En un entorno digital donde la seguridad en la cadena de suministro se ha convertido en un tema prioritario, GitHub ha implementado una innovadora función: las «Artifact Attestations». Esta herramienta está diseñada para mejorar la confianza y la trazabilidad de los despliegues en la nube, permitiendo tanto a desarrolladores como a empresas asegurar la procedencia e integridad de sus componentes desde el código fuente original.
La complejidad regulatoria actual empuja a las organizaciones a contar con mecanismos que garanticen procesos seguros y transparentes. GitHub Artifact Attestations cumple con los estándares de nivel 2 de construcción de SLSA v1.0 (Supply Chain Levels for Software Artifacts), lo que dota a los equipos de desarrollo de información crucial para evaluar sus compilaciones.
Con esta nueva funcionalidad, los usuarios pueden generar atestaciones para cada tipo de artefacto que utilicen, incluyendo desde ejecutables y paquetes hasta registros completos de contenedores y archivos comprimidos. La integración de esta medida adicional de seguridad en GitHub Actions es sencilla: se requiere simplemente añadir una acción post-construcción y configurar los parámetros para verificar su origen.
Uno de los elementos fundamentales en este nuevo proceso es la verificación de despliegues en Kubernetes. A través de un controlador de admisión dentro de estos entornos, se garantiza que solo las imágenes con atestaciones verificables son desplegadas. Esta medida no solo previene vulnerabilidades de seguridad, sino que también asegura que las imágenes lleguen a producción siguiendo los procesos autorizados.
Antes de la implementación de este controlador, es crucial verificar su origen con herramientas de GitHub CLI. Una vez comprobado, el controlador de políticas de Sigstore se instala junto con las políticas de confianza de GitHub usando Helm. Esta implementación se asegura de que únicamente las imágenes firmadas por una organización reconocida sean aceptadas en el clúster.
Estas acciones permiten a las organizaciones reforzar la seguridad e integridad de sus despliegues en la nube. Además, al adoptar este enfoque, las empresas no solo cumplen con las normativas actuales sino que se preparan para enfrentar futuros desafíos regulatorios en el ámbito de la cadena de suministro digital.
La introducción de las atestaciones de artefactos representa un significativo avance para cualquier compañía que busque proteger sus entregas en la nube, estableciendo un nuevo estándar en la gestión de la cadena de suministro en el actual panorama tecnológico.
