{"id":26395,"date":"2024-03-18T12:58:38","date_gmt":"2024-03-18T11:58:38","guid":{"rendered":"https:\/\/www.codemotion.com\/magazine\/?p=26395"},"modified":"2024-03-19T14:55:44","modified_gmt":"2024-03-19T13:55:44","slug":"seguridad-y-auditorias-en-entornos-ci-cd","status":"publish","type":"post","link":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/","title":{"rendered":"Seguridad y auditor\u00edas en entornos CI\/CD"},"content":{"rendered":"\n<p>En los \u00faltimos a\u00f1os, los entornos de integraci\u00f3n continua (CI) y despliegue continuo (CD) han surgido como elementos clave en el desarrollo de software que buscan mejorar la calidad del c\u00f3digo, acelerar la entrega y garantizar una implementaci\u00f3n m\u00e1s eficiente de nuevas caracter\u00edsticas. No obstante, estos entornos no est\u00e1n exentos de riesgos de seguridad que son convenientes de analizar.<\/p>\n\n\n\n<p class=\"has-larger-font-size\"><strong>Introducci\u00f3n al OWASP CI\/CD Top 10<\/strong><\/p>\n\n\n\n<p>La seguridad en entornos CI\/CD es crucial para garantizar la protecci\u00f3n de los activos de software y la informaci\u00f3n sensible. En este art\u00edculo se abordan aspectos clave relacionados con la seguridad y auditor\u00edas en este contexto. Para ello, tenemos disponible la gu\u00eda <strong>OWASP CI\/CD Top 10 [1, 2],<\/strong> que incluye una lista de los 10 vectores de ataque m\u00e1s comunes en estos entornos. A continuaci\u00f3n, se presenta un resumen de las principales categor\u00edas de riesgo que pueden ser identificadas:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>CICD-SEC-1: Insufficient Flow Control Mechanisms <\/strong>hace referencia a la falta de mecanismos adecuados de control de flujo en el entorno CI\/CD, lo que podr\u00eda implicar una falta de control sobre c\u00f3mo fluye y se gestiona el proceso de desarrollo y despliegue.Para abordar este riesgo, ser\u00eda recomendable implementar mecanismos de control de flujo m\u00e1s robustos en el proceso de CI\/CD.<\/li>\n\n\n\n<li><strong>CICD-SEC-2: Inadequate Identity and Access Management <\/strong>se refiere a la falta de control suficiente sobre qui\u00e9n puede acceder y realizar acciones dentro del entorno de CI\/CD. Esto presenta un riesgo significativo para la seguridad, ya que puede permitir el acceso no autorizado, la filtraci\u00f3n de datos y la manipulaci\u00f3n del pipeline.<\/li>\n\n\n\n<li><strong>CICD-SEC-3: Dependency Chain Abuse<\/strong> se refiere a la explotaci\u00f3n de vulnerabilidades en las dependencias de software utilizadas en el proceso de CI\/CD. Esto puede permitir a los atacantes introducir c\u00f3digo malicioso en el pipeline de desarrollo, lo que puede tener graves consecuencias para la seguridad.<\/li>\n\n\n\n<li><strong>CICD-SEC-4: Poisoned Pipeline Execution (PPE) <\/strong>se refiere a la habilidad de un atacante con acceso a un sistema de control de versiones (SCM) de manipular el proceso de desarrollo de software inyectando c\u00f3digo malicioso en la configuraci\u00f3n del pipeline de CI\/CD, sin necesidad de acceso directo al entorno de CI\/CD. En esencia, lo que hace es &#8220;envenenar&#8221; el pipeline para ejecutar comandos maliciosos como parte del proceso de construcci\u00f3n.<\/li>\n\n\n\n<li><strong>CICD-SEC-5: Insufficient Pipeline-Based Access Controls (PBAC)<\/strong> se refiere a la falta de controles de acceso adecuados aplicados a los pipelines de CI\/CD. Esto significa que no se restringen suficientemente los permisos de cada etapa del pipeline, exponiendo la infraestructura y los datos a riesgos de abuso malicioso.<\/li>\n\n\n\n<li><strong>CICD-SEC-6: Insufficient Credential Hygiene<\/strong> se refiere a la gesti\u00f3n y protecci\u00f3n inadecuadas de las credenciales utilizadas en el pipeline de CI\/CD. Esto significa dejar las credenciales vulnerables a robos, filtraciones y uso indebido, lo que puede dar a los atacantes acceso no autorizado a sistemas, datos y recursos cr\u00edticos.<\/li>\n\n\n\n<li><strong>CICD-SEC-7: Insecure System Configuration<\/strong> se refiere a la configuraci\u00f3n incorrecta o insegura de los diferentes sistemas que conforman el pipeline de CI\/CD. Esto abarca desde el control de versiones (SCM) hasta las herramientas de integraci\u00f3n y los repositorios de artefactos. Las configuraciones inadecuadas pueden crear vulnerabilidades que los atacantes pueden explotar para acceder a informaci\u00f3n sensible, manipular el pipeline o interrumpir el proceso de desarrollo.