EXUN TECH • APPSEC

Pipeline Green, Production Vulnerable Pipeline Verde, Producción Vulnerable

How insecure code silently reaches production — and how to block it. Cómo el código vulnerable llega a producción — y cómo frenarlo antes de que explote

HOOK

Most teams track deployments.
Few track the risk they ship. La mayoría mide deployments.
Pocos miden el riesgo que entregan.

“Green pipeline” is not a security control. “Pipeline en verde” no es un control de seguridad.

“Green pipeline” is not a security control. "Pipeline en verde” no es un control de seguridad.

Pipeline

Negocio

Chuck Norris meme

Seguridad

Eyes meme
THE ILLUSION

A successful pipeline can still ship vulnerabilities. Un pipeline exitoso puede igual publicar vulnerabilidades.

Commit → Build → Test → Deploy → Production

If security is manual, late, or optional… it becomes invisible — until an incident makes it visible. Si la seguridad es manual, tardía u opcional… se vuelve invisible — hasta que un incidente la hace visible.

Metric #1: Cost of late detection Métrica #1: Costo de detectar tarde

Same issue — radically different cost depending on when you find it. Mismo problema — costo radicalmente distinto según cuándo lo encontrás.

DevelopmentDesarrollo
QA / StagingQA / Staging
30× ProductionProducción

Strategy: detect early, fix cheaply, avoid emergency releases. Estrategia: detectar temprano, arreglar barato, evitar releases de emergencia.

  • Hotfixes + unplanned workHotfixes + trabajo no planificado
  • Rollback / downtime riskRiesgo de rollback / downtime
  • Cross-team coordinationCoordinación entre equipos
  • Customer impact + reputationImpacto al cliente + reputación

Metric #2: Findings by severity (example) Métrica #2: Hallazgos por severidad (ejemplo)

Findings by severity

It doesn't matter the total number,
it's about the severity.No importa la cantidad,
sino la criticidad.

DEVSECOPS

Make the secure path the fastest path. Hacé que el camino seguro sea el más rápido.

Code → SASTSCAIaCContainerPolicy Enforcement → Deploy

Technical: fast feedback in PRs.
Strategic: risk-based policies + measurable outcomes. Técnico: feedback rápido en PRs.
Estratégico: políticas por riesgo + resultados medibles.

Metric #3: If it’s not enforced, it’s optional. Métrica #3: Si no es obligatorio, es opcional.

Enforcement makes risk visible — and visibility changes behavior. La aplicación de reglas hace visible el riesgo — y la visibilidad cambia el comportamiento.

Optional (before)Opcional (antes)

  • Security review is late / manualLa revisión es tardía / manual
  • Findings discovered after releaseHallazgos post-release
  • Hotfix cultureCultura de hotfix
Critical reaching prodCríticos a prodHigh

Enforced (after)Oblicatorio (después)

  • Automated scanning in CI/CDEscaneo automático en CI/CD
  • Block Critical/High by policyBloqueo por política
  • Trends + MTTR trackedTendencias + MTTR
Critical reaching prodCríticos a prodLow

DEMO

Demo
CLOSING

The question isn’t if you have vulnerabilities.
It’s when you detect them. La pregunta no es si tenés vulnerabilidades.
Es cuándo las detectás.

Security is not a stage. It’s a practice — enforced by automation. La seguridad no es una etapa. Es una práctica — reforzada por automatización.