Astral, una empresa que desarrolla herramientas para desarrolladores, ha publicado detalles sobre sus prácticas de seguridad en respuesta a recientes ataques a la cadena de suministro de software, como los que afectaron a Trivy y LiteLLM. La compañía busca compartir sus métodos para fortalecer la seguridad de sus herramientas y procesos, beneficiando a sus usuarios, otros proyectos y a los desarrolladores de sistemas CI/CD. Astral utiliza GitHub Actions para sus flujos de trabajo de CI/CD, pero reconoce las vulnerabilidades inherentes a esta plataforma, como los desencadenantes inseguros y las malas configuraciones por defecto. Para mitigar estos riesgos, Astral prohíbe desencadenantes peligrosos, fija las acciones a commits específicos para evitar 'impostor commits', limita los permisos de las acciones y aísla las claves secretas. Además, la empresa implementa revisiones manuales de dependencias y trabaja con proveedores para mejorar la seguridad. A nivel organizacional, Astral limita el número de cuentas con privilegios administrativos y exige métodos de autenticación de dos factores (2FA) robustos para todos sus miembros.
Noticias agregadas con IA