DevSecOps and the Machine: Continuous security: from commit to runtime with intelligent agents (The Professional and the Machine)

Un pipeline real. Seguridad real. Agentes que priorizan, no solo alertan.Este no es un libro de herramientas DevSecOps con capturas de pantalla. Es la construccion completa, capitulo a capitulo, de un pipeline de seguridad continua que integra SAST, SCA, DAST, seguridad de contenedores, secret scanning y policy-as-code, todo orquestado por agentes inteligentes que triajan, remedian y priorizan con contexto de negocio.El pipeline usa Semgrep, Trivy, Syft, Grype, Gitleaks, OPA, Falco y OWASP ZAP como motores de ejecucion. Los agentes Claude son la inteligencia que los coordina: reducen falsos positivos un 70-85%, bajan el MTTR de 30-60 dias a 2-5 dias, y generan remediaciones con codigo, no con PDFs que nadie lee.Pero este libro tiene un segundo eje que ningun otro cubre: securizar la IA misma. Prompt injection defense, model supply chain, data poisoning, AI red teaming y compliance con el AI Act. El agente de seguridad tambien necesita ser securizado.Que encontraras en este libro29 capitulos tecnicos organizados en 10 partes que construyen el pipeline de forma incremental:El problema — Por que el software se despliega mas rapido de lo que se securiza. La deuda de seguridad que crece con cada sprint. El coste real de no automatizar.Instrumentar el pipeline — SAST con Semgrep y reglas custom, SCA con Syft y Grype, SBOM como artefacto de primera clase, secret scanning con Gitleaks, seguridad de contenedores con Trivy, DAST con ZAP y agentes Claude.Triaje y remediacion inteligente — Agentes Claude que clasifican hallazgos por impacto real, generan parches de remediacion, priorizan con contexto de negocio y escalan solo lo que importa.Securizar la IA — Prompt injection (directa e indirecta), model supply chain security, data poisoning y training integrity, AI red teaming con agentes ofensivos, compliance con AI Act e ISO 42001.Runtime y observabilidad — Falco para deteccion en tiempo real, respuesta automatizada a incidentes, metricas de seguridad con Prometheus y Grafana.Gobernanza y compliance — Policy-as-code con OPA/Rego, security gates que bloquean despliegues inseguros, dashboards de cumplimiento, preparacion de auditorias automatizada.Cultura y organizacion — Security champions, formacion continua, como medir la madurez DevSecOps sin encuestas inservibles.Casos practicos — Pipeline completo para una startup SaaS, migracion de seguridad legacy a DevSecOps, DevSecOps en entorno regulado.Cada capitulo tiene tres capasConcepto — El que y el por que. Accesible para CISOs, CTOs y perfiles de gestion.Decision — Los trade-offs reales, con alternativas descartadas y sus razones. Para arquitectos de seguridad y platform engineers.Implementacion — Codigo didactico en Python, YAML y Rego. Patrones concretos con Claude Agent SDK, GitHub Actions y herramientas open source. Para quien va a construir su propio pipeline.Sobre los autores: Carlos Perez Gonzalez, arquitecto de soluciones IA con mas de dos decadas de experiencia en ciberseguridad ofensiva y defensiva (OSCE, OSCP, OSWE, OSEP, CREST), constructor de plataformas de seguridad empresarial con IA. Juan C. Montes, arquitecto de ciberseguridad con perfil forense y ofensivo (GCFA, GREM), publicado en PHRACK #65.Libro 9 de la serie El Profesional y la Maquina Read more