Fortalece tu cadena de suministro con el marco de consumo seguro de Microsoft
El desarrollo de software no se trata solo de código; más importante aún, está impulsado por un conjunto de mejores prácticas y pautas que nos ayudan a escribir software mejor y más seguro. Al igual que todas las grandes empresas de software, Microsoft ha desarrollado su propio conjunto de políticas y procedimientos para implementar enfoques como su Ciclo de Vida del Desarrollo Seguro de Software.
Uno de los mayores problemas a los que se enfrenta el desarrollo de software en la actualidad es la creciente cadena de suministro de software, donde los componentes cerrados y de código abierto se unen para construir aplicaciones conocidas. Pero como han mostrado los problemas recientes, es fácil incluir accidentalmente problemas de seguridad en su código cuando se compromete un componente de confianza. El software moderno se basa en fuentes como Docker Hub, NuGet y npm, que extraen código que podría provenir de grandes equipos de software empresarial o de un desarrollador que trabaja en su tiempo libre limitado, solucionando sus propios problemas y compartiendo el código resultante con el resto del mundo.
Asegurando la cadena de suministro de software
La naturaleza modular del código moderno dificulta el seguimiento de todos esos diversos componentes, especialmente cuando se trata de cadenas de dependencias largas y complejas. Solo tienes que instalar un paquete nuevo en una máquina Linux para ver la cadena de dependencias que vienen con un simple software. Esas dependencias visibles son solo una parte de la historia, ya que otras bibliotecas y componentes se compilan en el código que estás utilizando, junto con sus propias dependencias y así sucesivamente en la cadena.
Está claro que necesitamos un conjunto de mejores prácticas para gestionar las cadenas de suministro de software en crecimiento, especialmente cuando posiblemente no conozcamos la procedencia completa del código que estamos utilizando. Las herramientas como los "Bills of Materials" de software son importantes, pero solo muestran lo que sabemos sobre el software que estamos utilizando, no la cadena de suministro completa. Con actores maliciosos que buscan comprometer el software antes de que se distribuya a los repositorios de componentes, debes pasar de confiar en todo el código que utilizas a ser escéptico de forma activa, probando y volviendo a probar antes de que cruce en tus redes de confianza.
El avance de Microsoft hacia la transparencia en la cadena de suministro
A nivel de la industria, se ha prestado mucha más atención a los "Bills of Materials" y la cadena de suministro de software desde que la Casa Blanca emitió su orden ejecutiva "Mejorando la Ciberseguridad de la Nación". Como parte de su respuesta a las políticas del gobierno de los Estados Unidos, Microsoft ha estado abriendo sus herramientas internas al mundo exterior, abriendo herramientas como su Software Package Data Exchange-based SBOM. Ahora eso ha sido seguido por algo que es menos tangible, pero igual de importante: el Secure Supply Chain Consumption Framework, S2C2F.
Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivelParte de sus procesos internos desde 2019, S2C2F comenzó como el marco de cadena de suministro de software de código abierto, ayudando a gestionar cómo Microsoft consumía y contribuía a proyectos de código abierto. Con miles de desarrolladores trabajando con código abierto, es esencial tener una forma de gestionar esas interacciones para proteger a los muchos millones de usuarios de Microsoft, así como a los muchos millones de clientes y usuarios de otros productos que dependen de los componentes de código abierto escritos y mantenidos por Microsoft.
¿Qué es SC2C2F y cómo se utiliza?
El objetivo de los procesos como S2C2F es tener una forma de ver cómo se relaciona tu organización con el código de código abierto, examinando posibles áreas de riesgo y proporcionando un conjunto repetible de acciones que pueden mantener las amenazas a un mínimo. Lo más interesante de S2C2F es que está vinculado con un modelo de madurez, que te ayuda a alcanzar el nivel adecuado de cumplimiento para tu proceso de desarrollo.
