DevSecOps Práctico: Blindando la Cadena de Suministro en la Era de las SBOM

Jose Ramon Palanco
by Jose Ramon Palanco October 15, 2025
DevSecOps
#devsecops #seguridad #pipeline #integración segura #SBOM #Cosign #Kubernetes #supply chain security
DevSecOps Práctico: Blindando la Cadena de Suministro en la Era de las SBOM

DevSecOps Práctico: Blindando la Cadena de Suministro en la Era de las SBOM

1. Introducción: El Nuevo Frontera de la Seguridad 🎯

Hola a todos. Si trabajáis en el mundo del desarrollo de software, especialmente en España, sabréis que el time-to-market es crucial. La dependencia de paquetes y librerías open-source (OSS) no es opcional; es la base de nuestra productividad. Esto, sin embargo, ha transformado nuestra cadena de suministro en un ecosistema complejo y, francamente, peligroso. Ya no basta con escanear vulnerabilidades en el código que escribimos; el riesgo real reside en las dependencias de terceros.

En un proyecto real de servicios financieros en el que colaboré, nos enfrentamos a una auditoría crítica post-Log4Shell. El mayor desafío no fue parchear, sino identificar dónde y cómo se utilizaba realmente el componente vulnerable a través de múltiples microservicios y artifacts de build. Fue un caos que nos costó días de trabajo manual. Este es el problema que la Gestión de Dependencias y la Trazabilidad debe resolver de forma automatizada.

Este artículo será un Tutorial práctico guiado con un claro enfoque [de integración segura] (Defensivo), centrado en cómo integrar herramientas para generar SBOMs (Software Bill of Materials), asegurar su integridad con firmas y mantener una trazabilidad inmutable a lo largo de nuestro pipeline CI/CD.

2. Tutorial Práctico: Integrando SBOM y Firmas en un Pipeline CI/CD 🛠️

Para este workshop, utilizaremos un entorno Cloud-Native estándar, con Docker para contenedores y un pipeline simulado con comandos de shell que podéis adaptar fácilmente a GitLab CI, GitHub Actions o Jenkins.

Paso 1: Generación Automatizada del SBOM (El Inventario Esencial)

El primer paso es saber exactamente qué hay dentro de vuestro artefacto. El formato más aceptado y exigido por normativas (incluyendo la directiva NIS2 a nivel europeo) es el SBOM. Usaremos Syft de Anchore, una herramienta ligera y potente.

Comando de Instalación (Linux/MacOS):

# Instalación de Syft (Necesario para generar la SBOM)
curl -sSfL [https://raw.githubusercontent.com/anchore/syft/main/install.sh](https://raw.githubusercontent.com/anchore/syft/main/install.sh) | sh -s -- -b /usr/local/bin

Bloque de Código: Generando el SBOM para una Imagen Docker

Suponed que tenemos una imagen Docker llamada mi-app-web:latest.

# Paso 1.1: Generar la imagen Docker (simulación)
docker build -t mi-app-web:latest .

# Paso 1.2: Generar la SBOM en formato SPDX (Estándar de facto)
# La salida se guarda en un archivo JSON y se vincula al hash de la imagen.
IMAGEN_TAG="mi-app-web:latest"
IMAGEN_HASH=$(docker inspect --format='{{.Id}}' $IMAGEN_TAG)
SBOM_FILE="sbom-${IMAGEN_HASH}.spdx.json"

echo "Generando SBOM para ${IMAGEN_TAG}..."
syft $IMAGEN_TAG -o spdx-json > $SBOM_FILE

echo "SBOM generada en ${SBOM_FILE}"

Enfoque Práctico: Un error común que observamos es generar la SBOM después de subir el artefacto. La SBOM debe generarse justo después del build y antes de cualquier push o firma, ya que su contenido refleja el estado exacto del artefacto que se va a desplegar.

Paso 2: Análisis de Vulnerabilidades Basado en SBOM

Una vez tenemos el inventario (.spdx.json), podemos usarlo para realizar un escaneo de vulnerabilidades mucho más eficiente y preciso con herramientas como Grype (también de Anchore).

Bloque de Código: Escaneo con Grype

# Instalación de Grype (Necesario para el escaneo de vulnerabilidades)
curl -sSfL [https://raw.githubusercontent.com/anchore/grype/main/install.sh](https://raw.githubusercontent.com/anchore/grype/main/install.sh) | sh -s -- -b /usr/local/bin

# Paso 2.1: Escanear la SBOM generada en el paso anterior
echo "Escaneando vulnerabilidades usando la SBOM ${SBOM_FILE}..."
grype sbom:"$SBOM_FILE" -o json > "vulnerabilidades-${IMAGEN_HASH}.json"

# Paso 2.2: Implementar la 'Quality Gate' de Seguridad
CRITICAL_VULNS=$(jq '.matches | map(select(.vulnerability.severity == "Critical")) | length' "vulnerabilidades-${IMAGEN_HASH}.json")

if [ $CRITICAL_VULNS -gt 0 ]; then
    echo "🚨 ERROR: Se encontraron $CRITICAL_VULNS vulnerabilidades Críticas. Fallo del pipeline."
    exit 1
else
    echo "✅ Escaneo completado. Sin vulnerabilidades críticas detectadas."
fi

Esto es la esencia de la integración segura: utilizar la SBOM como fuente de verdad para que las herramientas de seguridad no tengan que re-analizar el artefacto, agilizando el pipeline y manteniendo un estándar de seguridad (Quality Gate).

Paso 3: Asegurando la Integridad con Firmas (Trazabilidad Inmutable)

El reto no acaba con la generación del SBOM. ¿Cómo sabe un clúster de Kubernetes que la imagen que está desplegando no ha sido manipulada y que su SBOM es legítima? La respuesta está en la firma criptográfica. Usaremos el proyecto Sigstore y su herramienta Cosign, el estándar de facto para la firma de artefactos cloud-native.

