📚Curso disponible
Seguridad DevSecOps
Integra la seguridad desde el diseño con enfoque DevSecOps: SAST/DAST, gestión de secretos y escaneo de imágenes con Trivy. Define y aplica políticas con OPA, protege credenciales con Vault y refuerza controles en AWS (IAM, SCP). Integra todo en los pipelines con quality gates, firmas y SBOM; configura alertas accionables, evidencias de cumplimiento y auditoría. Cierra con buenas prácticas y automatización de respuesta y hardening continuo.
15
Módulos
Contenido del curso
Tema 1 - Introducción a DevSecOps y su Rol en el Ciclo de Vida
10 lecciones
1.1. Definición de DevSecOps y su propósito
1.2. Comparativa entre DevOps y DevSecOps
1.3. Principales retos de seguridad en pipelines modernos
1.4. Ciclo de vida seguro del software (SSDLC)
1.5. Seguridad como código (Security as Code)
1.6. Cambios culturales y responsabilidad compartida
1.7. Modelo de amenazas y análisis de riesgos temprano
1.8. Auditoría continua y trazabilidad en entornos DevOps
1.9. Herramientas clave en un stack DevSecOps
1.10. DevSecOps en entornos cloud y contenedores
Tema 2 - Gestión de Secretos con Vault y GitHub Actions
10 lecciones
2.1. ¿Qué es un secreto y por qué protegerlo?
2.2. Consecuencias de una mala gestión de secretos
2.3. GitHub Secrets vs. herramientas externas
2.4. Instalación local de Vault para pruebas
2.5. Autenticación y políticas en Vault
2.6. Lectura de secretos en pipelines de GitHub Actions
2.7. Rotación automática y expiración de secretos
2.8. Seguridad de los secretos en tiempo de ejecución
2.9. Vault Agent y sidecar en Kubernetes
2.10. Alternativas modernas a Vault: Doppler, AWS Secrets Manager, SOPS
Tema 3 - Escaneo de Vulnerabilidades en Imágenes Docker
10 lecciones
3.1. Introducción a los escáneres de vulnerabilidades de imágenes
3.2. Trivy: instalación y primer escaneo de imagen local
3.3. Configuración de Trivy en GitHub Actions
3.4. Snyk CLI y autenticación para escaneos Docker
3.5. Comparativa: Trivy vs Snyk vs Grype
3.6. Políticas de seguridad: failing thresholds y severidades
3.7. Excluir falsos positivos y gestionar excepciones
3.8. Escaneo de imágenes almacenadas en GHCR o Docker Hub
3.9. Informes automáticos y alertas a Slack o email
3.10. Escaneos programados y gestión continua de seguridad
Tema 4 - Políticas de Seguridad con Open Policy Agent (OPA)
10 lecciones
4.1. ¿Qué es OPA y por qué usarlo en DevOps?
4.2. Introducción a Rego, el lenguaje de políticas de OPA
4.3. Instalación y primeros tests con OPA CLI
4.4. Uso de OPA con Kubernetes (Gatekeeper)
4.5. Ejemplos prácticos: políticas sobre etiquetas, namespaces y límites de CPU
4.6. Integración de OPA en pipelines CI/CD
4.7. Escenario real: denegar deployments en producción sin PR aprobada
4.8. Visualización y auditoría de decisiones de OPA
4.9. Pruebas automatizadas de políticas OPA con test de Rego
4.10. Mejores prácticas al escribir y organizar políticas
Tema 5 - Gestión de secretos en DevOps
10 lecciones
5.1. Qué se considera un "secreto" en DevOps
5.2. Buenas prácticas para evitar secretos en el código fuente
5.3. Uso seguro de GitHub Secrets en Actions
5.4. Control de acceso granular a secretos en GitHub y AWS
5.5. Integración con AWS Secrets Manager
5.6. HashiCorp Vault: introducción, arquitectura y casos de uso
5.7. Inyección dinámica de secretos en contenedores y pods
5.8. Escaneo de secretos expuestos en repositorios (TruffleHog, Gitleaks)
5.9. Rotación de secretos y expiración automática
5.10. Estrategias para ambientes multi-cloud y equipos distribuidos
Tema 6 - Introducción a CloudFormation
10 lecciones
6.1. Qué es CloudFormation y en qué se diferencia de Terraform
6.2. Estructura de una plantilla CloudFormation (YAML o JSON)
6.3. Recursos básicos en plantillas: EC2, S3, IAM y VPC
6.4. Stack y StackSet: conceptos clave
6.5. Uso de parámetros y variables en plantillas
6.6. Outputs y exports: comunicación entre stacks
6.7. CloudFormation Designer y herramientas visuales
6.8. Control de cambios y política de actualización de recursos
6.9. Rollback y manejo de errores en despliegues fallidos
6.10. Cuándo elegir CloudFormation frente a Terraform
Tema 7 - Arquitecturas multi-entorno con Terraform y buenas prácticas de organización
10 lecciones
7.1. Entornos en proyectos DevOps: dev, staging, prod
7.2. Patrones de organización de carpetas y archivos
7.3. Módulos reutilizables vs específicos por entorno
7.4. Nombres de recursos y etiquetas según entorno
7.5. Workspaces de Terraform: uso adecuado y limitaciones
7.6. Variables por entorno (tfvars)
7.7. Encriptación y segregación de secretos por entorno
7.8. Deploys por entorno: flujos GitOps reales
7.9. Pruebas y validación por entorno (terraform validate y plan)
7.10. Casos reales y ejemplos de estructura por entorno
Tema 8 - Backends remotos, datos externos y gestión avanzada del estado en Terraform
10 lecciones
8.1. ¿Qué es el estado en Terraform y por qué importa?
