Pod Security Standards (PSS) traducido al ingles. Este estandar define tres políticas diferentes para cubrir ampliamente el espectro de seguridad. Estas políticas son acumulativas y van desde muy permisivas hasta muy restrictivas. Esta guía describe los requisitos de cada política.
| Perfil | Descripcion |
|---|---|
| privileged | Política sin restricciones, que proporciona el nivel más amplio posible de permisos. Esta política permite escaladas de privilegios conocidas |
| baseline | Política mínimamente restrictiva que impide las escaladas de privilegios conocidas. Permite la configuración predeterminada (mínimamente especificada) del pod |
| restricted | Política muy restrictiva, siguiendo las mejores prácticas actuales de refuerzo de Pod |
Una vez habilitada la función o instalado el webhook, se puede configurar los namespace para definir el modo de control de admisión que desea utilizar para la seguridad de los pods en cada espacio de nombres. Kubernetes define un conjunto de etiquetas que puede establecer para definir cuál de los niveles predefinidos de Pod Security Standard desea utilizar para un espacio de nombres. La etiqueta que seleccione define la acción que tomará el plano de control si se detecta una posible infracción:
| Modo | Descripción |
|---|---|
| enforce | Éste modo provoca el rechazo del pod |
| audit | Éste modo provocarán el registro del evento en un fichero de eventos de sistema, pero por lo demás están permitidas |
| warn | Éste modo dará lugar a una advertencia dirigida al usuario, pero por lo demás están permitidas |
Para cada modo, hay dos etiquetas que determinan la política utilizada:
# La etiqueta de nivel por modo indica qué nivel de política se debe aplicar para el modo
#
# MODE tiene que ser uno de `enforce`, `audit`, or `warn`.
# LEVEL tiene que ser uno de `privileged`, `baseline`, or `restricted`.
pod-security.kubernetes.io/<MODE>: <LEVEL>
# Opcional: etiqueta de versión por modo que se puede utilizar para fijar la política a la
# versión que se incluye con una versión menor determinada de Kubernetes (por ejemplo, v1.34).
#
# MODE tiene que ser uno de `enforce`, `audit`, or `warn`.
# VERSION tiene que ser una version menor valida de Kubernetes, o `latest`.
pod-security.kubernetes.io/<MODE>-version: <VERSION>
Ejercicios interactivos para distinguir código seguro vs. inseguro. Gratis
Referencia esencial sobre enfoque, checklists y tipos de fallos. Gratis
Cursos gratuitos Semgrep 101 (SAST práctico) y AppSec Foundations (programas y guardrails)
Ideal para meter análisis estático en tu CI.
Módulo en Microsoft Learn + curso "Introduction to CodeQL" y tutoriales para escribir queries. Perfecto para detecciones personalizadas. Gratis
Cubre code review, SAST/DAST y parcheo, con labs
Plataforma gamificada orientada a devs; buena para practicar patrones de fallos por lenguaje (comercial)
Formación enterprise de alto nivel; cara pero muy reconocida
Itinerarios prácticos sobre OWASP Top 10 para equipos (comercial)
]]>"How to do a code review" (guía abierta, excelente para estándares y trade-offs)
Técnicas, checklists y automatización de pruebas
Aprender cómo apoyarte en IA en el review, pros/cons
]]>