Reto 03 - Integración continua y seguridad
< Reto Anterior - Home - Siguiente reto >
Introducción
El refugio ha visto muchas noticias preocupantes sobre brechas de seguridad en diversas aplicaciones, incluidas las gestionadas por organizaciones sin fines de lucro. De hecho, las organizaciones que tradicionalmente pueden no haber invertido en infraestructura pueden ser objetivos populares para los atacantes. El refugio quiere asegurarse de que su aplicación no contenga vulnerabilidades que puedan ser explotadas.
Descripción
Para este desafío, deberas configurar el escaneo para toda la cadena de suministro de software de la aplicación. Específicamente, deseas escanear tu código en busca de problemas potenciales cuando se realiza un pull request a la rama main. También quieres confirmar que los paquetes que utiliza el proyecto estén libres de vulnerabilidades conocidas. Finalmente, una vez que hayas configurado la seguridad, crearás un pull request con las actualizaciones de código que realizaste en el reto anterior.
El escaneo de vulnerabilidades, la ejecución de pruebas y la verificación de que el código compila típicamente se automatizan como parte de un proceso llamado integración continua (CI). La CI permite a los equipos validar rápidamente que el nuevo código no introduzca problemas en la base de código existente, mejorando tu capacidad para responder a las solicitudes de los clientes y reducir la sobrecarga de desarrollo. Para este hack, habilitarás GitHub Advanced Security, que es una parte común de un proceso completo de CI.
Criterios de Éxito
- Demostrar que la revisión de dependencias está habilitada para el repositorio.
- Demostrar que el escaneo de código está configurado para ejecutarse en todas los solicitudes de pull requests realizadas a
main. - Verificar que la rama
mainesté configurada para requerir pull requests, y que tanto el escaneo de código como la revisión de dependencias deben aprobarse para que se complete un merge. - Demostrar que se ha realizado una solicitud de pull request a main y que todas las verificaciones han pasado.
IMPORTANTE: Realizarás el merge del PR en
mainen un reto posterior.
Recursos de Aprendizaje
- Entender las GitHub Actions
- Acerca del escaneo de código
- Configurando el escaneo de código en un repositorio
- Acerca de la revisión de dependencias
- Configuración de la revisión de dependencias
- Acerca de las ramas protegidas
- Administrar una regla de protección de rama
- Utilizar el control de código fuente en tu codespace
Tips
- Para este hackaton, primero habilita la revisión de dependencias para el repositorio, espera a que se generen los pull-request correspondientes a las actualizaciones de los paquetes con vulnerabilidades (deberían ser 3). Luego, puedes proceder a habilitar el escaneo de código.
- El motivo del orden anterior se debe a que con la configuración predeterminada de escaneo de código, éste no se ejecutará con los pull requests generados por la revisión de dependencias, ocasionando una advertencia. En caso de obtener la advertencia, simplemente ignórala y continúa con tu trabajo.