Comando de Instalación de Cosign:

# Instalación de Cosign (Necesario para firmar)
go install [github.com/sigstore/cosign/cmd/cosign@latest](https://github.com/sigstore/cosign/cmd/cosign@latest)

Bloque de Código: Firma de la Imagen y de la SBOM

La magia de Cosign es que guarda la firma en el registro de contenedores (como Docker Hub o ACR/ECR) como un layer inmutable.

# Generamos un par de claves para la firma (¡en un entorno real, usad KMS/Vault!)
cosign generate-key-pair

# Paso 3.1: Firmar la Imagen Docker
echo "Firmando la imagen ${IMAGEN_TAG}..."
# Sustituir 'mi-registro/mi-app-web:latest' por vuestro registro real
cosign sign --key cosign.key mi-registro/mi-app-web:latest

# Paso 3.2: Firmar la SBOM y subirla al Registro OCI
# Cosign puede adjuntar artefactos a la imagen principal.
echo "Firmando y adjuntando la SBOM al artifact..."
cosign attach sbom --sbom $SBOM_FILE mi-registro/mi-app-web:latest

echo "✅ Imagen y SBOM firmadas y subidas al registro."

Paso 4: Trazabilidad y Aplicación en Despliegue (Verificación en Kubernetes)

La fase defensiva final ocurre en el runtime. Utilizaremos una herramienta de Policy-as-Code (como Kyverno o OPA Gatekeeper en Kubernetes) para negar el despliegue de cualquier imagen que no esté firmada por nuestra clave.

Ejemplo de Policy (Conceptual - Kyverno):

Esta política se implementaría en nuestro clúster de Kubernetes (gestionado quizá por ArgoCD si usamos GitOps).

# Kubernetes Policy (Kyverno - Simplificado)
apiVersion: kyverno.io/v1
kind: ClusterPolicy
metadata:
  name: verificar-firma-cosign
spec:
  validationFailureAction: Enforce
  rules:
  - name: check-cosign-signature
    match:
      resources:
        kinds:
        - Pod
    validate:
      message: "Las imágenes deben estar firmadas por la clave corporativa de DevSecOps."
      # Usa la funcionalidad de Kyverno para verificar la firma
      # utilizando la clave pública generada (cosign.pub)
      cosign:
        # Aquí se referencia el secret/configmap con la clave pública
        key: "k8s://devsecops-keys/cosign-pub-key"
        # Se asegura que la firma está presente en el registro para la imagen solicitada
        image: "mi-registro/*"

Valor Añadido: Con esta política, hemos cerrado el círculo de la cadena de suministro. Si un atacante intenta inyectar una imagen manipulada en el registro, o si un desarrollador intenta desplegar una imagen de un origen no autorizado, el despliegue será denegado automáticamente por el clúster. Esto implementa una trazabilidad inmutable que solo acepta artefactos que han pasado por nuestro pipeline de seguridad.

3. Conclusiones y Lecciones Aprendidas 🚀

La gestión de la cadena de suministro es el campo de batalla de la seguridad de software de los próximos años, especialmente con la creciente exigencia reguladora en Europa.

Lecciones Clave para Profesionales Técnicos:

  1. La SBOM no es Opcional, es el Contrato: Dejad de ver la SBOM como un checklist regulatorio. Es la fuente de verdad para todas vuestras herramientas de seguridad (SAST, DAST, SCA) y auditoría. Usadla para acelerar el escaneo.
  2. Automatizad la Generación y Firma: Si no está en el CI/CD, no existe. La generación de SBOM, el escaneo y la firma con Cosign deben ser pasos mandatorios antes de que el artefacto toque el registro. Un pipeline que falla si no se firma el artefacto es una defensa proactiva crucial.
  3. Reforzad el Runtime: El Quality Gate más importante es el que previene el despliegue. Herramientas de Policy-as-Code como Kyverno o OPA Gatekeeper son fundamentales en un entorno de Kubernetes para verificar firmas criptográficas.

Implementar estas prácticas no solo mejora vuestra postura de seguridad; os posiciona como un equipo maduro, capaz de responder rápidamente a incidentes (como demostró la lección de Log4Shell) y cumpliendo con las mejores prácticas de DevSecOps a nivel internacional. El objetivo no es ser lentos, sino seguros por diseño y, por lo tanto, más rápidos y fiables a largo plazo.

About the Author

Jose Ramon Palanco
Jose Ramon Palanco

Jose Ramón Palanco es el CEO/CTO de Plexicus, una empresa pionera en ASPM (Gestión de la Postura de Seguridad de Aplicaciones) lanzada en 2024, que ofrece capacidades de remediación impulsadas por IA. Anteriormente, fundó Dinoflux en 2014, una startup de Inteligencia de Amenazas que fue adquirida por Telefónica, y ha estado trabajando con 11paths desde 2018. Su experiencia incluye roles en el departamento de I+D de Ericsson y Optenet (Allot). Tiene un título en Ingeniería de Telecomunicaciones de la Universidad de Alcalá de Henares y un Máster en Gobernanza de TI de la Universidad de Deusto. Como experto reconocido en ciberseguridad, ha sido ponente en varias conferencias prestigiosas, incluyendo OWASP, ROOTEDCON, ROOTCON, MALCON y FAQin. Sus contribuciones al campo de la ciberseguridad incluyen múltiples publicaciones de CVE y el desarrollo de varias herramientas de código abierto como nmap-scada, ProtocolDetector, escan, pma, EKanalyzer, SCADA IDS, y más.

Share