El Pentáculo de QA y Ciberseguridad

No he podido evitar poner este nombre a las 5 herramientas web que hemos construido en artículos anteriores, todas ellas orientadas a QA, CiberSeguridad y Auditorías.

El Kit de Herramientas Web

Hadolint (La Base): Sanea la estructura del contenedor desde su nacimiento (Dockerfiles).

Hadolint en modo Web

Actualmente los mundos de CI/CD, QA (Quality Assurance / Control de Calidad), DevOps y CiberSeguridad estan tan interrelacionados que comparten o solapan algunas de sus funciones. Dockerfile el punto de partida Si nos centramos en la parte de contenedores Docker, una de las primeras cosas que afecta tanto a la

Solo Con LinuxLuis GuLo

Gitleaks (El Guardián): Vigila que nunca se filtren llaves, tokens ni contraseñas en el historial de Git.

GitLeaks en modo Web

Vamos a ir completando nuestra “Suite Web” de ciberseguridad de uso interno. Ahora le toca el turno a gitleaks una herramienta para auditar posibles fugas de contraseñas, secretos, tokens, etc en los respositorios de código. ¿Qué es GitLeaks? Gitleaks es una herramienta de seguridad de código abierto diseñada paraescanear repositorios

Solo Con LinuxLuis GuLo

Semgrep (El Auditor): Analiza el código fuente (SAST) buscando fallos de lógica, calidad y vulnerabilidades (OWASP Top 10).

Semgrep en modo Web

Vamos a crear un nuevo servicio web para otra herramienta muy util semgrep ¿Qué es Semgrep? Semgrep es una herramienta de análisis estático de código abierto (SAST) y seguridad que permite encontrar vulnerabilidades, errores de lógica y malas prácticas directamente en el código fuente, sin necesidad de compilarlo. ¿Qué la

Solo Con LinuxLuis GuLo

Syft (El Escribano): Genera la radiografía completa (SBOM) con el catálogo de librerías y componentes del contenedor.

Syft en modo Web

Para continuar esta serie de artículos sobre Seguridad orientada a Contenedores, vamos a ofrecer una herramienta muy necesaria, ya mucho más centrada en la parte de Auditorías de Ciberseguridad. Vamos a ofrecer a nuestros usuarios una herramienta de Generación de SBOM. En este artículo vamos a montar un servicio web

Solo Con LinuxLuis GuLo

Trivy (El Cazador): Escanea ese catálogo en busca de vulnerabilidades conocidas (CVEs) listas para ser explotadas.

Trivy en modo Web

En el artículo anterior vimos como ofrecer de forma interna en nuestra organización de un servicio Web para un anális de tipo linter de los ficheros con los que creamos nuestras imágenes que formarán parte de los contedores que se desplegarán. Ahora nos toca ofrecer una solución Web que nos

Solo Con LinuxLuis GuLo

El Flujo del Pentáculo en los Pipeline (DevSecOps)

Para descubrir cómo interactúan en el "mundo real" durante el ciclo de vida del software, el orden místico de ejecución ideal sería el siguiente:

1. Fase de Código (Semgrep): El desarrollador escribe el código. Semgrep lo analiza estáticamente para asegurar que no haya fallos de calidad ni lógica insegura.
2. Fase de Commit (Gitleaks): Antes de subir el código al repositorio, Gitleaks inspecciona el historial para garantizar que no se arrastren API Keys o contraseñas.
3. Fase de Construcción (Hadolint): Al empaquetar la aplicación, Hadolint lee el Dockerfile y corrige las malas prácticas de configuración del contenedor.
4. Fase de Empaquetado (Syft): Una vez creada la imagen, Syft genera el inventario de software (SBOM) indexando cada librería del sistema y de la aplicación.
5. Fase de Despliegue (Trivy): Finalmente, Trivy cruza ese SBOM con las bases de datos de vulnerabilidades para asegurar que nada de lo instalado tenga fallos públicos conocidos.