Prácticas Clave:
-
Pipelines de Integración Continua (CI) con Seguridad: Integración de escaneos de seguridad automatizados directamente en el pipeline de CI. Cada cambio en los scripts o configuraciones de integración dispara estas verificaciones.
Ejemplo: Usar escáneres de credenciales en el pipeline para asegurar que no se suban secretos al repositorio.
-
Análisis de Dependencias y Librerías: Si los scripts de integración usan librerías externas (ej., Python, Node.js), escanearlas en busca de vulnerabilidades conocidas (CVEs) para evitar introducir riesgos de terceros.
Herramientas: OWASP Dependency-Check, Snyk, Black Duck.
-
Análisis de Vulnerabilidades en Contenedores (si aplica): Si la integración implica el uso de contenedores (ej., un servicio proxy en Docker), escanear las imágenes en busca de vulnerabilidades y configuraciones inseguras antes de que se desplieguen.
Herramientas: Clair, Trivy, Docker Scan.
Resultados/Salidas Clave:
- Artefactos de Integración Validados: Scripts, archivos de configuración o imágenes Docker que han pasado por verificaciones de seguridad automatizadas y cumplen con los estándares.
- Informes de Seguridad de CI: Reportes automáticos que detallan cualquier problema de seguridad encontrado durante el proceso de "build", con la capacidad de detener el pipeline si se detectan vulnerabilidades críticas.
- Integración de Controles de Acceso: Verificación de que las políticas de acceso (IAM) entre A y B se están configurando correctamente según el principio de mínimo privilegio.