<\/li>\n\n\n\n<li><strong>CICD-SEC-8: Ungoverned Usage of 3rd Party Services<\/strong> hace referencia a la integraci\u00f3n de servicios externos en el pipeline de CI\/CD sin suficiente control y supervisi\u00f3n. Esto puede presentar un riesgo significativo para la seguridad de la cadena de suministro de software, ya que abre puertas a potenciales ataques o vulnerabilidades.<\/li>\n\n\n\n<li><strong>CICD-SEC-9: Improper Artifact Integrity Validation<\/strong> se refiere a la falta de mecanismos adecuados para verificar que los artefactos utilizados en el pipeline de CI\/CD no hayan sido alterados o manipulados durante su ciclo de vida. Esta falta de mecanismos podr\u00eda crear una brecha de seguridad donde un atacante podr\u00eda introducir c\u00f3digo malicioso en un artefacto, lo que podr\u00eda tener consecuencias graves para la seguridad del software final.<\/li>\n\n\n\n<li><strong>CICD-SEC-10: Insufficient Logging and Visibility<\/strong> se refiere a la incapacidad de rastrear y monitorear de forma adecuada las actividades dentro del pipeline de CI\/CD, lo que podr\u00eda dificultar la detecci\u00f3n de actividades maliciosas, la identificaci\u00f3n de potenciales vulnerabilidades y la investigaci\u00f3n de incidentes de ciberseguridad.<\/li>\n<\/ul>\n\n\n\n<p class=\"has-larger-font-size\"><strong>Seguridad en entornos CI\/CD<\/strong><\/p>\n\n\n\n<p>La seguridad en entornos CI\/CD es fundamental para proteger el software durante su desarrollo y despliegue. Implementar pr\u00e1cticas de seguridad s\u00f3lidas en el pipeline de CI\/CD permite:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Reducir el riesgo de ataques:<\/strong> Minimizar las vulnerabilidades y dificultar la explotaci\u00f3n por parte de los atacantes.<\/li>\n\n\n\n<li><strong>Detectar y responder a incidentes:<\/strong> Identificar r\u00e1pidamente las actividades maliciosas y tomar medidas para mitigar su impacto.<\/li>\n\n\n\n<li><strong>Garantizar la integridad del software:<\/strong> Asegurar que el software que se entrega a producci\u00f3n es aut\u00e9ntico y no ha sido manipulado.<\/li>\n\n\n\n<li><strong>Mejorar el cumplimiento normativo:<\/strong> Cumplir con las regulaciones que exigen seguridad en el desarrollo de software.<\/li>\n<\/ul>\n\n\n\n<p>Las principales \u00e1reas de enfoque para la seguridad en entornos CI\/CD incluyen:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Control de acceso:<\/strong> Restringir el acceso a los recursos del pipeline solo a los usuarios y roles que lo necesitan.<\/li>\n\n\n\n<li><strong>Seguridad de las dependencias: <\/strong>Asegurar que las dependencias utilizadas en el software sean confiables y seguras va a ser un punto fundamental para la seguridad en estos entornos. Por ejemplo, los atacantes pueden aprovechar las vulnerabilidades en las dependencias para introducir c\u00f3digo malicioso en el pipeline de CI\/CD. Esto se puede hacer de varias maneras, como por ejemplo:\n<ul class=\"wp-block-list\">\n<li><strong>Inyectando c\u00f3digo malicioso en una dependencia<\/strong>: Los atacantes pueden modificar una dependencia leg\u00edtima para incluir c\u00f3digo malicioso. Cuando la dependencia se incluye en el proyecto, el c\u00f3digo malicioso se ejecutar\u00e1 como parte del proceso de CI\/CD.<\/li>\n\n\n\n<li><strong>Publicando una dependencia maliciosa:<\/strong> Los atacantes pueden publicar una dependencia falsa que parece ser leg\u00edtima, pero que en realidad contiene c\u00f3digo malicioso. Cuando los desarrolladores instalan esta dependencia en su proyecto, el c\u00f3digo malicioso se ejecutar\u00e1.<\/li>\n\n\n\n<li><strong>Aprovechando las dependencias obsoletas:<\/strong> Las dependencias obsoletas pueden tener vulnerabilidades conocidas que los atacantes pueden explotar. Si un proyecto utiliza una dependencia obsoleta, el atacante puede aprovechar la vulnerabilidad para obtener acceso al sistema.