La seguridad en la cadena de suministro de software ha cobrado una relevancia sin precedentes tras un significativo ciberataque dirigido contra el gobierno federal de Estados Unidos, destapado a finales del año 2020. Este ataque, que aprovechó malware insertado durante el proceso de construcción de un popular producto de seguridad, desencadenó una serie de reacciones tanto del gobierno estadounidense como de empresas privadas. La gravedad del incidente puso de manifiesto la crucial importancia de proteger la cadena de suministro de software, afectando no solo al sector gubernamental, sino a cualquier organización implicada en el desarrollo de software.
El ciberataque de 2020 fue notablemente poderoso y eficaz, provocando una respuesta inmediata por parte de la administración estadounidense. Como consecuencia, en mayo de 2021, la Casa Blanca emitió una Orden Ejecutiva para mejorar la ciberseguridad nacional. Este documento incluía, en su sección 4, varias medidas enfocadas a reforzar la seguridad en la cadena de suministro de software.
Para el año 2024, este tema sigue siendo una preocupación primordial. En mayo de ese año, se lanzó la segunda versión del Plan de Implementación de la Estrategia Nacional de Ciberseguridad. Sobresale la iniciativa 5.5.4, que promueve intensificar las prácticas esenciales de gestión del riesgo en la cadena de suministro de ciberseguridad en sectores críticos de la infraestructura. Más tarde, en agosto de 2024, la Oficina del Director Nacional de Ciberseguridad recopiló las opiniones de la comunidad de código abierto y del sector privado, subrayando la necesidad imperiosa de robustecer la cadena de suministro de software.
Estos cambios no se limitan solo a las agencias federales estadounidenses. Las empresas que ofrecen servicios en la nube al gobierno están obligadas a cumplir con regulaciones como FedRAMP, que se apoya en el sistema de control NIST 800-53 para gestionar riesgos. Incluso aquellas empresas que no venden directamente al gobierno deberían considerar implementar políticas de gestión de la seguridad en la cadena de suministro de software, lo cual les podría facilitar el cumplimiento en auditorías SOC2 o ISO 27001.
La seguridad de la cadena de suministro de software demanda un entendimiento profundo del proceso de desarrollo del software. La Open Source Security Foundation (OpenSSF) ha propuesto un marco llamado SLSA para mejorar la seguridad de los artefactos de la cadena de suministro, dando a conocer este esquema en diversas conferencias de seguridad desde 2020.
En plataformas como GitHub, se ha destacado la importancia de adoptar prácticas seguras en la codificación y gestión de dependencias. La segunda fase del enfoque en la seguridad de la cadena de suministro se focaliza en garantizar la integridad del software, protegiéndolo contra manipulaciones. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. resalta la necesidad de ofrecer mecanismos para verificar la integridad de las versiones de software, enfatizando la protección de los certificados de firma de código.
GitHub ha implementado atestaciones de artefactos que permiten la firma de software durante acciones en la plataforma, empleando tokens OIDC para obtener de forma segura un certificado de firma de código. Esta estrategia simplifica la rotación de claves y la gestión de firmas, posibilitando la verificación offline de las mismas.
En un entorno donde las organizaciones buscan reforzar sus prácticas de seguridad, GitHub proporciona funciones avanzadas que se alinean con el marco SLSA para mejorar la seguridad en las construcciones. Estas incluyen la ejecución de construcciones en entornos aislados y el empleo de flujos de trabajo reutilizables.
En resumen, la seguridad de la cadena de suministro de software continúa evolucionando. Se recomienda iniciar la firma y la verificación de construcciones utilizando atestaciones de artefactos, un paso proactivo hacia la mejora de la seguridad que será cada vez más demandado por los consumidores. Conforme crecen las exigencias de seguridad, GitHub está preparado para proporcionar herramientas y documentación que aborden estos desafíos críticos en el sector.