Saltar a contenido

Blog

SHA Pinning Is Not Enough: Poetry Edition

Hace unas semanas, relacionado con el incidente de Trivy, RoseSecurity publicó el artículo "SHA Pinning Is Not Enough", en el que explicaba cómo hacer SHA pinning de una action garantiza que siempre obtienes el mismo commit, pero no garantiza que ese commit sea seguro, ni siquiera que haya formado parte del proyecto upstream.

Esto suena raro la primera vez que lo lees. ¿Cómo va a resolver GitHub un SHA que no está en ninguna branch del repo oficial? La respuesta tiene que ver con cómo GitHub gestiona los forks: un fork comparte el almacenamiento de objetos con el repo padre, y eso significa que cualquier commit en cualquier fork de la red es alcanzable por SHA desde la URL del upstream.

Entonces, pensé: si esto es un comportamiento específico de GitHub y no de GitHub Actions, ¿podría pasar con otras herramientas que permitan apuntar a un commit? ¿Como un gestor de paquetes tipo poetry?

aws-root-manager: Gestiona el acceso root de AWS en tu organización

En AWS, la gestión de las credenciales root siempre ha sido un punto de fricción para los administradores de organizaciones. Cada vez que se creaba una cuenta nueva debíamos configurar el MFA para el acceso root siguiendo las buenas prácticas y el modelo de madurez. Pero habilitar el MFA es un paso manual, y con AWS Organizations este problema escalaba. Podríamos ignorarlo, aplicar una SCP para bloquear acciones realizadas con el usuario root y lidiar con el check fallido que todas las herramientas de seguridad nos reportaban.

En 2023 AWS anunció que el MFA pasaría a ser obligatorio, y el momento está cerca. El 24 de Marzo de 2025 será obligatorio registrar un MFA al usar el usuario root.

Como solución a este problema, el 15 de noviembre de 2024 AWS anunció una nueva funcionalidad que nos permite manejar de forma centralizada el acceso de root en una organización sin necesidad de intervenir manualmente en cada cuenta. Pero si tenemos una gran cantidad de cuentas, realizar las acciones una a una no es lo más cómodo del mundo.

Para facilitar esta gestión, hemos creado aws-root-manager , una herramienta que permite manejar el estado de las credenciales root en todas las cuentas de una organización de manera eficiente y automatizada.

logo

  • en aws, iam, sns
  • 5 minutos de lectura

IAM policy mishaps: Case 2 - SNS

Creíais que nos habíamos olvidado de la serie de IAM? Pues es correcto, perdón por el retraso, pero aquí estamos de vuelta.

Hoy vamos a hablar sobre el servicio Amazon Simple Notification Service (SNS).

Info

Recuerda que si quieres probar directamente los ejemplos que vamos presentando echa un vistazo a nuestro repo .

Os hemos dejado preparados los diferentes escenarios en Terraform .

Deploy IAM Roles across an AWS Organization as code

En entornos con múltiples cuentas de AWS, la gestión de roles puede ser un desafío. AWS IAM nos ofrece una solución robusta para gestionarlo en cada cuenta, pero cuando se trata de implementar roles de manera consistente en todas las cuentas de una organización, la tarea puede volverse compleja.

En este post vamos a ver cómo desplegar roles de IAM de forma automática en todas las cuentas de una organización de AWS como código, usando CloudFormation, Organizations y Terraform.

architecture architecture