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Gesti\u00f3n de secretos<\/strong>: Almacenar y proteger de forma segura las claves, credenciales y tokens utilizados en el pipeline. Las consecuencias de una <strong>exfiltraci\u00f3n&nbsp;de credenciales<\/strong> suelen ser bastante graves:\n<ul class=\"wp-block-list\">\n<li><strong>Compromiso del pipeline:<\/strong> Un atacante con una sola credencial robada podr\u00eda obtener acceso a todo el pipeline, con capacidad para manipular c\u00f3digo, desplegar malware o robar datos confidenciales.<\/li>\n\n\n\n<li><strong>Filtraci\u00f3n de datos:<\/strong> Credenciales robadas pueden dar acceso a bases de datos, secretos o informaci\u00f3n sensible de la organizaci\u00f3n.<\/li>\n\n\n\n<li><strong>Interrupci\u00f3n del servicio: <\/strong>Atacantes pueden interrumpir el pipeline, afectando la entrega de software o incluso bloqueando por completo el desarrollo.<\/li>\n\n\n\n<li><strong>Da\u00f1o reputacional:<\/strong> Las filtraciones de datos y los ataques cibern\u00e9ticos pueden da\u00f1ar la reputaci\u00f3n de la organizaci\u00f3n e impactar la confianza de clientes y socios.<\/li>\n<\/ul>\n<\/li>\n\n\n\n<li><strong>Pruebas de seguridad y validaci\u00f3n de c\u00f3digo:<\/strong> Es fundamental integrar pruebas de seguridad automatizadas en el pipeline para identificar vulnerabilidades. Para ello se suelen implementar t\u00e9cnicas de an\u00e1lisis de c\u00f3digo est\u00e1tico y din\u00e1mico para detectar vulnerabilidades y errores de seguridad.<\/li>\n\n\n\n<li><strong>Implementaci\u00f3n segura:<\/strong> Es necesario implementar pr\u00e1cticas de seguridad en la infraestructura y configuraci\u00f3n del entorno de producci\u00f3n. Las consecuencias de una implementaci\u00f3n insegura podr\u00edan ser:\n<ul class=\"wp-block-list\">\n<li><strong>Filtraci\u00f3n de datos<\/strong>: Un atacante con acceso a un sistema vulnerable podr\u00eda robar c\u00f3digo fuente, credenciales o secretos.<\/li>\n\n\n\n<li><strong>Manipulaci\u00f3n del pipeline:<\/strong> Un atacante podr\u00eda modificar el c\u00f3digo, la configuraci\u00f3n o los artefactos del pipeline para introducir vulnerabilidades o malware.<\/li>\n\n\n\n<li><strong>Interrupci\u00f3n del servicio:<\/strong> Un ataque a un sistema cr\u00edtico podr\u00eda interrumpir el pipeline, causando retrasos o impidiendo la entrega de software.<\/li>\n\n\n\n<li><strong>Acceso no autorizado<\/strong>: Un atacante podr\u00eda obtener acceso a la infraestructura de la organizaci\u00f3n a trav\u00e9s de un sistema vulnerable.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n\n\n\n<p>Como hemos analizado, la seguridad en entornos CI\/CD requiere de un esfuerzo continuo que implica la combinaci\u00f3n de pr\u00e1cticas, tecnolog\u00edas y cultura organizativa. La incorporaci\u00f3n de medidas de seguridad desde el dise\u00f1o inicial y a lo largo de todo el ciclo de vida del desarrollo de software es esencial para mitigar riesgos y fortalecer la seguridad de este tipo de entornos.<\/p>\n\n\n\n<p class=\"has-larger-font-size\"><strong>Auditor\u00edas de seguridad en entornos CI\/CD<\/strong><\/p>\n\n\n\n<p>La realizaci\u00f3n de auditor\u00edas de seguridad en entornos CI\/CD es esencial para evaluar y mejorar continuamente la postura de seguridad de los procesos de desarrollo y despliegue continuo. A continuaci\u00f3n, se presentan algunas consideraciones para llevar a cabo auditor\u00edas de seguridad efectivas en entornos CI\/CD:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><strong>Definir el alcance de la auditor\u00eda:<\/strong> En este punto es importante identificar los componentes espec\u00edficos del entorno CI\/CD que estar\u00e1n sujetos a la auditor\u00eda. Podr\u00edamos incluir aspectos como el c\u00f3digo fuente, la configuraci\u00f3n de CI\/CD, las dependencias, los scripts de implementaci\u00f3n, la gesti\u00f3n de secretos, y la infraestructura asociada.<\/li>\n\n\n\n<li><strong>Revisi\u00f3n de pol\u00edticas y procedimientos:<\/strong> Consiste en evaluar la existencia y eficacia de las pol\u00edticas y procedimientos de seguridad en el entorno CI\/CD, adem\u00e1s de verificar que las pol\u00edticas aborden aspectos como control de acceso, gesti\u00f3n de identidad, gesti\u00f3n de dependencias y escaneo de seguridad.