La seguridad en la cadena de suministro de software ha cobrado una relevancia destacada desde que un ciberataque significativo contra el gobierno federal de Estados Unidos fue revelado a finales de 2020. Este ataque, que explotó malware integrado durante la construcción de un producto de seguridad ampliamente utilizado, generó una respuesta contundente de parte tanto del gobierno de los EE.UU. como de la industria privada, subrayando la importancia de proteger la cadena de suministro de software ante posibles amenazas.
La magnitud y efectividad del ciberataque de 2020 provocó que la Casa Blanca actuara rápidamente, emitiendo en mayo de 2021 una Orden Ejecutiva para mejorar la ciberseguridad nacional. Dentro de este mandato, se establecieron múltiples medidas para fortalecer la seguridad en la cadena de suministro de software. Hoy, en 2024, la preocupación por este tema persiste. En mayo de este año, se publicó una actualización de la Estrategia Nacional de Ciberseguridad que incluye iniciativas para potenciar la Gestión del Riesgo en la Cadena de Suministro de Ciberseguridad, especialmente en infraestructuras críticas.
El enfoque no solo se limita a las agencias federales. Las empresas proveedoras de servicios en la nube al gobierno están obligadas a cumplir con normativas como FedRAMP, que incorpora estrategias de gestión de riesgos. Por su parte, las empresas privadas, incluso aquellas que no operan con el gobierno, se benefician al implementar políticas internas de seguridad, algo crucial para auditorías como SOC2 o ISO 27001.
La seguridad en el desarrollo de software requiere una comprensión holística del proceso de producción, donde la Open Source Security Foundation (OpenSSF) ha introducido niveles para la seguridad de los artefactos en la cadena de suministro (SLSA). Desde 2020, este marco ha sido un tema frecuente en conferencias de seguridad.
GitHub, por ejemplo, ha destacado la importancia de las prácticas seguras de codificación y gestión de dependencias, y ahora se enfoca en asegurar la integridad del software. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. resalta la necesidad de garantizar la integridad de las versiones de software. En este contexto, GitHub ha implementado atestaciones de artefactos para facilitar la firma de software, empleando tokens de OIDC para obtener certificados de firma de código de forma segura.
Las organizaciones están reforzando sus sistemas, y GitHub ofrece funcionalidades avanzadas alineadas con el marco SLSA, aumentando la seguridad de las construcciones a través de entornos aislados y flujos de trabajo reutilizables. La verificación y firma de software son pasos esenciales que responden a la creciente demanda de seguridad de los consumidores.
En resumen, la seguridad en la cadena de suministro de software se encuentra en constante evolución. Implementar atestaciones de artefactos es una medida proactiva hacia una mejor protección, y plataformas como GitHub están preparadas para apoyar a las organizaciones con herramientas y documentación para enfrentar estos desafíos nuevos y críticos en el ámbito de la ciberseguridad.