Ocho prácticas para asegurar el código
En el centro de S2C2F se encuentran ocho prácticas diferentes, que se centran en interacciones específicas con el código de código abierto y en las amenazas asociadas a ellas:
- Ingestión
- Inventario
- Actualización
- Aplicación
- Auditoría
- Escaneo
- Reconstrucción
- Corrección y envío al origen
Cada práctica es un punto en el ciclo de vida del desarrollo de software donde trabajas con código de código abierto, bibliotecas o componentes y donde debes tener en cuenta las amenazas y los riesgos.
Sería fácil escribir un libro completo sobre estas prácticas, ya que cubren cómo incorporar código de código abierto en tus procesos de desarrollo de software, cómo analizarlo y probarlo y cómo asegurarte de que sea adecuado para su propósito, transmitiendo todas las lecciones aprendidas a otros usuarios potenciales al ser parte de la comunidad de código, enviando solicitudes de cambios e incluso convirtiéndote en mantenedor del proyecto tú mismo, con todas las responsabilidades que ello implica. Una vez que estés utilizando estas prácticas en tu ciclo de vida de desarrollo de software, debes considerar cuán maduras son tus procesos.
Cuatro niveles de madurez organizativa segura
Existen cuatro niveles de madurez. El nivel 1 es cómo funcionan la mayoría de las organizaciones con el código abierto, manteniendo un inventario de lo que se está utilizando y escaneando el software y las bibliotecas entrantes en busca de vulnerabilidades utilizando herramientas de seguridad fáciles de usar. El nivel 1 requiere asegurarse de que todas las dependencias estén actualizadas y escaneadas utilizando las mismas herramientas que el software que se pretende utilizar.
Cómo proteger tu computadora de los virus: métodos y consejosEl nivel 2 agiliza los procesos del nivel 1 para que parches los riesgos más rápido que cualquier actor malicioso y puedas lanzar tus correcciones antes de que se utilicen las vulnerabilidades de día cero.
Moverse al nivel 3 requiere mucho más trabajo, ya que necesitas tener herramientas de seguridad proactivas en uso y segregar el software entrante de tu entorno de desarrollo hasta que haya sido probado y asegurado. El objetivo de este nivel es asegurarte de que no dejes que el software comprometido llegue a tu red.
Gran parte de las herramientas necesarias para llegar al nivel 4 son raras o no existen, ya que se requiere trabajar a gran escala para proteger tu código en tiempo real. Por lo tanto, la mayoría de las empresas deben apuntar al nivel 3. Las empresas de nivel 4 reconstruirán todos los componentes en su propia infraestructura después de un escaneo profundo de código y comprobarán cada componente con su propio SBOM antes de firmar digitalmente el código reconstruido.
Apertura de S2C2F a la comunidad
Microsoft anunció recientemente que S2C2F había sido adoptado por la Open Source Security Foundation como parte del trabajo de su Grupo de Trabajo de Integridad de la Cadena de Suministro. El objetivo es utilizarlo como base de un proceso que pueda aprovechar el trabajo de todos los miembros de OSSF (no solo Microsoft), dirigiéndose a los CISO y profesionales de la seguridad con responsabilidad en el desarrollo de software.
Es un trabajo que todavía está en progreso, pero que vale la pena seguir. Parte del trabajo inicial de OSSF es un documento que vincula S2C2F con otras especificaciones de gestión de la cadena de suministro de código abierto, por lo que si ya estás utilizando tu propio proceso u otro, puedes comenzar a incorporar las lecciones que Microsoft ha aprendido en tu propio negocio.
Con el código abierto, podemos beneficiarnos del trabajo de otras empresas e individuos, y eso tiene tanto que ver con cómo hacen las cosas como con lo que producen. SC2C2F puede haber sido diseñado para Microsoft, pero sus principios son adecuados para cualquier proceso de desarrollo de software.
¡Defiéndete! Protege tu seguridad en línea contra amenazas críticasEn Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Fortalece tu cadena de suministro con el marco de consumo seguro de Microsoft , tenemos lo ultimo en tecnología 2023.
Artículos Relacionados