La seguridad en la cadena de suministro de software ha cobrado una relevancia crítica desde el ciberataque significativo contra el gobierno federal de Estados Unidos a finales de 2020. Este incidente, que involucró la inserción de malware en un producto de seguridad ampliamente usado, desencadenó una serie de respuestas tanto gubernamentales como del sector privado, subrayando la urgencia de proteger los procesos de desarrollo de software.
A raíz del ataque, el gobierno estadounidense respondió con celeridad. En mayo de 2021, la Casa Blanca emitió una Orden Ejecutiva sobre Mejora de la Ciberseguridad Nacional, destacando en su cuarta sección una serie de medidas para resguardar la cadena de suministro de software. Este compromiso con la seguridad se ha mantenido firme durante los años posteriores.
Para 2024, el esfuerzo por asegurar la cadena de suministro de software permanece en la agenda. En mayo, la administración del presidente actual lanzó la segunda versión del Plan de Implementación de la Estrategia Nacional de Ciberseguridad. La iniciativa 5.5.4, parte de este plan, busca promover prácticas cruciales de Gestión del Riesgo en la Cadena de Suministro, especialmente en sectores críticos de infraestructura. En agosto del mismo año, la Oficina del Director Nacional de Ciberseguridad recopiló y publicó comentarios del sector privado y la comunidad de código abierto, poniendo de relieve la necesidad urgente de reforzar las defensas en la cadena de suministro de software.
El impacto de estos cambios regulativos se extiende más allá de las agencias federales. Las empresas proveedoras de servicios de nube al gobierno deben cumplir estrictas normativas como FedRAMP y adoptar el sistema de control NIST 800-53. Estas políticas no solo son relevantes para las compañías con contratos gubernamentales; todas las empresas pueden beneficiarse al implementar estrategias internas de gestión de la cadena de suministro de software, ayudándolas a cumplir con auditorías importantes como SOC2 o ISO 27001.
La Open Source Security Foundation (OpenSSF) ha desarrollado un marco llamado SLSA (Supply Chain Levels for Software Artifacts) para asegurar los procesos de producción de software. Este marco se ha convertido en un estándar de referencia en conferencias de seguridad globales desde 2020.
GitHub ha contribuido con prácticas seguras para la codificación y manejo de dependencias, y ha centrado esfuerzos en garantizar la integridad de las construcciones de software, evitando manipulaciones. La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE.UU. recalca la importancia de verificar la integridad de las versiones de software y proteger adecuadamente los certificados de firma de código.
En el entorno de GitHub, la implementación de atestaciones de artefactos para firmar software durante las acciones de GitHub, junto al uso de tokens de OIDC, ofrece un método seguro y asequible para la gestión de firmas. Estas medidas permiten a los desarrolladores verificar firmas fuera de línea, facilitando la rotación de claves y la ampliación de las capacidades de seguridad.
Mientras las organizaciones refuerzan sus prácticas de seguridad, GitHub se ha alineado con el marco SLSA, proporcionando herramientas avanzadas para mejorar la seguridad del proceso de desarrollo. Estas herramientas promueven la ejecución de construcciones en entornos aislados y facilitan flujos de trabajo reutilizables.
A medida que la seguridad de la cadena de suministro de software evoluciona, firmar y verificar construcciones se vuelve crucial. Este enfoque es demandado cada vez más por consumidores y clientes. GitHub está preparado para ofrecer no solo herramientas sino también documentación para apoyar a las organizaciones en la mitigación de nuevos desafíos en esta área fundamental.
