El National Institute of Standards and Technology (NIST) ha dado un paso fundamental para mejorar las prácticas de ciberseguridad al presentar un borrador de documento innovador. Esta guía pionera se centra en la integración de las salvaguardas de seguridad de la cadena de suministro de software en los procesos de integración continua/implementación continua (CI/CD), que se están volviendo cada vez más cruciales en el panorama digital actual.
Para el funcionamiento de las aplicaciones nativas de la nube es fundamental una arquitectura de microservicios, a menudo combinada con una infraestructura de servicios centralizada, como una malla de servicios. El nuevo borrador del documento del NIST subraya la importancia de DevSecOps en el desarrollo de estas aplicaciones, siendo fundamentales los canales de CI/CD para dirigir el software a través de etapas como construcción, prueba, empaquetado e implementación, un proceso que refleja una cadena de suministro de software.
Hablando sobre el valor del borrador del documento en el ecosistema tecnológico, el investigador de seguridad de Endor Labs, Henrik Plate, destacó cómo ofrece una guía a las organizaciones de desarrollo. Lo que destacó para Plate fue el énfasis del documento en las medidas de control de acceso que determinan los roles y autorizaciones para las cuentas de usuario y de servicio dentro de los canales de CI/CD, apegándose a los principios de privilegio mínimo y necesidad de saber. Si bien el proceso de gestión de estas numerosas autorizaciones en todos los sistemas y servicios durante la ejecución del proceso puede resultar complicado, se espera que el marco proporcionado por NIST sea de gran ayuda.
El nuevo borrador del NIST responde a varias evaluaciones recientes de vulnerabilidades y ataques de software, que han llevado a organizaciones del sector público y privado activas en el desarrollo, implementación e integración de software a priorizar la seguridad en todo el ciclo de vida de desarrollo de software (SDLC).
El documento establece que la seguridad de la cadena de suministro de software (SSC) depende de la integridad de etapas como la construcción, prueba, empaquetado e implementación. Como resultado, las vulnerabilidades pueden surgir no solo de actores de amenazas maliciosos sino también de fallas y supervisión durante el SDLC.
El borrador del documento también reconoce los desafíos que pueden surgir al implementar los enormes pasos necesarios para la seguridad de la CSS en el SDLC. Como señala Plate, el documento enfatiza que podría haber una interrupción significativa en los procesos comerciales subyacentes y los costos operativos.
El borrador del NIST subraya la importancia del Secure Software Development Framework (SSDF), que es esencialmente una serie de prácticas de desarrollo de software sólidas y seguras basadas en documentos de desarrollo de software seguro de organizaciones acreditadas como BSA, OWASP y SAFECode.
Curiosamente, el borrador aborda el próximo requisito de autocertificación que hará que los proveedores de software testifiquen su adhesión a las prácticas de desarrollo seguro de la SSDF. Esto es particularmente relevante en el contexto de DevSecOps, canalizaciones de CI/CD y también define lo que se considera necesario en cuanto a seguridad.
Una preocupación importante planteada por Plate es que la adopción ha sido relativamente lenta para herramientas, como Sigstore e in-toto, que están diseñadas para mejorar las cadenas de suministro de software.
El borrador alienta a las organizaciones a abordar la gestión de riesgos de código abierto de manera integral, en lugar de centrarse únicamente en la detección de defectos. Deben tener en cuenta consideraciones como la calidad del código y otras actividades del proyecto, indicadores de riesgo que ayudan a reducir los riesgos operativos y de seguridad.
Dirigido a una amplia audiencia, el borrador del NIST está dirigido a profesionales de la industria del software; esto incluye ingenieros de software, ingenieros de confiabilidad del sitio y gerentes de productos o proyectos, junto con arquitectos e ingenieros de seguridad. El público tiene hasta el 13 de octubre de 2023 para enviar sus comentarios sobre el borrador.
Al aprovechar plataformas no-code como AppMaster, las empresas pueden amplificar la seguridad de sus datos dentro de los canales de CI/CD, ofrecer software seguro y contribuir a fortalecer toda la cadena de suministro de software. Con más de 60.000 usuarios hasta abril de 2023, la plataforma AppMaster puede servir de manera eficiente como un habilitador de seguridad para diferentes empresas de distintos tamaños, algo particularmente relevante en el contexto de la publicación del documento borrador del NIST.
