Construyendo un pipeline de devsecops con herramientas opensource parte 2-taller

El próximo encuentro será el jueves 18 de septiembre de 2025, de 6:00 P.M. a 8:00 P.M. en la Universidad de Antioquia (UdeA), Bloque 21, Auditorio 326.

En esta charla exploraremos la segunda parte de cómo incorporar la seguridad en todo el ciclo de vida de desarrollo de software utilizando DevSecOps y herramientas opensource.

Para llegar preparados al taller, cada asistente debe contar con una cuenta de GitHub y haber hecho fork del repositorio con las aplicaciones vulnerables en https://github.com/ferchosur/Practica-DevSecOps-HackLab, clonar su fork en el equipo, y tener instalado y funcionando Git (idealmente también GitHub CLI o llaves SSH), Docker/Podman, un clúster local de Kubernetes con kind o minikube, kubectl y Helm .

Es conveniente verificar el entorno con docker run --rm hello-world, kubectl version --client y la creación de un clúster (kind create cluster o minikube start); se recomienda configurar un self-hosted runner de GitHub Actions en el mismo equipo.

Durante el taller aprenderán a montar un pipeline CI/CD en GitHub Actions con controles de seguridad (secret scanning, SAST con Semgrep, SCA/imagen con Trivy, IaC con Checkov), a generar SBOM con Syft, firmar y verificar imágenes con cosign, desplegar en Kubernetes y ejecutar DAST con OWASP ZAP, aplicando ejercicios break/fix para observar y corregir hallazgos reales de seguridad de extremo a extremo.