Tags populares:
Virtualización seguridad DNS verificación formal análisis de alcanzabilidad errores del compilador conflicto de macro extensión web framework de desarrollo Gráficos de mapa de bits inconsistencias de API Todos los tags

Anclas YAML de GitHub Actions: ¿Un paso atrás?

2025-09-22

GitHub Actions añadió recientemente soporte para anclas YAML, un movimiento que el autor argumenta que es un paso atrás. El artículo sostiene que las anclas YAML son redundantes con la funcionalidad existente, aumentan la complejidad del modelo de datos, haciendo que el CI/CD sea más difícil de entender tanto para humanos como para máquinas. Además, la falta de soporte de GitHub para las claves de fusión hace que el caso de uso único de las anclas YAML sea ineficaz. El autor cree que esto hace que GitHub Actions sea más difícil de analizar en busca de vulnerabilidades de seguridad y recomienda que GitHub elimine inmediatamente el soporte para las anclas YAML.

Leer más
(blog.yossarian.net)
Desarrollo Seguridad CI/CD

Optimizando el análisis estático de GitHub Actions con transductores de estado finito

2025-08-18

El desarrollador de la herramienta de análisis estático zizmor optimizó su detección de vulnerabilidades de inyección de plantillas de GitHub Actions utilizando transductores de estado finito (FST). Al asignar patrones de contexto de GitHub Actions a su "capacidad" lógica, los FST redujeron el tamaño de la representación en un orden de magnitud (de ~240 KB a ~14,5 KB) y demostraron ser más rápidos y eficientes en cuanto a memoria que los enfoques anteriores basados en tablas y árboles de prefijos. Además, el FST se precalcula en tiempo de compilación, eliminando los costos de inicio. Esta mejora reduce significativamente los falsos positivos y aumenta la eficiencia de la detección.

Leer más
(blog.yossarian.net)
Desarrollo transductor de estado finito

Evasión de la Política de GitHub Actions: Una Circunvalación Trivial de Políticas Aparentemente Seguras

2025-06-11

GitHub Actions proporciona un mecanismo de política para restringir las acciones y los flujos de trabajo reutilizables utilizables dentro de un repositorio, organización o empresa. Sin embargo, este mecanismo se elude fácilmente. Al clonar el repositorio de acción en el sistema de archivos del agente y luego usar una referencia de ruta local para ejecutar la misma acción, la política se elude trivialmente. Esto hace que la política aparentemente segura sea ineficaz. El autor insta a GitHub a abordar esta vulnerabilidad para evitar que los desarrolladores crean erróneamente que las políticas proporcionan un límite de seguridad que en realidad no existe.

Leer más
(blog.yossarian.net)
Desarrollo Evasión de Política

El efecto Makefile: ¿Por qué copiamos y pegamos archivos de configuración?

2025-01-11

Esta publicación explora el común "efecto Makefile" en la ingeniería de software: los ingenieros tienden a copiar y pegar y ajustar archivos de configuración existentes (como Makefiles, configuraciones de CI/CD, etc.) en lugar de escribirlos desde cero. El autor argumenta que esto no es inherentemente malo, pero sugiere que indica que las herramientas pueden ser excesivamente complejas, careciendo de buenos diagnósticos y soporte de depuración, lo que las hace ineficientes e inseguras de usar. La publicación concluye con recomendaciones de diseño para minimizar este efecto, mejorando la eficiencia y la seguridad del desarrollo.

Leer más
(blog.yossarian.net)
Desarrollo diseño de herramientas