<\/li>\n\n\n\n<li><strong>An\u00e1lisis de la configuraci\u00f3n:<\/strong> Consiste en revisar la configuraci\u00f3n de las herramientas CI\/CD para asegurar que est\u00e9n alineadas con las mejores pr\u00e1cticas de seguridad.<\/li>\n\n\n\n<li><strong>Gesti\u00f3n de identidad y acceso:<\/strong> En este punto es importante evaluar c\u00f3mo se manejan las identidades y los accesos en el entorno CI\/CD. Es fundamental revisar pol\u00edticas de autenticaci\u00f3n, autorizaci\u00f3n y el manejo de roles y permisos.<\/li>\n\n\n\n<li><strong>Gesti\u00f3n de dependencias:<\/strong> Consiste en revisar c\u00f3mo se manejan y actualizan las dependencias del proyecto. Podr\u00edamos por ejemplo escanear las dependencias en busca de vulnerabilidades conocidas.<\/li>\n\n\n\n<li><strong>Pruebas de seguridad automatizadas:<\/strong> Podr\u00edamos incorporar pruebas de seguridad automatizadas como parte de la auditor\u00eda. Por ejemplo, escanear el c\u00f3digo fuente, las configuraciones y las dependencias en busca de posibles vulnerabilidades.<\/li>\n\n\n\n<li><strong>Realizar un informe de auditor\u00eda<\/strong>: Consiste en documentar los hallazgos, recomendaciones y acciones correctivas necesarias. Este informe podr\u00eda servir como referencia para mejoras futuras.<\/li>\n<\/ul>\n\n\n\n<p><strong>Referencias:<\/strong><\/p>\n\n\n\n<p>[1] <strong><a aria-label=\"https:\/\/owasp.org\/www-project-top-10-ci-cd-security-ris (opens in a new tab)\" href=\"https:\/\/owasp.org\/www-project-top-10-ci-cd-security-risks\" target=\"_blank\" rel=\"noreferrer noopener\" class=\"ek-link\">https:\/\/owasp.org\/www-project-top-10-ci-cd-security-ris<\/a><a href=\"https:\/\/owasp.org\/www-project-top-10-ci-cd-security-risks\" class=\"ek-link\">ks<\/a><\/strong><\/p>\n\n\n\n<p>[2]<strong> <\/strong><a href=\"https:\/\/www.cidersecurity.io\/wp-content\/uploads\/2022\/06\/Top-10-CICD-Security-Risks-.pdf\" target=\"_blank\" aria-label=\" (opens in a new tab)\" rel=\"noreferrer noopener\" class=\"ek-link\"><strong>https:\/\/www.cidersecurity.io\/wp-content\/uploads\/2022\/06\/Top-10-CICD-Security-Risks-.pdf<\/strong><\/a><\/p>\n\n\n\n<script src=\"https:\/\/codemotion.activehosted.com\/f\/embed.php?id=44\" type=\"text\/javascript\" charset=\"utf-8\"><\/script>\n\n\n\n<p>\u00a1\u00danete a nuestra comunidad! Descubre m\u00e1s en este <a aria-label=\"enlace  (opens in a new tab)\" href=\"https:\/\/stateoftechcommunities.codemotion.it\/\" target=\"_blank\" rel=\"noreferrer noopener\" class=\"ek-link\">enlace <\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>En los \u00faltimos a\u00f1os, los entornos de integraci\u00f3n continua (CI) y despliegue continuo (CD) han surgido como elementos clave en el desarrollo de software que buscan mejorar la calidad del c\u00f3digo, acelerar la entrega y garantizar una implementaci\u00f3n m\u00e1s eficiente de nuevas caracter\u00edsticas. No obstante, estos entornos no est\u00e1n exentos de riesgos de seguridad que&#8230; <a class=\"more-link\" href=\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/\">Read more<\/a><\/p>\n","protected":false},"author":199,"featured_media":26537,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_editorskit_title_hidden":false,"_editorskit_reading_time":0,"_editorskit_is_block_options_detached":false,"_editorskit_block_options_position":"{}","_uag_custom_page_level_css":"","_genesis_hide_title":false,"_genesis_hide_breadcrumbs":false,"_genesis_hide_singular_image":false,"_genesis_hide_footer_widgets":false,"_genesis_custom_body_class":"","_genesis_custom_post_class":"","_genesis_layout":"","footnotes":""},"categories":[10614,10626],"tags":[10711],"collections":[],"class_list":{"0":"post-26395","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-ciberseguridad","8":"category-devops-es","9":"tag-ciberseguridad","10":"entry"},"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v26.9 (Yoast SEO v26.9) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Seguridad y auditor\u00edas en entornos CI\/CD - Codemotion Magazine<\/title>\n<meta name=\"description\" content=\"La seguridad en entornos CI\/CD requiere de un esfuerzo continuo que implica la combinaci\u00f3n de pr\u00e1cticas, tecnolog\u00edas y cultura organizativa.