La seguridad en la cadena de suministro de software ha captado la atención mundial tras un ciberataque significativo al gobierno federal de Estados Unidos, revelado a finales de 2020. Este evento, que usó malware integrado durante la fase de construcción de un software de seguridad muy utilizado, impulsó rápidas acciones por parte del gobierno de EE.UU. y de la industria privada, destacando la importancia de fortalecer la seguridad en todas las etapas del desarrollo de software.
El ataque de 2020 fue particularmente devastador, motivando a la Casa Blanca a emitir una Orden Ejecutiva en mayo de 2021 enfocada en mejorar la ciberseguridad nacional, con directrices específicas para asegurar la cadena de suministro de software. Para 2024, esta preocupación sigue vigente, reflejada en la actualización de la Estrategia Nacional de Ciberseguridad, que promueve prácticas robustas de gestión de riesgos en sectores clave de infraestructura.
No solo el gobierno estadounidense se ha visto afectado. Las empresas que ofrecen servicios en la nube deben adherirse a normativas estrictas como FedRAMP, que integran estrategias de gestión de riesgos para la cadena de suministro. Incluso las empresas que no interactúan directamente con el gobierno están tomando medidas proactivas para gestionar sus riesgos de seguridad, proporcionando evidencia de cumplimiento para auditorías como SOC2 o ISO 27001.
La Open Source Security Foundation ha tomado un rol proactivo al desarrollar el marco SLSA, que define niveles de seguridad para los artefactos en la cadena de suministro. Conferences de seguridad han integrado este marco desde 2020, y en plataformas como GitHub se promueven activamente prácticas de codificación seguras y buen manejo de dependencias.
Actualmente, se pone un fuerte énfasis en asegurarse de que el software no se manipule durante su construcción. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. recalca la importancia de verificar la integridad de las versiones de software y proteger los certificados de firma de código.
GitHub ha adoptado un enfoque práctico permitiendo la firma de software durante sus acciones usando atestaciones de artefactos, simplificando la gestión de claves y la verificación offline de firmas. Alineado con el marco SLSA, GitHub ofrece herramientas avanzadas para elevar la seguridad en la construcción de software, garantizando ejecuciones en entornos aislados y la utilización de flujos de trabajo reutilizables.
En resumen, la seguridad en la cadena de suministro de software es una cuestión dinámica, con un creciente énfasis en la firma y verificación de construcciones como medidas proactivas para mejorar la seguridad. A medida que la demanda por mejores prácticas de seguridad crece, GitHub permanece comprometido en proporcionar herramientas y documentación necesarias para enfrentar los continuos desafíos en este ámbito crucial.