Automatizaciones y aplicación de políticas integradas

La gestión de identidades y accesos (IAM) es uno de los mayores vectores de ataque en la cadena de suministro de software. Proteja el acceso con GitLab autenticando, autorizando y validando continuamente todas las identidades humanas y de máquinas que operan en su entorno.

• Implemente un control de acceso granular que incluya autenticación de dos factores.
• Establezca políticas de vencimiento de tokens.
• Configure políticas según las normas organizativas o reglamentarias.
• Genere informes de auditoría y gobernanza completos para garantizar el cumplimiento.
• Haga cumplir las aprobaciones de dos personas para obtener medidas de protección adicionales.

Garantice la seguridad y la integridad de su código fuente gestionando quién tiene acceso al código y cómo se revisan y fusionan los cambios en el código.

• Establezca el control de versiones, historial del código y control de acceso a su código fuente.
• Utilice pruebas automatizadas de la calidad del código para analizar el impacto de los cambios en el rendimiento.
• Haga cumplir las reglas de aprobación y revisión para controlar lo que entra en producción.
• Ejecute análisis de seguridad automatizados para detectar vulnerabilidades antes de que se fusione el código.
• Asegúrese de que las contraseñas y la información confidencial no estén en su código fuente a través de la detección de secretos automatizada.
• Implemente confirmaciones firmadas para evitar la suplantación del desarrollador.

Verifique que todas las dependencias de código abierto utilizadas en sus proyectos no contengan vulnerabilidades reveladas, procedan de una fuente confiable y no hayan sido manipuladas.

• Genere una lista de materiales de software de forma automatizada para identificar las dependencias de sus proyectos.
• Identifique automáticamente las vulnerabilidades en cualquier software dependiente utilizado a través de un análisis de composición de software automatizado.
• Ejecute análisis de cumplimiento de licencia para asegurarse de que su proyecto utiliza software cuyas licencias se ajustan a las políticas de su organización.

Impida que los agentes maliciosos inyecten código malicioso en el proceso de desarrollo y obtengan control sobre el software desarrollado por el pipeline o acceso a los secretos utilizados en el pipeline.

• [Aísle su entorno de desarrollo](https://docs.gitlab.com/runner/security/?_gl=1* 1d95r9z*_ga* NTg0MjExODQyLjE2MTk1MzkzOTQ.*_ga_ENFH3X7M5Y * MTY2NDUzNDg3My4xMjkuMS4xNjY0NTM4MDA2LjAuMC4w) para impedir el acceso no autorizado o la ejecución de código malicioso.
• Mantenga las pruebas de lanzamiento de todo lo que se incluye en el lanzamiento.
• Asegúrese de que sus artefactos de desarrollo no se vean comprometidos mediante una [certificación de artefactos de desarrollo](https://docs.gitlab.com/ee/ci/runners/configure_runners.html #artifact-attestation).

Evite que los atacantes saquen provecho de las fallas en el diseño o las configuraciones de una aplicación para robar datos privados, obtener acceso no autorizado a cuentas o hacerse pasar por usuarios legítimos.

• Establezca una conexión segura con su clúster para entregar sus artefactos de lanzamiento.
• Identifique las vulnerabilidades de seguridad en las aplicaciones en ejecución antes de implementar.
• Asegúrese de que sus interfaces de API no expongan su aplicación en ejecución.