La seguridad en la cadena de suministro de software ha cobrado una relevancia renovada desde que en 2020 se hiciera público un ciberataque significativo contra el gobierno federal de Estados Unidos. El ataque, que utilizó malware infiltrado durante el proceso de construcción de un producto de seguridad ampliamente difundido, ha impulsado distintas acciones por parte del gobierno estadounidense y la industria privada para abordar las brechas de seguridad. Este evento ha demostrado que la seguridad en la cadena de suministro de software no solo incumbe al gobierno, sino a cualquier entidad involucrada en el desarrollo de software.
En respuesta inmediata a este acontecimiento, en mayo de 2021 la Casa Blanca emitió una Orden Ejecutiva para mejorar la ciberseguridad nacional, destacando pasos esenciales para reforzar la seguridad de la cadena de suministro de software. En 2024, la seguridad sigue siendo una preocupación prioritaria, reflejada en la publicación de la versión 2 del Plan de Implementación de la Estrategia Nacional de Ciberseguridad en mayo de ese año. La iniciativa 5.5.4 dentro de este plan busca promover prácticas robustas de Gestión del Riesgo en la Cadena de Suministro de Ciberseguridad, especialmente en sectores críticos de infraestructura.
En agosto de 2024, la Oficina del Director Nacional de Ciberseguridad presentó un resumen de opiniones recibidas del ámbito del código abierto y el sector privado, enfatizando la urgencia de fortalecer esta cadena. Las empresas que venden servicios en la nube al gobierno federal están obligadas a cumplir con normas como FedRAMP, basado en el sistema de control NIST 800-53, que integra estrategias de gestión de riesgos en la cadena de suministro. Aún las empresas que no lidian directamente con el gobierno se ven incentivadas a adoptar políticas internas de gestión de seguridad, que facilitan la demostración de cumplimiento en auditorías como SOC2 o ISO 27001.
Para asegurar la integridad de las construcciones y evitar que el software sea manipulado, la Open Source Security Foundation (OpenSSF) ha introducido niveles para la seguridad de artefactos (conocidos como SLSA), un marco ampliamente discutido en conferencias de seguridad desde 2020. GitHub, por su parte, ha implementado atestaciones de artefactos para facilitar la firma de software, usando un token OIDC para obtener, de manera segura, un certificado de firma de código. Esto no solo simplifica el proceso de protección de claves y gestión de firmas, sino que también permite que las firmas generadas sean verificadas offline.
En busca de mejorar la seguridad en sus operaciones, GitHub ofrece funciones avanzadas que se alinean con el marco SLSA, incluyendo la ejecución de construcciones en entornos controlados y flujos de trabajo reutilizables. A medida que las expectativas de seguridad continúan evolucionando, la implementación de atestaciones de artefactos para la firma y verificación de las construcciones se convierte en un paso proactivo hacia la protección que los consumidores están comenzando a exigir de manera creciente.
El avance en la seguridad de la cadena de suministro de software refleja una tendencia ineludible de adaptación y refuerzo continuo de medidas preventivas para afrontar las amenazas emergentes, con GitHub liderando una parte crucial del camino en la provisión de herramientas y documentación necesarias para enfrentar estos desafíos.