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/\" \/>\n<meta property=\"og:locale\" content=\"en_US\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Seguridad y auditor\u00edas en entornos CI\/CD\" \/>\n<meta property=\"og:description\" content=\"La seguridad en entornos CI\/CD requiere de un esfuerzo continuo que implica la combinaci\u00f3n de pr\u00e1cticas, tecnolog\u00edas y cultura organizativa.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/\" \/>\n<meta property=\"og:site_name\" content=\"Codemotion Magazine\" \/>\n<meta property=\"article:publisher\" content=\"https:\/\/www.facebook.com\/Codemotion.Italy\/\" \/>\n<meta property=\"article:published_time\" content=\"2024-03-18T11:58:38+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2024-03-19T13:55:44+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-scaled.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"2560\" \/>\n\t<meta property=\"og:image:height\" content=\"1706\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Jose Manuel Ortega\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<meta name=\"twitter:creator\" content=\"@jmortegac\" \/>\n<meta name=\"twitter:site\" content=\"@CodemotionIT\" \/>\n<meta name=\"twitter:label1\" content=\"Written by\" \/>\n\t<meta name=\"twitter:data1\" content=\"Jose Manuel Ortega\" \/>\n\t<meta name=\"twitter:label2\" content=\"Est. reading time\" \/>\n\t<meta name=\"twitter:data2\" content=\"8 minutes\" \/>\n<script type=\"application\/ld+json\" class=\"yoast-schema-graph\">{\"@context\":\"https:\/\/schema.org\",\"@graph\":[{\"@type\":\"Article\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#article\",\"isPartOf\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/\"},\"author\":{\"name\":\"Jose Manuel Ortega\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/6b4195d4196bc3d3e8a56c1215470b6d\"},\"headline\":\"Seguridad y auditor\u00edas en entornos CI\/CD\",\"datePublished\":\"2024-03-18T11:58:38+00:00\",\"dateModified\":\"2024-03-19T13:55:44+00:00\",\"mainEntityOfPage\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/\"},\"wordCount\":1805,\"publisher\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#organization\"},\"image\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-scaled.jpg\",\"keywords\":[\"Ciberseguridad\"],\"articleSection\":[\"Ciberseguridad\",\"DevOps\"],\"inLanguage\":\"en-US\"},{\"@type\":\"WebPage\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/\",\"name\":\"Seguridad y auditor\u00edas en entornos CI\/CD - Codemotion Magazine\",\"isPartOf\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#website\"},\"primaryImageOfPage\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#primaryimage\"},\"image\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#primaryimage\"},\"thumbnailUrl\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-scaled.jpg\",\"datePublished\":\"2024-03-18T11:58:38+00:00\",\"dateModified\":\"2024-03-19T13:55:44+00:00\",\"description\":\"La seguridad en entornos CI\/CD requiere de un esfuerzo continuo que implica la combinaci\u00f3n de pr\u00e1cticas, tecnolog\u00edas y cultura organizativa.\",\"breadcrumb\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#breadcrumb\"},\"inLanguage\":\"en-US\",\"potentialAction\":[{\"@type\":\"ReadAction\",\"target\":[\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/\"]}]},{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#primaryimage\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-scaled.jpg\",\"contentUrl\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-scaled.jpg\",\"width\":2560,\"height\":1706,\"caption\":\"A man before laptop with shield and lock on the screen. Anti virus software, anti-malware, spyware, trojan, adware as internet security concept. Violet palette. Vector illustration on background\"},{\"@type\":\"BreadcrumbList\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#breadcrumb\",\"itemListElement\":[{\"@type\":\"ListItem\",\"position\":1,\"name\":\"Home\",\"item\":\"https:\/\/www.codemotion.com\/magazine\/\"},{\"@type\":\"ListItem\",\"position\":2,\"name\":\"Ciberseguridad\",\"item\":\"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/\"},{\"@type\":\"ListItem\",\"position\":3,\"name\":\"Seguridad y auditor\u00edas en entornos