La seguridad en la cadena de suministro de software ha captado la atención pública luego de un ciberataque significativo contra el gobierno federal de Estados Unidos, descubierto a finales de 2020. Este ataque, que empleó malware introducido durante la creación de un producto de seguridad muy utilizado, ha impulsado tanto respuestas gubernamentales como iniciativas del sector privado, resaltando la urgencia de proteger la cadena de suministro de software para todas las entidades que lo desarrollan.
La magnitud del ataque cibernético de 2020 llevó a acciones rápidas por parte del gobierno estadounidense. En mayo de 2021, la Casa Blanca promulgó una Orden Ejecutiva para Mejorar la Ciberseguridad Nacional, especificando pasos claros para robustecer la seguridad en el suministro de software. El avance hacia 2024 demuestra que esta sigue siendo una prioridad, con la publicación de la segunda versión del Plan de Implementación de la Estrategia Nacional de Ciberseguridad. Las iniciativas, como la 5.5.4, se enfocan en expandir prácticas clave de Gestión del Riesgo en la Cadena de Suministro de Ciberseguridad, especialmente en infraestructuras críticas.
Estas medidas no solo afectan a las agencias federales. Las empresas que ofrecen servicios en la nube al gobierno deben alinearse con normativas como FedRAMP, que incorpora el sistema de control NIST 800-53 para gestionar riesgos en la cadena de suministro. Aun aquellas que no estén directamente vinculadas al gobierno deben considerar políticas internas para mantenerse al día en auditorías como SOC2 o ISO 27001.
La Open Source Security Foundation (OpenSSF) ha desarrollado niveles para evaluar la seguridad de los artefactos en la cadena de suministro (SLSA), un marco discutido ampliamente en conferencias de seguridad desde 2020. GitHub se ha enfocado en prácticas seguras de codificación y gestión de dependencias. Ahora, la seguridad de la cadena de suministro también se centra en proteger la integridad de las construcciones y verificar que el software no haya sido manipulado.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. subraya la importancia de verificar la integridad de las versiones de software, protegiendo los certificados de firma de código. GitHub ha implementado atestaciones de artefactos para facilitar la firma en sus acciones, usando tokens OIDC para obtener certificados de forma segura, simplificando así la gestión de firmas y permitiendo verificaciones offline.
Con el objetivo de elevar las prácticas de seguridad, GitHub proporciona funcionalidades avanzadas, alineadas con el marco SLSA, para mejorar la seguridad de las construcciones. Esto incluye entornos de construcción aislados y flujos de trabajo reutilizables.
En resumen, la seguridad de la cadena de suministro de software es un aspecto en constante evolución. Implementar atestaciones de artefactos para firmar y verificar construcciones de software es un paso crucial para mejorar la seguridad, una necesidad cada vez más demandada por los consumidores. GitHub sigue comprometido a proporcionar herramientas y recursos para enfrentar estos desafíos críticos.
