La seguridad en la cadena de suministro de software ha cobrado relevancia tras un significativo ciberataque al gobierno federal de Estados Unidos, descubierto a finales de 2020. Este ataque, que explotó un malware introducido durante la construcción de un producto de seguridad ampliamente utilizado, ha provocado respuestas del gobierno estadounidense y de la industria privada, subrayando la importancia de salvaguardar la cadena de suministro de software.
El evento de 2020 mostró ser notablemente poderoso y llevó al gobierno de Estados Unidos a responder de inmediato. Como consecuencia, en mayo de 2021, la Casa Blanca promulgó una Orden Ejecutiva para mejorar la ciberseguridad nacional, detallando pasos específicos para reforzar la seguridad en la cadena de suministro de software.
En 2024, esta preocupación sigue vigente. En mayo, la Casa Blanca lanzó la segunda versión del Plan de Implementación de la Estrategia Nacional de Ciberseguridad. Una de sus iniciativas clave es la promoción de prácticas de gestión del riesgo en la cadena de suministro de ciberseguridad dentro de sectores críticos de infraestructura. En agosto, la Oficina del Director Nacional de Ciberseguridad recogió opiniones de la comunidad de código abierto y del sector privado, subrayando la necesidad de fortalecer esta cadena.
El impacto de estos cambios no solo se siente en las agencias federales de EE.UU. Las empresas que proveen servicios en la nube al gobierno deben adherirse a normativas como FedRAMP, que incorpora el sistema de control NIST 800-53, el cual establece estrategias para gestionar riesgos en la cadena de suministro. Incluso las empresas que no interactúan directamente con el gobierno deberían considerar implementar políticas de gestión de seguridad en la cadena de suministro de software, ya que esto puede servir como evidencia en auditorías SOC2 o ISO 27001.
La Open Source Security Foundation (OpenSSF) ha desarrollado niveles para la seguridad de artefactos en la cadena de suministro (SLSA), ofreciendo un marco que ha ganado relevancia en conferencias de seguridad desde 2020. En plataformas como GitHub se ha discutido sobre prácticas seguras en la codificación y manejo de dependencias, enfatizando la integridad de las construcciones y asegurando que el software no sea manipulado.
GitHub ha implementado atestaciones de artefactos que permiten la firma de software durante las acciones de GitHub, utilizando tokens de OIDC para asegurar certificados de firma de código. Esto simplifica la gestión de firmas y permite verificar las mismas de manera offline.
Conforme las organizaciones buscan robustecer sus prácticas de seguridad, GitHub ofrece funcionalidades avanzadas alineadas con el marco SLSA, mejorando la seguridad mediante el uso de entornos de construcción aislados y flujos de trabajo reutilizables. Se recomienda comenzar a firmar y verificar software utilizando atestaciones de artefactos, un paso crucial en la mejora de la seguridad, demandado por consumidores. GitHub está preparado para proporcionar herramientas y documentación para afrontar desafíos futuros en esta área crítica.
