Blog

Coescrito con Viktor Kartashov. El estándar NIST SP 800-190 proporciona directrices estructuradas para proteger las aplicaciones en contenedores, abarcando desde la procedencia de las imágenes hasta los controles de tiempo de ejecución. A medida que el uso de contenedores se dispara en entornos DevOps dinámicos, alinearse con estos requisitos se vuelve esencial y desafiante. Pero el SP 800-190 es solo un caso práctico. La idea principal es […]

¿Qué es in-toto y cómo protege la cadena de suministro de software? Los ataques a la cadena de suministro de software, como los observados en los últimos años (3CX, Codecov y Solarwinds), han puesto de manifiesto la fragilidad de los procesos de desarrollo tradicionales. En respuesta, la comunidad de código abierto desarrolló in-toto, un marco para garantizar la integridad en cada etapa de la entrega de software. In-toto […]

En el panorama actual del desarrollo de software, la diversidad de perfiles de desarrolladores es tanto una fortaleza como una vulnerabilidad. La taxonomía adjunta —que abarca desde los bienintencionados pero imperfectos "buenos desarrolladores" hasta los "desarrolladores ciudadanos" que utilizan código generado por IA, e incluso los "desarrolladores maliciosos"— destaca cómo los distintos niveles de experiencia, intención y comportamiento pueden plantear riesgos significativos para el ciclo de vida del desarrollo de software (SDLC). Scribe Security aborda […]

En Scribe Security, creemos que el futuro de la ciberseguridad depende de asegurar las cadenas de suministro de software desde dentro hacia fuera. Por eso nos enorgullece colaborar con el Centro Nacional de Excelencia en Ciberseguridad (NCCoE) en su proyecto de Prácticas de Seguridad de la Cadena de Suministro de Software y DevOps. Esta iniciativa reúne a colaboradores tecnológicos de los sectores público y privado para explorar cómo […]

La mayoría de las organizaciones de software utilizan múltiples plataformas para la gestión, compilación, registro, entrega e implementación de código. Para gestionar la seguridad del ciclo de vida del desarrollo de software y de la cadena de suministro de software se necesita una plataforma unificada que vaya más allá de las capacidades nativas de GitHub. Una gestión eficaz de los riesgos exige una trazabilidad y una gobernanza claras desde el código hasta la nube, lo que garantiza que cada imagen de contenedor y artefacto publicado esté vinculado a […]

El panorama de la seguridad del software federal está atravesando una transformación significativa. En enero de 2025, la Casa Blanca emitió una nueva Orden Ejecutiva enfocada en fortalecer la seguridad y la transparencia de las cadenas de suministro de software de terceros utilizadas por las agencias federales. Este mandato introduce cambios cruciales que los proveedores de software deben comprender y para los que deben prepararse, especialmente dada la […]

En el panorama de desarrollo de software en rápida evolución de hoy, la seguridad y el cumplimiento normativo se han vuelto primordiales. A medida que las organizaciones dependen cada vez más de componentes de terceros y software de código abierto, comprender lo que hay dentro de su software nunca ha sido más crítico. Ingrese a la Lista de materiales de software (SBOM), una lista detallada de todos los componentes, bibliotecas y dependencias que conforman su software. Integración de SBOM […]

En los últimos años, los ataques a la cadena de suministro de software han surgido como una amenaza de ciberseguridad importante, dirigida a las complejas redes de relaciones entre las organizaciones y sus proveedores. Este artículo analiza en profundidad los ataques más destacados a la cadena de suministro recientes, examina cómo ocurrieron y analiza estrategias de prevención y mitigación. Desde infracciones que comprometen datos confidenciales hasta ataques que explotan […]

La protección de la cadena de suministro de software comienza con el descubrimiento y la gobernanza de su «fábrica de software» En el entorno de desarrollo de software actual, los equipos gestionan activos descentralizados, como repositorios de código, procesos de compilación e imágenes de contenedores. Si bien este modelo distribuido ofrece flexibilidad y acelera la producción, también fragmenta los activos y complica la gobernanza y la supervisión de la seguridad, especialmente […]

Con la creciente complejidad de las cadenas de suministro de software, la gestión y protección de los componentes de software se ha vuelto más complicada. Para abordar este problema, la lista de materiales de software (SBOM, por sus siglas en inglés) ha surgido como una herramienta crucial para garantizar la seguridad, la transparencia y el cumplimiento en el ciclo de vida del desarrollo de software. Una SBOM es un registro completo de todos los componentes utilizados en la creación […]