Observa cómo un commit atraviesa los security gates de un pipeline —escaneo de secretos, SAST, SCA y build— y descubre la matemática de entropía de Shannon que delata una credencial filtrada. Basado en OWASP, CWE, CVSS v4.0 y NIST SSDF.
En DevSecOps, la seguridad deja de ser una auditoría final y se integra como
controles automáticos (gates) dentro del pipeline de CI/CD. Cada vez que alguien hace
git push, una cadena de herramientas inspecciona el código antes de que llegue a
producción. Si un gate falla, el pipeline se detiene: el código vulnerable nunca se despliega.
Escaneo de secretos → SAST → SCA → Build. El flujo está diseñado para ser fail‑fast: primero corren los análisis más rápidos y de menor costo computacional, de modo que, si algo debe fallar, falle lo antes posible y así se evita gastar recursos en etapas más pesadas.
La entropía de Shannon mide la "aleatoriedad" de una cadena en bits/carácter. Las claves generadas al azar tienen entropía alta; el texto humano, baja.
Borrar un secreto en un commit posterior no lo elimina: el blob sigue siendo accesible
escaneando todo el historial con git log -p.
Marca las fallas que quieres inyectar en el commit, elige una política de enforcement y haz push. Cada etapa (gate) se ejecuta en orden y se enciende en verde / amarillo / rojo; por cada hallazgo verás qué pasó, por qué sucede, su impacto y cómo se corrige y previene.
| Política | ¿Qué hace? | ¿Cuándo usarla? |
|---|---|---|
| Fail-fast | Se detiene en el primer gate bloqueado; no ejecuta los siguientes. | Ramas de trabajo: feedback rápido y ahorro de cómputo de CI. |
| Run-all (estricta) | Corre todos los gates y bloquea el deploy ante cualquier hallazgo. | Ramas protegidas (main / release). |
| Umbral ≥ Alta | Bloquea solo Crítica/Alta (CVSS ≥ 7.0); Media/Baja pasan como advertencia. | Equilibrio riesgo/velocidad con un nivel aceptable definido. |
| Auditoría | Reporta sin bloquear hallazgos de seguridad (build/test sí bloquean). | Adopción inicial de DevSecOps: medir sin frenar al equipo. |
Los gates se ordenan de más barato a más caro (shift-left): el escaneo de secretos solo lee texto (segundos), el SAST recorre todo el árbol, y el build y los tests son los más lentos. Con fail-fast, fallar temprano en un gate barato evita gastar minutos de CI en los siguientes: por eso un secreto detenido en la etapa 1 ahorra todo el cómputo de SAST, SCA, IaC, Tests y Build. Prueba las cuatro políticas con las mismas fallas y compara el terminal y el resumen de severidades.
Las herramientas como TruffleHog y Gitleaks no "saben" qué es una contraseña: miden la entropía de Shannon, una métrica de aleatoriedad. Edita la cadena y observa el cálculo en vivo.
Heurística aplicada: se marca como sospechoso de secreto si la entropía ≥ 4.5 bits/car. y la longitud ≥ 16, o si coincide con un patrón conocido (regex). La entropía sola produce falsos positivos y negativos —por eso las herramientas reales combinan ambas señales.
Fórmula: H = −Σ p(x)·log₂ p(x), evaluada sobre los caracteres de la cadena. Máximo teórico para base64 ≈ 6 bits/car.
5 preguntas con justificación. Cada respuesta explica el porqué; tu puntaje aparece al final.