CI\/CD\"}]},{\"@type\":\"WebSite\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#website\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/\",\"name\":\"Codemotion Magazine\",\"description\":\"We code the future. Together\",\"publisher\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#organization\"},\"potentialAction\":[{\"@type\":\"SearchAction\",\"target\":{\"@type\":\"EntryPoint\",\"urlTemplate\":\"https:\/\/www.codemotion.com\/magazine\/?s={search_term_string}\"},\"query-input\":{\"@type\":\"PropertyValueSpecification\",\"valueRequired\":true,\"valueName\":\"search_term_string\"}}],\"inLanguage\":\"en-US\"},{\"@type\":\"Organization\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#organization\",\"name\":\"Codemotion\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/\",\"logo\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#\/schema\/logo\/image\/\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2019\/11\/codemotionlogo.png\",\"contentUrl\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2019\/11\/codemotionlogo.png\",\"width\":225,\"height\":225,\"caption\":\"Codemotion\"},\"image\":{\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#\/schema\/logo\/image\/\"},\"sameAs\":[\"https:\/\/www.facebook.com\/Codemotion.Italy\/\",\"https:\/\/x.com\/CodemotionIT\"]},{\"@type\":\"Person\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/6b4195d4196bc3d3e8a56c1215470b6d\",\"name\":\"Jose Manuel Ortega\",\"image\":{\"@type\":\"ImageObject\",\"inLanguage\":\"en-US\",\"@id\":\"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/image\/\",\"url\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2023\/10\/python_jose_manuel_ortega-150x150.png\",\"contentUrl\":\"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2023\/10\/python_jose_manuel_ortega-150x150.png\",\"caption\":\"Jose Manuel Ortega\"},\"description\":\"Jos\u00e9 Manuel Ortega is a software engineer and cybersecurity researcher with interest in new technologies, open source, security and testing. In recent years he has shown interest in innovation projects using Big Data technologies using programming languages such as Python. He is currently working as a software engineer in research projects related to Big Data, Cybersecurity and Blockchain. He has taught at university level and collaborated with the official college of computer engineers. He has also been a speaker at several conferences oriented to developers at national and international level. More information about his lectures and other published works can be found on his personal website https:\/\/josemanuelortegablog.com.\",\"sameAs\":[\"http:\/\/josemanuelortegablog.com\",\"https:\/\/www.linkedin.com\/in\/jmortega1\/\",\"https:\/\/x.com\/jmortegac\",\"https:\/\/www.youtube.com\/@JoseManuelOrtegadev\"],\"url\":\"https:\/\/www.codemotion.com\/magazine\/author\/josemanuel\/\"}]}<\/script>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Seguridad y auditor\u00edas en entornos CI\/CD - Codemotion Magazine","description":"La seguridad en entornos CI\/CD requiere de un esfuerzo continuo que implica la combinaci\u00f3n de pr\u00e1cticas, tecnolog\u00edas y cultura organizativa.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/","og_locale":"en_US","og_type":"article","og_title":"Seguridad y auditor\u00edas en entornos CI\/CD","og_description":"La seguridad en entornos CI\/CD requiere de un esfuerzo continuo que implica la combinaci\u00f3n de pr\u00e1cticas, tecnolog\u00edas y cultura organizativa.","og_url":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/","og_site_name":"Codemotion Magazine","article_publisher":"https:\/\/www.facebook.com\/Codemotion.Italy\/","article_published_time":"2024-03-18T11:58:38+00:00","article_modified_time":"2024-03-19T13:55:44+00:00","og_image":[{"width":2560,"height":1706,"url":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-scaled.jpg","type":"image\/jpeg"}],"author":"Jose Manuel Ortega","twitter_card":"summary_large_image","twitter_creator":"@jmortegac","twitter_site":"@CodemotionIT","twitter_misc":{"Written by":"Jose Manuel Ortega","Est. reading time":"8 minutes"},"schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#article","isPartOf":{"@id":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/"},"author":{"name":"Jose