Detección de Exploits de Cadena de Suministro en Pipeline CI/CD de Fintech en Bogotá
Visión general
De qué trata este proyecto.
Recibes el pipeline actual (GitHub Actions, registro de paquetes interno con Artifactory, imágenes Docker pushed a Amazon ECR, despliegue por ArgoCD a EKS). Modela la cadena de suministro extremo a extremo identificando cada punto donde un atacante puede inyectar. Implementa: pinning estricto de dependencias con lockfiles, firma de imágenes con Sigstore/cosign, atestación de origen con SLSA L3 y verificación en admission controller. Diseña un ejercicio red-team que inyecte un paquete malicioso en tres puntos distintos y verifica que cada uno se detecta. Entrega el pipeline endurecido, el reporte del ejercicio red-team y un runbook de respuesta a incidente de cadena de suministro.
El Briefing
Lo que harás y lo que demostrarás.
Endurecer un pipeline CI/CD contra ataques de cadena de suministro hasta SLSA L3 y demostrar detección con ejercicio red-team reproducible.
Earning criteria — what you'll demonstrate
- Aplicar SLSA L3 a un pipeline CI/CD real
- Implementar firma y atestación con Sigstore/cosign
- Diseñar y ejecutar ejercicios red-team de cadena de suministro
- Documentar respuesta a incidente para audiencia mixta técnico-ejecutiva
Encaje académico
Dónde encaja esto en tus estudios.
Afina las mismas habilidades que tu titulación espera de ti.
Habilidades
Habilidades que demostrarás.
Cada una aparece en tu credencial verificada.
Carreras
Roles para los que esto te prepara.
Títulos reales. Puentes de habilidades reales. Elige el que más se acerque a tu trayectoria.