2. Cuarentena Automatizada de Artefactos¶
Todo lo que entra del exterior —actualizaciones, imágenes, librerías— pasa por un proceso de verificación antes de llegar a producción. Entre docker pull y docker compose up hay un pipeline completo de seguridad.
Pipeline de cuarentena¶
Internet → Forgejo Registry (cacheo)
→ Trivy: escaneo de vulnerabilidades (CVEs)
→ Cosign: verificación de firma digital (Sigstore)
→ Syft: generación de SBOM (inventario de dependencias)
→ Staging: despliegue en LXC temporal con tests funcionales
→ Cuarentena: espera según tier del servicio
→ Promoción a producción
Períodos de cuarentena¶
| Tier | Cuarentena | Hot-path (CVE confirmado) |
|---|---|---|
| Tier A (Crítico) | 60 días | Verificación rápida, sin espera |
| Tier B (Importante) | 14 días | Verificación rápida, sin espera |
| Tier C (Medio) | 7 días | — |
| Tier D-5 (Degradable/Efímero) | Sin cuarentena | — |
Racional: un backdoor en NetBird o Authentik se descubrirá en las noticias antes de 60 días. Para servicios menos críticos, 14 o 7 días bastan para que la comunidad detecte problemas.
Hot-path para parches de seguridad¶
Los CVEs confirmados pueden saltarse la cuarentena pero NUNCA las verificaciones: Trivy, Cosign y staging son obligatorios siempre. Nunca se salta un paso por tiempo, siempre por evidencia.
Relaciones¶
- SLOs (objetivos de nivel de servicio) como Puertas: sin SLOs cumplidos no se promocionan imágenes aunque pasen cuarentena
- Dos Carriles de Cambio: actualizaciones con cuarentena cumplida van por carril rápido
- Nivel 0 y Espejo Local: Forgejo Registry es el espejo local que implementa la cuarentena