¿Qué es in-toto y cómo protege la cadena de suministro de software?
Software ataques a la cadena de suministro, como las observadas en los últimos años (3CX, Codecov y Solarwinds), han puesto de relieve la fragilidad de los canales de desarrollo tradicionales. En respuesta, la comunidad de código abierto desarrolló en su totalidad, un marco para garantizar la integridad en cada paso de la entrega de software. In-toto crea un registro verificable de todo el ciclo de vida del desarrollo de software Desde la codificación inicial hasta la implementación final, garantizando que cada paso sea ejecutado por entidades autorizadas en el orden correcto. Al adjuntar firmas criptográficas y metadatos ("certificaciones") a cada fase del proceso de compilación, in-toto hace prácticamente imposible que un atacante introduzca cambios maliciosos sin ser detectado. Este enfoque integral Previene la manipulación, detecta modificaciones no autorizadas y demuestra la procedencia de cada componente de su software, lo que reduce en gran medida el riesgo de infracciones costosas.
Los principales beneficios del in-toto incluyen:
- Integridad de extremo a extremo: Cada acción en el flujo de trabajo de CI/CD se firma y registra, por lo que puede verificar que only Los procesos de confianza ejecutaron cada paso. Si algo en la cadena se altera o está fuera de orden, in-toto lo detectará.
- Resistencia a la manipulación: Las certificaciones de In-toto garantizan que, si un artefacto o componente de compilación fue manipulado, usted tiene evidencia criptográfica de la falta de coincidencia, lo que frustra los ataques a la cadena de suministro antes de que lleguen a los usuarios.
- Cumplimiento y Transparencia: Al registrar quién hizo qué (y cuándo), in-toto refuerza el cumplimiento de las normas y regulaciones de ciberseguridad en constante evolución. Se alinea con iniciativas como las listas de materiales de software (SBOM) y marcos como SLSA (Niveles de la cadena de suministro para artefactos de software), que exigen una mayor transparencia en la cadena de suministro.
- Confianza y confiabilidad: Con in-toto, las organizaciones pueden demostrar la integridad de su software a clientes y auditores. Cada versión incluye evidencia de que se desarrolló de forma segura y confiable, lo que aumenta la confianza en su fiabilidad.
En la práctica, adoptar la implementación integral implica insertar controles de seguridad a lo largo del proceso de desarrollo. Por ejemplo, un paso de compilación generaría un archivo de "enlace" firmado que certifica las entradas (código fuente, dependencias) y las salidas (imágenes, contenedores, binarios) de ese paso. Los pasos posteriores verifican esos enlaces antes de continuar. De esta forma, si un atacante intenta inyectar código malicioso o usar un componente no aprobado, la firma faltante o inválida puede provocar la detención del proceso de desarrollo. El resultado es... cadena de custodia del software – muy similar al seguimiento de los ingredientes de una receta, que garantiza que no se incluya nada desconocido o no autorizado en el producto final.
In-toto: De proyecto académico a marco de referencia de vanguardia
En abril 23, 2025, in-toto alcanzó un hito importante: los La Fundación de Computación Nativa en la Nube (CNCF) anunció la graduación de in-toto Al más alto nivel de madurez como proyecto de código abierto. El estatus de graduación de CNCF se reserva para proyectos que han demostrado su estabilidad, adopción y apoyo comunitario. La trayectoria de In-toto comenzó como un proyecto de investigación en la Escuela de Ingeniería Tandon de la Universidad de Nueva York, y ahora... “se ha convertido en un estándar de la industria” para la seguridad de la cadena de suministro. Según Justin Cappos, profesor de la Universidad de Nueva York que ayudó a crear in-toto, este logro valida el enfoque pionero de in-toto a la seguridad del software y demuestra su impacto en el mundo real en la lucha contra las amenazas modernas.
Entonces, ¿qué hace que in-toto sea un marco de trabajo innovador y maduro hoy en día? En primer lugar, cuenta con un sólido respaldo y amplia adopciónIn-toto ya se utiliza en producción en empresas como SolarWinds y está integrado en estándares de la industria como OpenVEX y el marco SLSA de Google. De hecho, la especificación de in-toto alcanzó la versión 1.0 en 2023, lo que refleja el consenso de la comunidad sobre su estabilidad. El marco también se ha beneficiado del apoyo de importantes agencias de investigación (incluidas la NSF y DARPA), lo que garantiza la innovación continua.
