CI/CD suele verse como “infra de desarrollo”, pero muchas veces tiene permisos más amplios que las personas. Si un workflow puede desplegar, leer variables, publicar imágenes o modificar infraestructura, entonces es parte de la superficie de ataque.CI/CD is often seen as “development infrastructure,” but it often has broader permissions than people. If a workflow can deploy, read variables, publish images or modify infrastructure, then it is part of the attack surface.
Qué revisarWhat to review
- Secrets disponibles por repo, ambiente y branch.Secrets available by repo, environment and branch.
- Permisos del token del workflow.Workflow token permissions.
- Quién puede modificar workflows.Who can modify workflows.
- Runners compartidos, self-hosted o expuestos.Shared, self-hosted or exposed runners.
Controles simplesSimple controls
- Permisos mínimos por workflow.Minimum permissions per workflow.
- Aprobaciones para producción.Approvals for production.
- Separar ambientes y secretos.Separate environments and secrets.
- Revisar cambios a archivos de pipeline.Review changes to pipeline files.
Regla prácticaPractical rule
Si un pipeline puede cambiar producción, se debe revisar como un sistema con privilegios, no como un simple script de build.If a pipeline can change production, it should be reviewed as a privileged system, not as a simple build script.