2. Net user
Daniel González
@dani_zerolynx
• Co-fundador de ZEROLYNX
• Socio director de ciberinteligencia de OSANE
Consulting
• Profesor oficial del certificado CSX y
coordinador de las formaciones de
ciberseguridad de ISACA Madrid
Jesús Alcalde
@jalcaldea
• Director of R&D at Zerolynx
• Responsable DevSecOps en OSANE
Consulrting
3. Esto es una ponencia sobre hacking en
entornos de DevOps, no una charla sobre
DevOps.
Muchos de los conceptos y la problemática
real, la daremos por asumida por falta de
tiempo.
Esta investigación será liberada y
publicada para que podáis ayudarnos a
continuarla.
IMPORTANTE
6. Friendly reminder
• Los entornos de desarrollo,
autogestionados y sin
supervisión, son entornos
menos controlados y más
vulnerables.
• JENKINS tiene problemas…
pero no solo de JENKINS viven
los desarrolladores actuales,
y los demás... No están mucho
mejor.
8. Flujo típico de DevOps
Controlador de versión
Push commit
Servidor de integración continua
Administrador de tareas
Update Tickets
Trigger Build
Sistema de mensajería en tiempo
real
Post Message
16. Specs de las herramientas
▪ Filosofía DevOps: Un conjunto de
herramientas para cada uno de
los módulos presentados.
▪ No hay nada actualmente así en
el mercado, ni de manera libre.
Mantengámosla entre todos.
▪ Licencia GPL v3.
18. Módulo GIT
Mínimos sobre GIT:
▪ Base de datos distribuida en carpeta .git (oculta)
▪ Se generan objetos con el contenido
▪ Pueden ser: REFs, COMMITs o BLOBs
19. Módulo GIT
Mínimos sobre GIT:
▪ Base de datos distribuida en carpeta .git (oculta)
▪ Se generan objetos con el contenido
▪ Pueden ser: REFs, COMMITs o BLOBs
22. Módulo GIT
▪ Referencias (Tags y Branches)
▪ Pequeño ejemplo: git checkout <sha1>
Código
IMPORTANTE
Si tienes acceso a un repositorio NO SOLO TIENES
EL CÓDIGO, tienes TODO SU CICLO DE VIDA
32. Conclusiones
▪ Actualmente en los entornos de DevOps
hay un problema y no podemos seguir
ignorándolo.
▪ Usad la herramienta y ayudadnos a
mantenedla.
▪ Mientras más fácil es comprometer un
sistema, más posibilidades hay de que
comiencen a corregirlo.