Ataque a la cadena de suministro: Megalodon compromete 5500 repositorios de GitHub

afectado por Megalodon, asuma que todos los secretos accesibles por sus runners han sido comprometidos. Es fundamental revocar y rotar todas las claves de AWS, GCP, Azure, tokens de Kubernetes, claves SSH y tokens de API de servicios externos.

Uso de OIDC y privilegios mínimos: En lugar de almacenar secretos persistentes dentro de las variables del repositorio, priorice el uso de proveedores de identidad federados a través de OpenID Connect (OIDC) para generar credenciales temporales de corto alcance de manera dinámica durante la ejecución de los flujos de trabajo.

Verificación de firmas de commit: Implementar políticas organizacionales que requieran obligatoriamente commits firmados criptográficamente mediante GPG, SSH o S/MIME, impidiendo que cambios realizados por cuentas suplantadas que usan alias como build-bot sean aceptados sin una clave de firma privada válida.

(228 words)

La era de dar por sentado que los scripts automáticos de mantenimiento son benignos ha llegado a su fin. Megalodon no solo representa un golpe masivo a más de cinco mil proyectos, sino que redefine los parámetros de la ciberseguridad en el desarrollo colaborativo, exigiendo que cada commit, cada bot y cada flujo de trabajo sea verificado con el mismo rigor con el que se evalúa el código de producción más crítico de una corporación. (73 words)

Let’s sum the revised word counts:
138 + 9