Blog

Antecedentes SLSA (Niveles de cadena de suministro para artefactos de software) es un marco de seguridad que tiene como objetivo evitar la manipulación, mejorar la integridad y proteger los paquetes y la infraestructura. El concepto central de SLSA es que solo se puede confiar en un artefacto de software si cumple con tres requisitos: El artefacto debe tener un documento de procedencia que describa su origen y proceso de construcción […]

״Los proveedores de software deben ser considerados responsables cuando no cumplen con el deber de diligencia que deben a los consumidores, empresas o proveedores de infraestructura crítica ״(la Casa Blanca). Hoy en día, se espera que cualquier proveedor de software asuma una mayor responsabilidad para garantizar la integridad y seguridad del software a través de acuerdos contractuales, lanzamientos y actualizaciones de software, notificaciones y […]

TL;DR En los últimos años, la industria tecnológica ha defendido fervientemente el concepto de "giro a la izquierda" en el desarrollo de software, abogando por la integración temprana de las prácticas de seguridad en el ciclo de vida del desarrollo. Este movimiento tiene como objetivo empoderar a los desarrolladores con la responsabilidad de garantizar la seguridad de su código desde el inicio del proyecto. Sin embargo, si bien las intenciones detrás de este enfoque son […]

La industria aún no ha comprendido completamente la idea de un SBOM y ya comenzamos a escuchar un nuevo término: ML-BOM (Machine Learning Bill of Material). Antes de que cueste el pánico, comprendamos por qué se debe producir una lista de materiales de este tipo, los desafíos que implica generar una lista de materiales de ML y cómo puede verse dicha lista de materiales. […]

Uno de los riesgos de la cadena de suministro de software es la filtración de secretos. Los secretos están por todas partes en la cadena de suministro de software; los desarrolladores y las canalizaciones de CI\CD necesitan utilizar secretos para acceder al SCM, la canalización, los registros de artefactos, los entornos de nube y los servicios externos. Y cuando los secretos están por todas partes, es cuestión de tiempo […]

A principios de agosto, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. publicó un borrador de la versión 2.0 de su emblemático Marco de Seguridad Cibernética, publicado por primera vez en 2014. Muchas cosas han cambiado en los últimos 10 años, entre ellas el creciente nivel de amenazas a la ciberseguridad que el documento original estableció para ayudar a los críticos […]

Todos hemos oído hablar mucho de los SBOM recientemente. Escuchamos sobre su utilidad, su composición y sus requisitos de seguridad y regulación. Esta vez quiero tomarme el tiempo para hablar sobre un segmento un poco menos conocido del SBOM de CyclonDX: el gráfico de dependencia. A diferencia del nombre lo implica, el gráfico de dependencia no es un […]

En los últimos años se han escrito muchas palabras sobre la SBOM (Software Bill Of Materials). Con toda esta exposición, la gente siente que saben lo suficientemente bien lo que es explicar: es una lista de ingredientes del software, es importante para la transparencia y la seguridad, y ayuda a exponer las dependencias transitorias. Todo […]

Valint es la principal herramienta de Scribe para crear, gestionar, firmar y verificar pruebas. En una publicación anterior, cubrimos la teoría del uso de la firma y verificación de evidencia como herramienta principal para validar la seguridad de su proceso de CI/CD. Como breve recordatorio, el modelo propuesto por Scribe incluye varios bloques de construcción que se pueden mezclar y […]

En septiembre de 2022, la Oficina de Gestión y Presupuesto de los Estados Unidos (OMB) emitió un memorando histórico sobre los pasos necesarios para asegurar su cadena de suministro de software en un grado aceptable por el gobierno federal de los Estados Unidos. Cualquier empresa que desee hacer negocios con el gobierno y cualquier agencia federal que produzca software debe cumplir con […]