Seguridad CI/CD

Los pipelines como sistemas de control regulados

En las industrias reguladas, los pipelines de CI/CD no son herramientas de automatización.
Son sistemas TIC regulados.

Aplican:

  • Quién puede modificar producción
  • Qué comprobaciones de seguridad son obligatorias
  • Cómo se estructuran las aprobaciones
  • Cuándo se permiten los despliegues
  • Qué evidencia se genera

La seguridad CI/CD no consiste en analizar código.
Consiste en controlar el flujo del cambio.

CI/CD Security vs DevSecOps vs Seguridad de aplicaciones

La seguridad en la entrega regulada es por capas.

Seguridad de aplicaciones
Protege lo que se construye.
Diseño seguro, vulnerabilidades, dependencias, protección en tiempo de ejecución.

DevSecOps
Protege cómo trabajan los equipos.
Gobernanza, colaboración, separación de roles, modelo operativo.

CI/CD Security
Protege cómo llega el cambio a producción.
Pipelines, aprobaciones, integridad de artefactos, trazabilidad, aplicación.

CI/CD Security es la columna vertebral de la aplicación.
Sin él, los demás controles siguen siendo orientativos.

CI/CD como arquitectura de aplicación regulada

En entornos empresariales:
Todo cambio de producción debe pasar por un pipeline controlado.

Ese pipeline debe aplicar:

  • Control de identidad y acceso (RBAC, MFA)
  • Segregación de funciones
  • Puertas de aprobación obligatorias
  • Validación de seguridad (SAST, SCA, SBOM, firma)
  • Aplicación de política como código
  • Registro y trazabilidad

CI/CD se convierte en:

Un motor de ejecución
And
Una fábrica de evidencia

Arquitectura CI/CD: Pipeline → Enforcement → Evidence

Arquitectura CI/CD — Pipeline, evidencia y aprobaciones Arquitectura CI/CD centrada que muestra cómo los pipelines aplican aprobaciones, controles de seguridad y generan evidencia de auditoría continua. Arquitectura CI/CD — Pipeline, Evidence & Approvals CI/CD como sistema regulado de aplicación y auditoría Pipeline CI/CD (sistema regulado) Todos los cambios de producción fluyen por este pipeline Control de acceso & segregación de funciones (RBAC, MFA) Aprobaciones de cambio & puertas de política (obligatorias) Controles de seguridad e integridad (SAST, SCA, SBOM, firma) Evidencia de auditoría Generada por el sistema, continua Registros de aprobación y despliegue Resultados de análisis de seguridad y decisiones de política Trazabilidad: commit → artefacto → prod
Arquitectura CI/CD centrada que muestra cómo los pipelines aplican aprobaciones, controles de seguridad y generan evidencia de auditoría continua.

Una arquitectura CI/CD regulada incluye:

Entrada controlada

  • Ramas protegidas
  • Revisiones de pull request
  • Derechos de fusión restringidos
  • Higiene de secretos

Pipeline con aplicación de políticas

  • Análisis de seguridad obligatorios
  • Validación de dependencias
  • Firma de artefactos
  • Puertas de aprobación

Versión controlada

  • Roles de despliegue segregados
  • Promoción con aplicación de políticas
  • Restricciones de entorno

Generación continua de evidencia

  • Registros de aprobación
  • Resultados de análisis de seguridad
  • Historial de despliegues
  • Trazabilidad de artefactos (commit → compilación → artefacto → prod)

La evidencia debe generarse automáticamente, no reconstruirse manualmente.