Manuel Ortega","@id":"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/6b4195d4196bc3d3e8a56c1215470b6d"},"headline":"Seguridad y auditor\u00edas en entornos CI\/CD","datePublished":"2024-03-18T11:58:38+00:00","dateModified":"2024-03-19T13:55:44+00:00","mainEntityOfPage":{"@id":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/"},"wordCount":1805,"publisher":{"@id":"https:\/\/www.codemotion.com\/magazine\/#organization"},"image":{"@id":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#primaryimage"},"thumbnailUrl":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-scaled.jpg","keywords":["Ciberseguridad"],"articleSection":["Ciberseguridad","DevOps"],"inLanguage":"en-US"},{"@type":"WebPage","@id":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/","url":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/","name":"Seguridad y auditor\u00edas en entornos CI\/CD - Codemotion Magazine","isPartOf":{"@id":"https:\/\/www.codemotion.com\/magazine\/#website"},"primaryImageOfPage":{"@id":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#primaryimage"},"image":{"@id":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#primaryimage"},"thumbnailUrl":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-scaled.jpg","datePublished":"2024-03-18T11:58:38+00:00","dateModified":"2024-03-19T13:55:44+00:00","description":"La seguridad en entornos CI\/CD requiere de un esfuerzo continuo que implica la combinaci\u00f3n de pr\u00e1cticas, tecnolog\u00edas y cultura organizativa.","breadcrumb":{"@id":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#breadcrumb"},"inLanguage":"en-US","potentialAction":[{"@type":"ReadAction","target":["https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/"]}]},{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#primaryimage","url":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-scaled.jpg","contentUrl":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-scaled.jpg","width":2560,"height":1706,"caption":"A man before laptop with shield and lock on the screen. Anti virus software, anti-malware, spyware, trojan, adware as internet security concept. Violet palette. Vector illustration on background"},{"@type":"BreadcrumbList","@id":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/seguridad-y-auditorias-en-entornos-ci-cd\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/www.codemotion.com\/magazine\/"},{"@type":"ListItem","position":2,"name":"Ciberseguridad","item":"https:\/\/www.codemotion.com\/magazine\/es\/ciberseguridad\/"},{"@type":"ListItem","position":3,"name":"Seguridad y auditor\u00edas en entornos CI\/CD"}]},{"@type":"WebSite","@id":"https:\/\/www.codemotion.com\/magazine\/#website","url":"https:\/\/www.codemotion.com\/magazine\/","name":"Codemotion Magazine","description":"We code the future. Together","publisher":{"@id":"https:\/\/www.codemotion.com\/magazine\/#organization"},"potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/www.codemotion.com\/magazine\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"en-US"},{"@type":"Organization","@id":"https:\/\/www.codemotion.com\/magazine\/#organization","name":"Codemotion","url":"https:\/\/www.codemotion.com\/magazine\/","logo":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.codemotion.com\/magazine\/#\/schema\/logo\/image\/","url":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2019\/11\/codemotionlogo.png","contentUrl":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2019\/11\/codemotionlogo.png","width":225,"height":225,"caption":"Codemotion"},"image":{"@id":"https:\/\/www.codemotion.com\/magazine\/#\/schema\/logo\/image\/"},"sameAs":["https:\/\/www.facebook.com\/Codemotion.Italy\/","https:\/\/x.com\/CodemotionIT"]},{"@type":"Person","@id":"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/6b4195d4196bc3d3e8a56c1215470b6d","name":"Jose Manuel Ortega","image":{"@type":"ImageObject","inLanguage":"en-US","@id":"https:\/\/www.codemotion.com\/magazine\/#\/schema\/person\/image\/","url":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2023\/10\/python_jose_manuel_ortega-150x150.png","contentUrl":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2023\/10\/python_jose_manuel_ortega-150x150.png","caption":"Jose