Con el aumento de los ataques a la cadena de suministro de software, el momento de la madurez de in-toto es ideal. A medida que las amenazas a la cadena de suministro de software aumentan en escala y complejidad, in-toto permite a las organizaciones verificar con confianza sus flujos de trabajo de desarrollo, lo que reduce el riesgo, facilita el cumplimiento normativo y, en última instancia, acelera la innovación segura. dijo Chris Aniszczyk, director de tecnología de CNCF. La graduación de In-toto indica que el marco ha sido probado en campo y está listo para su uso inmediato. Para los CISO y los líderes de DevSecOps, significa que ahora hay una solución probada y examinada por la comunidad Implementar los principios de confianza cero en el proceso de desarrollo. La siguiente pregunta es: ¿cómo se adoptan íntegramente en la organización? de manera eficiente y sin fricciones?
Implementación integral sin fricciones con ScribeHub y Valint
Si bien in-toto proporciona el modelo para la seguridad de la cadena de suministro, implementarlo desde cero puede ser complejo. Las organizaciones necesitarían instrumentar sus canales de CI/CD para generar y verificar las certificaciones criptográficas en cada paso, administrar claves criptográficas o usar Sigstore, almacenar todos los metadatos, definir reglas de políticas e integrar puertas de seguridad, todo ello sin ralentizar a los desarrolladores. La mejor solución para lograr esto sin problemas es utilizar una plataforma construida para el trabajo. La plataforma “ScribeHub” de Scribe Security, junto con su herramienta Valint, ofrece una manera sencilla de integrar principios integrales en su SDLC..
ScribeHub Es una plataforma integral de seguridad para la cadena de suministro de software que automatiza las comprobaciones de integridad y cumplimiento en toda la fábrica de software, desde el desarrollo hasta la implementación. Emplea un enfoque de confianza cero y seguridad por diseño: Automatización de certificaciones legibles por máquina. y aplicando puertas de “barandillas como código” Durante todo el proceso de desarrollo. En esencia, ScribeHub se integra con sus herramientas de desarrollo y su entorno de nube para registrar continuamente evidencia de lo que sucede en cada compilación y... Hacer cumplir las políticas de seguridad sin intervención manualEs importante destacar que el enfoque de Scribe está diseñado para Minimizar la fricción con los equipos de desarrolloAl integrar la seguridad en el flujo de trabajo (en lugar de agregar revisiones fuera de banda o pasos adicionales para los desarrolladores), ScribeHub garantiza La seguridad es continua y transparenteLos desarrolladores pueden mantener su ritmo rápido y ágil, mientras Scribe trabaja entre bastidores para detectar anomalías y garantizar que cada lanzamiento sea confiable.
En el corazón de esto está valent – Herramienta de integridad de validación de Scribe Security. Valint es una potente CLI y motor de políticas que proporciona a las organizaciones una forma de aplicar políticas de seguridad. “utilizando el concepto simple de firmar y verificar datos”. De hecho, valent representa Validación + IntegridadAdemás, genera y verifica la evidencia criptográfica necesaria para demostrar la integridad de su software. Puede generar y verificar atestrías (evidencia digital) para todo tipo de artefactos de software: directorios de código fuente, archivos individuales, imágenes de contenedores e incluso repositorios Git completos. Puede ejecutar Valint como una CLI independiente en su canalización de integración continua (CI) o como parte del servicio integrado ScribeHub. De cualquier manera, pone en práctica la idea central de la integridad (metadatos de la cadena de suministro verificables y firmados) de forma práctica.
Bajo el capó, Valint aprovecha lo mejor de la tecnología moderna de seguridad de la cadena de suministroLa última versión de Valint se basa en marcos como SLSA para procedencia, OPA para la aplicación de políticas, Sigstore para firma sin llavey utiliza registros OCI para almacenar las certificaciones. En otras palabras, Scribe ha reunido un arsenal de estándares abiertos para garantizar que las certificaciones y las comprobaciones en su canalización sean robustas e interoperables. Por ejemplo, la plataforma de Scribe puede realizar automáticamente Firma de código continua y seguimiento de procedencia mediante certificaciones in-toto – todo lo cual ayuda frustrar ataques de manipulación antes de que afecten a su software.
