Protege tu cadena de suministro de software

Esta documentación se centra principalmente en las prácticas recomendadas que respaldan la protección de tu software en los procesos y sistemas de la cadena de suministro de software. También se incluye información sobre cómo implementar algunas de las prácticas en Google Cloud.

• Protege la integridad de la fuente
• Cómo proteger la integridad de la compilación
• Administra dependencias
• Protege las implementaciones

Existen consideraciones adicionales para proteger el software que abarcan todo su ciclo de vida o son prácticas de desarrollo básicas que respaldan la seguridad de la cadena de suministro de software. Por ejemplo:

• Control del acceso físico y remoto a los sistemas
• Implementa mecanismos de auditoría, supervisión y comentarios para poder identificar con rapidez las amenazas y los incumplimientos de las políticas, así como responder ante ellos.
• Las prácticas de codificación fundamentales incluyen el diseño, la validación de entrada, la salida a sistemas no confiables, el procesamiento de datos, el análisis de código y la criptografía.
• Prácticas básicas de DevOps más allá de las mencionadas en esta documentación, incluidos los enfoques técnicos, el proceso de equipo y la cultura de la organización.

• Cumplimiento de las condiciones de las licencias de software, incluidas las licencias de código abierto para las dependencias directas y transitivas

  Algunas licencias de código abierto tienen términos de licencia restrictivos que resultan problemáticos para el software comercial. En particular, algunas licencias requieren que lances tu código fuente con la misma licencia que el software de código abierto que vuelves a usar. Si deseas mantener privado tu código fuente, es importante conocer los términos de las licencias de software de código abierto que usas.

• Brindamos capacitación a los empleados para generar conciencia sobre la seguridad cibernética. Según el Estado de seguridad cibernética de 2021, parte 2, una encuesta a profesionales de seguridad de la información, la ingeniería social era el tipo de ataque más frecuente. Los participantes de la encuesta también informaron que los programas de capacitación y concientización en seguridad cibernética tenían un impacto positivo (46%) o un gran impacto positivo (32%) en el reconocimiento de los empleados.

Usa los recursos de las siguientes secciones para obtener más información sobre estos temas.

Seguridad en Google Cloud

Obtén información sobre la configuración de la estructura organizativa, la autenticación y autorización, la jerarquía de recursos, las herramientas de redes, los registros, los controles de detección y mucho más en el plano de bases de la empresa de Google Cloud, una de las guías del Centro de prácticas recomendadas de seguridad de Google Cloud.

Puedes ver información centralizada sobre las vulnerabilidades y los posibles riesgos mediante estos servicios de Google Cloud:

• Consulta la información sobre las vulnerabilidades y amenazas en tu organización de Google Cloud con Security Command Center.
• Obtén información sobre el uso del servicio con el Recomendador, incluidas recomendaciones que pueden ayudarte a reducir el riesgo. Por ejemplo, puedes identificar las principales de IAM con permisos excesivos o proyectos de Google Cloud sin supervisión.

Para obtener más información sobre la seguridad en Google Cloud, consulta la sección Seguridad del sitio web de Google Cloud.

Prácticas de desarrollo de software y DevOps

Consulta la documentación sobre las capacidades de DevOps para obtener más información sobre las prácticas de DevOps que contribuyen a una entrega de software más rápida y un software más confiable y seguro.

También existen prácticas fundamentales para diseñar, desarrollar y probar código que se aplican a todos los lenguajes de programación. También debes evaluar cómo distribuyes el software y los términos de las licencias de software en todas tus dependencias. Linux Foundation ofrece capacitaciones en línea gratuitas sobre estos temas:

• Developing Secure Software: prácticas básicas de desarrollo de software en el contexto de la seguridad de la cadena de suministro de software. El curso se centra en las prácticas recomendadas para diseñar, desarrollar y probar código, pero también abarca temas como el manejo de divulgaciones de vulnerabilidades, casos de garantía y consideraciones para la distribución y la implementación de software. Open Source Security Foundation (OpenSSF) creó la capacitación.
• Conceptos básicos sobre las licencias de código abierto para desarrolladores Obtén información sobre las licencias y los derechos de autor de los proyectos de código abierto.
• Introducción a la administración del cumplimiento de licencias de código abierto Obtén información para compilar un programa de cumplimiento de código abierto para tu organización.

Desarrollo de las políticas

A medida que implementas prácticas recomendadas de forma incremental, documenta las políticas para tu organización y, luego, incorpora la validación de políticas en tus procesos de desarrollo, compilación e implementación. Por ejemplo, las políticas de tu empresa podrían incluir criterios para la implementación que implementes con la autorización binaria.

• Minimum Viable Secure Product, una lista de verificación de seguridad de controles para establecer una postura de seguridad de referencia para un producto. Puedes usar la lista de tareas para establecer los requisitos mínimos de control de seguridad y evaluar el software de proveedores externos.
• Publicación del NIST Controles de seguridad y privacidad para sistemas de información y organizaciones (SP 800-53).