Ciclo de vida del pipeline CI/CD seguro

DevSecOps SAST aplicado a nivel de desarrollador para retroalimentación rápida y en pipelines CI/CD para la aplicación de políticas, junto con SCA y SBOM. CI/CD Security Ciclo de vida del pipeline CI/CD seguro CONTROLES TRANSVERSALES Registro Rastros de auditoría Evidencia de política y cumplimiento Monitorización y alertas Retención y control de acceso Desarrollador Commit • PR • Revisión SAST (retroalimentación rápida) Código fuente Git • Políticas de ramas Access control Higiene de secretos CI/CD Pipeline Orquestación de compilación SAST (aplicación de políticas) SCA (dependencias) SBOM / provenance Despliegue Versión • Aprobaciones Puertas de política DAST (staging) Tiempo de ejecución Controles de producción IAST (pruebas) RASP (protección)
Los controles de seguridad deben aplicarse en los pipelines de CI/CD para prevenir vulnerabilidades, reducir el riesgo de la cadena de suministro y garantizar una entrega de software conforme.

La seguridad CI/CD abarca toda la cadena de entrega:

Desarrollador Stage

SAST de retroalimentación rápida
Protección de ramas
Detección de secretos

Fase del pipeline

Aplicación de SAST basada en políticas
Generación de SCA & SBOM
Integridad y firma de artefactos

Desplieguement Stage

Puertas de aprobación
Segregación de funciones
Promoción controlada

Tiempo de ejecución Validation

DAST en staging
Integración de monitorización
Correlación del rastro de auditoría
La seguridad debe aplicarse de extremo a extremo.
Las brechas entre fases crean riesgos.

Core CI/CD Security Controls

Enterprise-grade CI/CD security relies on a consistent baseline:

Identity & Access Governance

Least privilege
MFA enforcement
Role separation

Gestión de secretos

Centralized vaults
Rotation policies
No hard-coded credentials

Integrity & Supply Chain Controls

Firma de artefactos
Generación de SBOM
Validación de dependencias

Policy Enforcement

Non-bypassable gates
Structured exception handling
Override traceability

Registro & Monitoring

Centralized logs
Tamper resistance
Retention governance

These controls ensure pipelines remain:
Predictable
Enforceable
Auditable

CI/CD Security Risks in Enterprise Environments

Common pipeline weaknesses include:

  • Excessive runner privileges
  • Unrestricted production deployment rights
  • Shared credentials
  • Uncontrolled manual overrides
  • Missing artifact traceability
  • Fragmented logging

In regulated contexts, these are not just technical issues.
They are audit findings.

Why Auditors Review CI/CD Pipelines

Auditors assess whether:

  • All production changes are traceable
  • Duties are properly segregated
  • Security checks are mandatory
  • Approvals are documented
  • Evidence is retained

They do not ask whether pipelines exist.
They ask whether pipelines enforce control.

CI/CD security is therefore central to:

  • DORA ICT risk management
  • NIS2 supply chain governance
  • ISO 27001 change control
  • SOC 2 change management
  • PCI DSS secure development

CI/CD Security as Continuous Compliance

When properly designed:
CI/CD pipelines continuously enforce compliance requirements.

They:

  • Block non-compliant changes
  • Log policy decisions
  • Preserve traceability
  • Produce audit-ready outputs

Compliance becomes systemic.
Not periodic.

Relationship with Other Security Domains

CI/CD Security anchors the security model:

DevSecOps defines how teams operate.
Seguridad de aplicaciones protects application logic and runtime.
Compliance defines regulatory expectations.

CI/CD Security ensures that controls are enforced before production.
It is the control gate between engineering and regulated operations.

Executive Perspective

For leadership, strong CI/CD security provides:

  • Reduced operational risk
  • Reduced audit friction
  • Improved change transparency
  • Stronger supply chain resilience

For engineering, it provides:

  • Clear enforcement rules
  • Reduced ambiguity
  • Automatizados governance
  • Predictable release workflows

When pipelines are designed as regulated systems, both speed and control improve.

Featured CI/CD Security Topics

Final Principle

CI/CD security is not about adding tools.
It is about designing pipelines as regulated systems.

In enterprise environments, CI/CD pipelines are:
Control points
Capas de aplicación
Evidence generators

They are where security, governance, and compliance converge.