¿Cómo funciona esto en una canalización de CI/CD real? ScribeHub se integra directamente con tu sistema de compilación (ya sea Jenkins, GitHub Actions, GitLab, etc.) para... Capturar atestrías firmadas y verificables por máquina en cada etapa del desarrollo. Desde el momento en que un desarrollador confirma el código, la herramienta Valint de Scribe puede registrar una declaración firmada de esa confirmación. A medida que el código avanza por las etapas de compilación, prueba e implementación, cada paso genera su propia certificación (por ejemplo, “Construcción completada con estos datos, produciendo este artefacto, en este momento, mediante este proceso, firmado con la clave X”Estas certificaciones se almacenan de forma segura (por ejemplo, en un registro de artefactos de OCI o en el almacén de evidencias de Scribe) para su posterior auditoría. Y lo que es más importante, son... validado inmediatamente contra sus políticas de seguridad. ScribeHub permite a los equipos de seguridad definir políticas (como código) que describen las condiciones esperadas del pipeline; por ejemplo, “Todos los artefactos deben estar firmados por nuestro servicio de construcción”. or “No se podrá implementar ningún contenedor si contiene vulnerabilidades críticas que se sabe públicamente que son explotables (KEV)”. Estas políticas se hacen cumplir en tiempo real. A medida que se genera cada atestación o SBOM, Valint lo verifica y el motor de políticas de ScribeHub (impulsado por OPA) lo verifica. para el cumplimiento.
Si todo parece correcto, el flujo de trabajo continúa sin interrupciones. Si se detecta una infracción, ScribeHub puede... “Bloquear” el lanzamiento deteniendo el proceso o marcando el problema Para su revisión. Por ejemplo, si falta una firma o atestación de compilación esperada, o si la función hash de un artefacto no coincide con lo que debería, Scribe lo detectará. Antes de que se promueva esa compilaciónEstas barreras automatizadas actúan como barreras de calidad: una certificación faltante o incorrecta se considera una verificación fallida, por lo que la construcción arriesgada... Nunca llega a producciónEn la práctica, esto podría significar un trabajo de compilación fallido con un mensaje de error claro, o un ticket de JIRA creado automáticamente para el equipo de seguridad, dependiendo de cómo se configure la respuesta. Este enfoque garantiza que La política de la cadena de suministro de software se aplica automáticamente mediante el código, no mediante revisiones manuales posteriores.Como lo expresa el director ejecutivo de Scribe, No se puede confiar en que las personas recuerden las políticas cuando envían 10 compilaciones al día... Las reglas deben estar integradas en el proceso y ser aplicadas por el canal de desarrollo..
Al integrar las certificaciones in-toto y las verificaciones de políticas automatizadas, ScribeHub proporciona esencialmente una sistema inmunológico para su SDLC. Verifica la integridad y procedencia de cada componente, y Controla cualquier violación que pueda llevar a comprometer la cadena de suministro de software.Por ejemplo, si el malware se infiltrara en una dependencia o las credenciales de un desarrollador fueran pirateadas para firmar una compilación maliciosa, la evidencia anormal (o la falta de la evidencia esperada) activaría los controles de Scribe, deteniendo el lanzamiento y alertando a su equipo. Esto brinda tranquilidad a los CISO, líderes de seguridad de productos y profesionales de DevSecOps. Solo se implementa código seguro y verificadoSin tener que inspeccionar personalmente cada cambio. Y gracias a la automatización y la integración, todo esto ocurre con una mínima ralentización de la velocidad de desarrollo. La seguridad está incorporada pero no es obstructiva.
¿Está listo para ver la seguridad del producto real en acción?
La graduación de In-toto y la aparición de herramientas como ScribeHub indican que seguridad real del producto La que proporciona integridad de la cadena de suministro de extremo a extremo ya no es un ideal lejano, sino un objetivo alcanzable. Los CISOs con visión de futuro, los responsables de seguridad de productos y los profesionales de DevSecOps ya están aprovechando estas soluciones para proteger a sus organizaciones y cumplir con las nuevas regulaciones. Si le interesa fortalecer su fábrica de software sin generar fricción para los desarrolladores, Lo invitamos a comunicarse con Scribe Security para una demostración.Descubra usted mismo cómo los principios de in-toto, implementados a través de ScribeHub y Valint, pueden transformar su ciclo de vida del desarrollo de software (SDLC) en un proceso transparente, a prueba de manipulaciones y conforme a las normas. Contáctenos para explorar una demostración en vivo y dé el siguiente paso hacia una cadena de suministro de software verdaderamente segura y confiable. Sus desarrolladores podrán seguir innovando a toda velocidad y usted dormirá más tranquilo sabiendo que cada compilación está protegida por la seguridad más avanzada de la cadena de suministro. Nos encantaría... Te mostraré cómo funciona!
Este contenido es presentado por Scribe Security, un proveedor líder de soluciones de seguridad de la cadena de suministro de software de extremo a extremo, que ofrece seguridad de última generación para artefactos de código y procesos de desarrollo y entrega de código en todas las cadenas de suministro de software. Más información.
Artículos relacionados con
