Vulnerabilidades críticas en CI/CD que nadie te cuenta.
De qué va
Los pipelines CI/CD son el nuevo objetivo. Compromete el CI/CD y comprometes toda la empresa.
En esta charla cubrimos:
- Top 10 vulnerabilidades en CI/CD
- Ataques a Jenkins, GitLab CI, GitHub Actions, CircleCI
- Supply chain attacks a través de CI/CD
- Compromiso de secretos y credenciales
- Defense in depth para pipelines
Por qué es relevante
El CI/CD es la puerta de entrada a producción. Un pipeline comprometido significa código malicioso en producción sin que nadie se entere.
He visto ataques reales donde el atacante comprometió el CI/CD y estuvo meses inyectando backdoors en cada despliegue.
Impacto
Una de las charlas más compartidas de RootedCON 2020. Muchas empresas revisaron completamente su seguridad en CI/CD después de verla.
Posteriormente presenté una versión extendida en el Sonatype DevSecOps Leadership Forum 2020.