Pruebas estáticas de seguridad en GitLab para detectar vulnerabilidades

Clase 37 de 53Curso de DevOps con GitLab

Clase anteriorSiguiente clase

Resumen

Protege tu código desde el primer commit con pruebas estáticas de seguridad en GitLab: detecta patrones inseguros como Eval, inyección SQL y XSS antes de llegar a producción. Entiende las severidades, usa los widgets del merge request y decide con datos para mantenerte en verde sin frenar el desarrollo.

¿Qué son las pruebas estáticas de seguridad y qué detectan?

Las pruebas estáticas analizan archivos y buscan patrones inseguros de código. Identifican fallos comunes que los equipos introducen sin darse cuenta, en especial cuando hay desarrolladores junior en formación. La meta: prevenir vulnerabilidades sin sacrificar velocidad.

¿Qué vulnerabilidades típicas aparecen al interpolar datos?

  • Inyección SQL: interpolar datos de clientes en comandos a la base de datos crea una vulnerabilidad de SQL.
  • XSS: pintar en la aplicación los datos que envía el usuario sin sanitizar expone a XSS.
  • Uso de Eval: ejecutar cadenas dinámicas abre la puerta a ejecución de código malicioso.
  • Apoyo al equipo: capacitar a perfiles junior y correr escaneos para no introducir vulnerabilidades.

¿Cómo clasifica GitLab las vulnerabilidades y qué acciones tomar?

GitLab reporta críticas, altas, medianas, bajas y no clasificadas. Entenderlas ayuda a priorizar. La diferencia clave entre crítico y alto es la facilidad de explotación, además del impacto.

¿Qué implica cada severidad en el riesgo y la respuesta?

  • Crítica: falla que otorga accesos de root, contraseñas o sistemas sin ingeniería social. Acción: detener desarrollo y atender de inmediato.
  • Alta: riesgo de privilegios elevados, pérdida de datos o de uptime, pero difícil de explotar. Acción: priorizar corrección.
  • Mediana: el atacante requiere trabajo extra como escaneos, phishing o ingeniería social. Acción: reforzar procesos y cultura de seguridad en toda la organización.
  • Baja: bajo riesgo de pérdida de datos o uptime si se demora. Acción: planificar remediación.
  • No clasificada: evaluar caso por caso antes de actuar.

¿Cómo integrar y gestionar los escaneos en el merge request?

El punto central de decisión es el merge request. GitLab añade un widget de seguridad para expandir resultados y decidir si el código entra a branch master o no. Así se toman decisiones informadas con mínima fricción.

¿Qué flujo seguir con hallazgos, herramientas y estado en verde?

  • Widgets en el merge request: ver escaneo de seguridad y expandir detalles.
  • Trazabilidad: enlace directo al archivo y línea exacta del problema.
  • Falsos positivos: ejemplo, una string de alta entropía en package lock punto json que era la firma de integridad de paquetes de NPM. Acción: usar dismiss.
  • Vulnerabilidad real: crear un issue desde la misma vista y planificar la corrección.
  • Mantenerse en verde: si no puedes corregir al momento, abre issues y marca “no aplicable” cuando corresponda para seguir avanzando.
  • Herramientas por lenguaje: ts-lint-config-security para TypeScript; Bandit para Python.
  • Integración CI: con AutoDevoops ya viene habilitado. Si tienes un GitLabCI punto yaml propio, incluye el template del job de seguridad en la configuración.

¿Tú cómo priorizas entre crítica, alta y mediana en tu flujo de merge request? Comparte tu experiencia y preguntas en los comentarios.