La seguridad en la cadena de suministro de software se ha convertido en un tema de interés público tras un importante ciberataque contra el gobierno federal de Estados Unidos, revelado a finales de 2020. Este incidente, que utilizó malware incorporado durante el proceso de construcción de un producto de seguridad ampliamente utilizado, ha motivado una serie de respuestas tanto del gobierno estadounidense como de la industria privada. Esta situación ha puesto de manifiesto la importancia de la seguridad en la cadena de suministro de software, afectando no solo al gobierno, sino a cualquier entidad que desarrolle software.
El ataque cibernético de 2020 demostró ser excepcionalmente potente y efectivo, lo que llevó a una reacción inmediata del gobierno estadounidense. Así, en mayo de 2021, la Casa Blanca emitió una Orden Ejecutiva sobre Mejora de la Ciberseguridad Nacional. Este documento detallaba, en su sección 4, múltiples pasos para fortalecer la seguridad en la cadena de suministro de software.
Avanzando hasta 2024, la seguridad en la cadena de suministro de software sigue siendo una preocupación central. En mayo de ese año, la Casa Blanca publicó la versión 2 del Plan de Implementación de la Estrategia Nacional de Ciberseguridad. Una de sus iniciativas, la 5.5.4, abogaba por promover y ampliar las prácticas clave de Gestión del Riesgo en la Cadena de Suministro de Ciberseguridad en sectores críticos de infraestructura. Posteriormente, en agosto de 2024, la Oficina del Director Nacional de Ciberseguridad resumió las opiniones recibidas de la comunidad de código abierto y el sector privado, destacando la necesidad de fortalecer la cadena de suministro de software.
Los cambios no solo afectan a las agencias federales de EE.UU. Las empresas que venden servicios en la nube al gobierno deben cumplir con normativas como FedRAMP, que utiliza el sistema de control NIST 800-53. Este sistema incluye estrategias de gestión de riesgos en la cadena de suministro. Incluso aquellas empresas que no venden al gobierno deberían considerar implementar políticas internas de gestión de la seguridad en la cadena de suministro de software, lo cual puede proporcionar evidencia de cumplimiento para auditorías SOC2 o ISO 27001.
La seguridad de la cadena de suministro de software involucra una comprensión integral del proceso de producción del software. Aquí es donde entra en juego la Open Source Security Foundation (OpenSSF), que ha desarrollado niveles para la seguridad de artefactos de la cadena de suministro (SLSA). Este marco ha sido ampliamente difundido en conferencias de seguridad desde 2020.
En GitHub, se ha hablado previamente sobre prácticas seguras de codificación y manejo de dependencias. Para la segunda mitad del enfoque de seguridad en la cadena de suministro de software, la atención se centra en asegurar la integridad de las construcciones y garantizar que el software no haya sido manipulado. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. enfatiza la importancia de proporcionar un mecanismo para verificar la integridad de las versiones de software, protegiendo el certificado de firma de código.
En el ámbito de GitHub, se han implementado atestaciones de artefactos para facilitar la firma de software durante las acciones de GitHub, utilizando el token de OIDC para obtener de manera segura un certificado de firma de código. Esto simplifica enormemente el proceso de rotación de claves y la gestión de firmas, permitiendo verificar de manera offline las firmas generadas.
A medida que las organizaciones buscan fortalecer sus prácticas de seguridad, GitHub ofrece funcionalidades avanzadas, alineadas con el marco SLSA, para elevar el nivel de seguridad de las construcciones. Esto incluye la ejecución de construcciones en entornos aislados y el uso de flujos de trabajo reutilizables.
En conclusión, la seguridad de la cadena de suministro de software es un tema en constante evolución. Es recomendable comenzar a firmar y verificar las construcciones de software utilizando atestaciones de artefactos, un paso proactivo hacia la mejora de la seguridad que cada vez más consumidores demandarán. A medida que las necesidades de seguridad se amplíen, GitHub está dispuesto a ofrecer herramientas y documentación para enfrentar nuevos desafíos en esta área crítica.
vía: GitHub Security