8.2. Limitaciones del estado local en equipos y automatización
8.3. Introducción a los backends remotos
8.4. Configuración de backend en AWS S3 con bloqueo en DynamoDB
8.5. Alternativas de backend: GCS, Azure Blob, HashiCorp Consul, etcd
8.6. Lectura de datos externos: external, local-exec, data
8.7. Variables sensibles y el estado: protección y riesgos
8.8. Bloqueo de estado: cómo evitar conflictos y errores
8.9. Recuperación y versionado del estado
8.10. Visualización, análisis y limpieza del estado
Tema 9 - Control de versiones y artefactos en entornos IaC orientados a SecDevOps
10 lecciones
9.1. Rol del versionado en la trazabilidad y auditoría DevSecOps
9.2. Versionado semántico (SemVer) aplicado a módulos y stacks
9.3. Uso del lockfile (.terraform.lock.hcl) como control de integridad
9.4. Firmado de módulos y verificación de fuentes confiables
9.5. Registro privado de módulos: aislamiento y gobernanza
9.6. Control de versiones en artefactos de despliegue (imágenes, manifests, charts)
9.7. Auditoría de cambios con Git y políticas de PR obligatorias
9.8. Integración de Terraform con herramientas de escaneo SCA (Software Composition Analysis)
9.9. Automatización del versionado seguro en pipelines
9.10. Aplicación práctica: control completo sobre un módulo sensible (ej. creación de claves)
Tema 10 - Aplicación de políticas y compliance con Sentinel, OPA y herramientas equivalentes
10 lecciones
10.1. ¿Qué es Policy as Code y por qué es crítica en IaC?
10.2. Introducción a Sentinel (HashiCorp) y su modelo de políticas
10.3. Estructura de una política Sentinel: rules, imports, conditions
10.4. Uso de Open Policy Agent (OPA) para validar manifiestos e infraestructura
10.5. Integración de OPA en GitHub Actions o CI pipelines
10.6. Políticas comunes en entornos seguros: cifrado, redes, tagging, límites de coste
10.7. Revisión de políticas públicas y buenas prácticas: conjuntos predefinidos
10.8. Implementación de auditoría preventiva (pre-apply) y correctiva (post-deploy)
10.9. Notificación y bloqueo de cambios que violan políticas
10.10. Taller práctico: crear una política que impida instancias públicas y que se ejecute en el pipeline
Tema 11 - Escaneo de vulnerabilidades en IaC con Trivy, Checkov, tfsec y más
10 lecciones
11.1. Qué es el escaneo estático de IaC y su papel en DevSecOps
11.2. tfsec: detección de problemas en código Terraform
11.3. Checkov: análisis de múltiples lenguajes IaC (Terraform, CloudFormation, Kubernetes)
11.4. Trivy: escáner todo-en-uno para imágenes, IaC y repositorios
11.5. Comparativa práctica tfsec vs Checkov vs Trivy
11.6. Cómo integrar estas herramientas en GitHub Actions, GitLab CI o Jenkins
11.7. Filtros y niveles de severidad: gestión de falsos positivos y políticas toleradas
11.8. Generación de informes y visualización de hallazgos
11.9. Mantenimiento de reglas personalizadas para la organización
11.10. Laboratorio guiado: configurar tfsec, Trivy y Checkov en un mismo repo IaC real y revisar los resultados
Tema 12 - Protección y escaneo de imágenes Docker en el pipeline
10 lecciones
12.1. Introducción a la seguridad de imágenes en DevSecOps
12.2. Escaneo con Trivy: imágenes base, paquetes, dependencias y configuraciones
12.3. Escaneo con Docker Scout (antes Docker Scan) y Grype
12.4. Automatización en pipelines CI: fallar builds si se detectan CVEs críticas
