, como para la implementaci\u00f3n.  Este protocolo proporciona un marco s\u00f3lido para la autenticaci\u00f3n y la verificaci\u00f3n de identidad entre dominios, lo cual es fundamental en un entorno distribuido e interconectado.<\/li>\n<\/ul>\n<ul>\n<li><strong>Utilice dependencias de software revisadas previamente<\/strong>: Es importante proporcionar a los desarrolladores dependencias de software seguras y revisadas previamente.  Esta pr\u00e1ctica salvaguarda la integridad de la cadena de suministro y evita que los desarrolladores tengan que verificar el c\u00f3digo de cada paquete.  Esto garantiza la integridad de la cadena de suministro, liberando a los desarrolladores de la carga de verificar individualmente el c\u00f3digo de cada paquete.<\/li>\n<\/ul>\n<ul>\n<li><strong>Secretos seguros en tiempo de ejecuci\u00f3n<\/strong>: Almacenar de forma segura secretos como claves API y credenciales en la plataforma CI\/CD requiere medidas de seguridad s\u00f3lidas, como MFA obligatorio y controles de acceso basados \u200b\u200ben roles (RBAC).  Sin embargo, estos no son infalibles. <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/files\/the-state-of-secrets-sprawl-report-2023\" target=\"_blank\">Los secretos se filtran por naturaleza.<\/a>y se necesitan capas adicionales de seguridad, como una rigurosa higiene de credenciales y un monitoreo atento de las amenazas internas y externas, para una protecci\u00f3n integral.<\/li>\n<\/ul>\n<ul>\n<li><strong>Implementar sistemas de defensa avanzados<\/strong>: Incorpore sistemas de alerta a su marco de seguridad.  Si bien los honeypots son efectivos pero dif\u00edciles de escalar, <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/honeytoken\" target=\"_blank\">fichas de miel<\/a> ofrecer una alternativa escalable y f\u00e1cil de implementar.  Estos tokens, que requieren una configuraci\u00f3n m\u00ednima, pueden mejorar significativamente la seguridad para empresas de todos los tama\u00f1os en diversas plataformas, como sistemas SCM, canales de CI\/CD y registros de artefactos de software.<\/li>\n<\/ul>\n<ul>\n<li><strong>Aproveche las soluciones a escala empresarial<\/strong>: Soluciones como la <a rel=\"nofollow noopener\" href=\"https:\/\/www.gitguardian.com\/\" target=\"_blank\">Plataforma GitGuardian<\/a> Ofrece un panel \u00fanico para monitorear incidentes como secretos filtrados, configuraciones incorrectas de infraestructura como c\u00f3digo y activadores de tokens de miel, lo que permite a las organizaciones detectar, remediar y prevenir incidentes de CI\/CD a gran escala.  Esto mitiga significativamente el impacto de posibles violaciones de datos.<\/li>\n<\/ul>\n<p>Al combinar estas estrategias, las organizaciones pueden salvaguardar integralmente sus canales de CI\/CD y su cadena de suministro de software, adapt\u00e1ndose a las amenazas en evoluci\u00f3n y manteniendo protocolos de seguridad s\u00f3lidos.  Comience a proteger sus tuber\u00edas hoy con el <a rel=\"nofollow noopener\" href=\"https:\/\/dashboard.gitguardian.com\/auth\/signup?utm_source=thn\" target=\"_blank\">Plataforma GitGuardian<\/a>.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/11\/cicd-risks-protecting-your-software.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\u00bfHas o\u00eddo hablar de Dependabot? Si no, preg\u00fantele a cualquier desarrollador a su alrededor y probablemente se entusiasmar\u00e1<\/p>\n","protected":false},"author":1,"featured_media":1046015,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,3374,215735,4664,857,4662,4668,201033,4654,201031,4659,4653,4655,7110,8404,4666,4665,6246,201032,251,4660],"class_list":["post-1046014","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-canales","tag-cicd","tag-como-hackear","tag-desarrollo","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-proteccion","tag-riesgos","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software","tag-software-malicioso-ransomware","tag-sus","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1046014","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1046014"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1046014\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1046015"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1046014"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1046014"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1046014"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}