Skip to content

¿Cómo se asegura el propio pipeline CI/CD?

Respuesta breve

Trata el pipeline como infraestructura de producción: contiene las credenciales para entregar código y llegar a producción, así que comprometerlo evita todos los controles posteriores. Endurécelo con runners aislados y efímeros; tokens de mínimo privilegio y corta duración (federación OIDC en vez de secretos de larga duración); ramas protegidas y config de pipeline revisada; acciones de terceros fijadas por digest; y registro de auditoría completo. El pipeline es un objetivo de primer nivel, no fontanería.

Un pipeline CI/CD tiene las llaves del reino: puede leer todo tu código fuente, construir y firmar artefactos, y desplegar a producción. Si un atacante posee el pipeline, cada escáner y barrera posterior es irrelevante. Por eso lo defiendes como a producción.

Aísla y haz efímeros los runners

Los runners de build ejecutan código arbitrario — incluido, en repos públicos, código de pull requests no confiables. Usa runners efímeros que se destruyen tras cada job para que nada persista entre builds, y aíslalos de tu red interna y entre sí. Nunca ejecutes builds de PR no confiables con credenciales privilegiadas.

Credenciales de mínimo privilegio y corta duración

La mayor ganancia es eliminar los secretos de larga duración. En vez de almacenar una clave cloud permanente en CI, usa la federación OIDC: el pipeline presenta un token de corta duración y acotado a la carga de trabajo que el proveedor cloud intercambia por credenciales temporales. Los tokens deben tener un alcance estrecho (este job, estos recursos, lectura vs escritura) y expirar rápido, para que un token filtrado sea casi inútil.

Protege la definición del pipeline

La config del pipeline es código con acceso a producción. Ponla bajo ramas protegidas con revisión obligatoria, para que nadie pueda añadir en silencio un paso que exfiltre secretos. Fija las acciones/plugins de terceros a un digest de commit (no a una etiqueta mutable) — una acción sin fijar puede reapuntarse a código malicioso que se ejecuta con los permisos de tu pipeline. Así es exactamente como se han desarrollado incidentes reales de cadena de suministro.

Audita todo

Registra quién disparó qué, qué credenciales se usaron, y qué se desplegó. No puedes detectar ni investigar un abuso del pipeline que no registraste.

Lo que buscan los entrevistadores

Quieren que enmarques el pipeline como un objetivo de primer nivel, que lideres con OIDC y mínimo privilegio en vez de secretos almacenados, y que menciones los runners efímeros y las dependencias fijadas — los controles tras las recientes compromisiones reales de CI/CD.

Posibles preguntas de seguimiento

  • ¿Por qué preferir la federación OIDC a almacenar claves cloud de larga duración en CI?
  • ¿Cuál es el riesgo de una acción de CI de terceros sin fijar?
  • ¿Cómo puede una pull request maliciosa abusar de un runner mal configurado?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.