12.5. Minimizar imágenes y eliminar capas innecesarias como medida preventiva
12.6. Gestión de vulnerabilidades falseadas: excepciones seguras y aceptadas
12.7. Notificaciones y alertas: resultados del escaneo en tiempo real para el equipo
12.8. Escaneo desde repositorios públicos: GitHub Container Registry y Docker Hub
12.9. Introducción a la firma de imágenes y políticas de verificación con cosign y Sigstore
12.10. Laboratorio guiado: construir imagen vulnerable, escanear con Trivy y fallar la pipeline si se detecta una vulnerabilidad crítica
Tema 13 - Open Policy Agent (OPA) y políticas en Kubernetes y CI/CD
10 lecciones
13.1. ¿Qué es Open Policy Agent (OPA) y por qué se usa en DevSecOps?
13.2. Fundamentos de Rego: el lenguaje de políticas de OPA
13.3. Implementación de OPA como webhook en Kubernetes (Gatekeeper)
13.4. Ejemplos de políticas: prohibir imágenes :latest, restringir nodos privilegiados, etc.
13.5. Integración de OPA en pipelines CI/CD para validar manifiestos antes del deploy
13.6. Gestión de políticas como código: versionado, pruebas y despliegue de reglas
13.7. Uso de Constraint Templates y Constraint en Gatekeeper
13.8. Auditoría continua: modo dry-run y reportes de incumplimiento
13.9. Comparativa: OPA vs Kyverno vs herramientas específicas de Kubernetes
13.10. Laboratorio guiado: escribir y probar una política OPA que impida desplegar pods sin límites de CPU o memoria
Tema 14 - Gestión de secretos avanzada: Vault, SealedSecrets y escaneo de secretos expuestos
10 lecciones
14.1. Qué son los secretos y por qué son críticos en pipelines y producción
14.2. Introducción a HashiCorp Vault: arquitectura y conceptos clave
14.3. Uso de Vault para gestionar tokens, claves y certificados en pipelines
14.4. Autenticación segura desde Kubernetes: Vault Agent y sidecar injector
14.5. Alternativas ligeras: Kubernetes SealedSecrets con kubeseal
14.6. Buenas prácticas para evitar secretos hardcodeados y exposición accidental
14.7. Escaneo de secretos con herramientas como TruffleHog, Gitleaks o detect-secrets
14.8. Políticas de rotación automática y acceso temporal a secretos
14.9. Almacenamiento de secretos en AWS Secrets Manager vs AWS Parameter Store
14.10. Laboratorio guiado: integrar Vault en un pipeline GitHub Actions para extraer credenciales de forma segura
Tema 15 - Cumplimiento normativo, auditoría y seguridad como código
10 lecciones
15.1. ¿Qué es el cumplimiento en entornos DevSecOps? Normas clave: ISO 27001, SOC2, NIST, GDPR
15.2. Auditoría automatizada de pipelines y acceso: qué, quién y cuándo
15.3. Implementación de controles con herramientas como OPA (Open Policy Agent)
15.4. Seguridad como código: definición, ventajas y herramientas principales
15.5. Control de cambios y aprobaciones en pipelines (policy-as-code)
15.6. AWS Config y AWS Security Hub: auditoría y cumplimiento continuo en la nube
15.7. Uso de Terraform Sentinel y Conftest para validar código IaC
15.8. Evidencias y documentación de cumplimiento para auditores
15.9. Cuadro de mandos de cumplimiento: métricas y visualización con Grafana, Kibana o soluciones cloud-native
15.10. Laboratorio final: pipeline con controles OPA, validación IaC, escaneos y logs de auditoría centralizados
¿Listo para empezar?
Aprende a desarrollar desde 0 con IA integrada. Practica, resuelve retos reales, con correcciones inmediatas y completamente tutorizado.