Más allá de SLSA: Detenga los gusanos de CI/CD con un plan de 9 pasos
Su perímetro de seguridad de software ha colapsado.
Los métodos antiguos se centraban en escanear contenedores y bloquear paquetes maliciosos. Esto ya no es suficiente. Entre 2025 y 2026, surgió una nueva amenaza. Los atacantes ahora utilizan gusanos autónomos que infectan directamente las herramientas de desarrollo y los pipelines de CI/CD.
Las herramientas estándar como SLSA Level 3 son ciegas ante estas amenazas. Un gusano puede robar sus credenciales o envenenar su caché incluso antes de que construya un contenedor. Su informe de seguridad final podría parecer perfecto incluso si contiene código malicioso.
Para solucionar esto, utilice el framework IX Hexbreaker Aegis. Esta es una defensa de 9 pasos para proteger su entorno local y sus agentes de IA.
Los 9 pasos de la defensa:
- AI Agent Sandboxing: Ejecute asistentes de IA dentro de contenedores Docker aislados. Esto evita que roben sus credenciales del host.
- Workspace Parsing: Escanee archivos de configuración ocultos en busca de instrucciones maliciosas antes de cargarlos.
- Entornos efímeros: Utilice contenedores de desarrollo remotos como GitHub Codespaces para aislar su máquina local.
- Minimización del alcance de OIDC: Otorgue a los tokens de su pipeline los permisos más pequeños posibles y una vida útil corta.
- Caché inmutable: Separe las cachés utilizadas por los pull requests de las utilizadas por los lanzamientos oficiales.
- Commits respaldados por hardware: Utilice llaves de seguridad FIDO2 como YubiKeys. Un gusano no puede tocar físicamente una llave para firmar un commit.
- Observabilidad en tiempo de compilación: Utilice eBPF para vigilar procesos extraños durante una compilación.
- Filtrado de salida (Egress Filtering): Bloquee todo el tráfico de red saliente de sus runners de CI/CD, excepto hacia sitios de confianza.
- Prompts de IA de confianza cero (Zero-Trust): Limite lo que sus herramientas de codificación de IA pueden hacer. No permita que ejecuten scripts de shell sin su aprobación.
Cómo implementar esto:
Fase 1: Corrija los permisos y el almacenamiento en caché. Limite el acceso OIDC y aísle sus claves de caché.
Fase 2: Refuerce el pipeline. Utilice filtros de red y fije las versiones de sus acciones a IDs de commit específicos.
Fase 3: Aislamiento total. Traslade todo el desarrollo a contenedores y exija llaves de seguridad de hardware para todos los commits.
Tratar la seguridad de la cadena de suministro como una simple casilla de verificación conducirá al fracaso. Debe proteger el entorno donde se escribe el código.
Fuente: https://dev.to/docker/beyond-slsa-how-to-stop-zero-click-cicd-worms-with-a-9-step-plan-1l36
Comunidad de aprendizaje opcional: https://t.me/GyaanSetuAi