En un mundo donde la seguridad en la cadena de suministro digital cobra cada vez más importancia, GitHub ha dado un paso significativo al hacer disponibles las «Artifact Attestations» para mejorar la confianza y rastreabilidad de los despliegues en la nube. Esta funcionalidad permite a los desarrolladores y empresas crear garantías de procedencia e integridad, asegurando que cada componente que despliegan pueda ser trazado hasta su código fuente original.
La creciente presión regulatoria sobre las organizaciones requiere de herramientas robustas que aseguren procesos seguros y transparentes. GitHub Artifact Attestations cumple con los requisitos del nivel 2 de construcción de SLSA v1.0, lo que proporciona a los equipos de desarrollo la capacidad de tomar decisiones informadas sobre sus compilaciones.
Con esta nueva característica, los usuarios pueden crear atestaciones para cualquier tipo de artefacto, desde ejecutables y paquetes hasta registros de contenedores e incluso archivos comprimidos. La adición de esta capa de seguridad y trazabilidad es sencilla dentro de los flujos de trabajo de GitHub Actions. Solo es necesario incluir una acción específica después de construir el artefacto y configurar algunos parámetros para verificar su procedencia.
Una parte crucial de este proceso es la verificación de despliegues en entornos de Kubernetes. Usar un controlador de admisión dentro de Kubernetes asegura que solo se desplieguen imágenes con atestaciones verificables. Esto no solo protege contra vulnerabilidades de seguridad, sino que también garantiza que se sigan los procesos aprobados para llevar las imágenes a producción.
Antes de implementar este controlador, se recomienda verificar su origen utilizando las herramientas de GitHub CLI. Una vez confirmado, el controlador de políticas de Sigstore se instala mediante Helm, junto con las políticas de confianza de GitHub. Esta instalación asegura que solamente las imágenes firmadas por una organización específica serán aceptadas en el clúster.
Con estas medidas, las organizaciones pueden tener mayor confianza en la seguridad y la integridad de sus despliegues en la nube. Además, este enfoque no solo cumple con los requisitos actuales de seguridad, sino que posiciona a las empresas para enfrentar futuros desafíos regulatorios en la cadena de suministro digital.
El camino hacia la atestación de artefactos es un avance crucial para cualquier empresa que desee asegurar y validar sus entregas en la nube, estableciendo así un nuevo estándar en la gestión de la cadena de suministro en entornos tecnológicos modernos.
vía: GitHub Security
