⌘K
ENES
GitHub
conceptDevSecOps~1 min de lecturaActualizado Apr 23, 2026

Artifact Integrity

Definición

Artifact integrity es la garantía de que outputs de build, paquetes, imágenes y artifacts de release no fueron manipulados y pueden trazarse hasta el proceso de build previsto.

Por qué importa

Si no podés confiar en lo que se construyó y se shippeó, los checks de seguridad anteriores en el pipeline pierden gran parte de su valor. La integridad trata de preservar confianza desde el source hasta el release. Esto es distinto de dependency-risk y sbom-and-provenance: la pregunta acá es si el artifact shippeado se mantuvo confiable, no solo qué componentes contiene o de dónde vinieron.

Perspectiva del atacante

Los atacantes apuntan a artifact integrity mediante:

  • manipulación de outputs de build
  • reemplazo de artifacts después de CI
  • abuso de controles débiles de release
  • explotación de gaps entre build, storage y deployment

Perspectiva del defensor

Los defensores deberían:

  • limitar quién y qué puede escribir artifacts de release
  • trazar artifacts hasta builds y commits específicos
  • revisar rutas de storage y promoción
  • separar intencionalmente la confianza del build de la confianza del deployment

Ejemplos prácticos

  • un artifact de release en storage es mutable después del build
  • deployment consume “latest” en vez de un artifact inmutable controlado
  • no hay forma confiable de probar qué source produjo un binario shippeado

Notas relacionadas

Referencias

  • Fundamental: NIST SP 800-218 SSDF — https://csrc.nist.gov/pubs/sp/800/218/final
  • Fundamental: OWASP Software Supply Chain Security Cheat Sheet — https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet.html

Notas relacionadas

DevSecOpsASVS como input del proceso de desarrolloEsta nota trata OWASP ASVS no como una checklist post-hoc, sino como un input del proceso de desarrollo para diseñar, revisar y verificar controles técnicos de seguridad durante la implementación. DevSecOpsProtección de ramas y controles de releaseLa protección de ramas y los controles de release son las reglas y mecanismos de governance que determinan quién puede cambiar rutas de código protegidas, aprobar releases y promover artifacts hacia producción. DevSecOpsCI/CD HardeningCI/CD hardening es asegurar el build, test y deployment pipeline para que la automatización se vuelva una ruta de control confiable en vez de un amplificador de ataques. DevSecOpsContainer SecurityContainer security es la práctica de reducir riesgo en cómo las aplicaciones containerizadas se construyen, configuran, shippean y corren. DevSecOpsDependency RiskDependency risk es el riesgo de seguridad introducido por librerías, frameworks y paquetes de terceros directos y transitivos, y por sus patrones de actualización y confianza. DevSecOpsImage ScanningImage scanning es el proceso de inspeccionar container images en busca de vulnerabilidades conocidas, paquetes riesgosos y otros issues antes de promoción o deployment.