Manuel Ortega"},"description":"Jos\u00e9 Manuel Ortega is a software engineer and cybersecurity researcher with interest in new technologies, open source, security and testing. In recent years he has shown interest in innovation projects using Big Data technologies using programming languages such as Python. He is currently working as a software engineer in research projects related to Big Data, Cybersecurity and Blockchain. He has taught at university level and collaborated with the official college of computer engineers. He has also been a speaker at several conferences oriented to developers at national and international level. More information about his lectures and other published works can be found on his personal website https:\/\/josemanuelortegablog.com.","sameAs":["http:\/\/josemanuelortegablog.com","https:\/\/www.linkedin.com\/in\/jmortega1\/","https:\/\/x.com\/jmortegac","https:\/\/www.youtube.com\/@JoseManuelOrtegadev"],"url":"https:\/\/www.codemotion.com\/magazine\/author\/josemanuel\/"}]}},"featured_image_src":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-600x400.jpg","featured_image_src_square":"https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-600x600.jpg","author_info":{"display_name":"Jose Manuel Ortega","author_link":"https:\/\/www.codemotion.com\/magazine\/author\/josemanuel\/"},"uagb_featured_image_src":{"full":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-scaled.jpg",2560,1706,false],"thumbnail":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-150x150.jpg",150,150,true],"medium":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-300x200.jpg",300,200,true],"medium_large":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-768x512.jpg",768,512,true],"large":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-1024x683.jpg",1024,683,true],"1536x1536":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-1536x1024.jpg",1536,1024,true],"2048x2048":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-2048x1365.jpg",2048,1365,true],"small-home-featured":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-100x100.jpg",100,100,true],"sidebar-featured":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-180x128.jpg",180,128,true],"genesis-singular-images":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-896x504.jpg",896,504,true],"archive-featured":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-400x225.jpg",400,225,true],"gb-block-post-grid-landscape":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-600x400.jpg",600,400,true],"gb-block-post-grid-square":["https:\/\/www.codemotion.com\/magazine\/wp-content\/uploads\/2024\/03\/19199624-600x600.jpg",600,600,true]},"uagb_author_info":{"display_name":"Jose Manuel Ortega","author_link":"https:\/\/www.codemotion.com\/magazine\/author\/josemanuel\/"},"uagb_comment_info":0,"uagb_excerpt":"En los \u00faltimos a\u00f1os, los entornos de integraci\u00f3n continua (CI) y despliegue continuo (CD) han surgido como elementos clave en el desarrollo de software que buscan mejorar la calidad del c\u00f3digo, acelerar la entrega y garantizar una implementaci\u00f3n m\u00e1s eficiente de nuevas caracter\u00edsticas. No obstante, estos entornos no est\u00e1n exentos de riesgos de seguridad que&#8230;&hellip;","lang":"es","_links":{"self":[{"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/posts\/26395","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/users\/199"}],"replies":[{"embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/comments?post=26395"}],"version-history":[{"count":2,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/posts\/26395\/revisions"}],"predecessor-version":[{"id":26478,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/posts\/26395\/revisions\/26478"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/media\/26537"}],"wp:attachment":[{"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/media?parent=26395"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/categories?post=26395"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/tags?post=26395"},{"taxonomy":"collections","embeddable":true,"href":"https:\/\/www.codemotion.com\/magazine\/wp-json\/wp\/v2\/collections?post=26395"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}