Organiza tus páginas con colecciones
Guarda y categoriza el contenido según tus preferencias.
Esta documentación se enfoca principalmente en las prácticas recomendadas que permiten proteger
tu software en todos los procesos y sistemas de la cadena de suministro de software. También se incluye información para implementar algunas de las prácticas enGoogle Cloud.
Existen consideraciones adicionales para proteger tu software que abarcan el ciclo de vida del software o son prácticas de desarrollo fundamentales que respaldan la seguridad de la cadena de suministro de software. Por ejemplo:
Controlar el acceso físico y remoto a los sistemas
Implementar mecanismos de auditoría, supervisión y comentarios para que puedas identificar y responder rápidamente a las amenazas y el incumplimiento de las políticas
Prácticas de programación básicas, como el diseño, la validación de entradas, la salida a sistemas no confiables, el procesamiento de datos, el análisis de código y la criptografía
Prácticas básicas de DevOps más allá de las que se mencionan en esta documentación,
como los enfoques técnicos, el proceso del equipo y la cultura organizacional.
Cumplimiento de las condiciones de las licencias de software, incluidas las licencias de código abierto para dependencias directas y transitivas
Algunas licencias de código abierto tienen condiciones de licencia restrictivas que son problemáticas para el software comercial. En particular, algunas licencias requieren que publiques tu código fuente con la misma licencia que el software de código abierto que reutilizas. Si deseas mantener la privacidad de tu código fuente, es importante que conozcas las condiciones de las licencias del software de código abierto que usas.
Aumentar la conciencia sobre la seguridad cibernética mediante la capacitación de los empleados
Según el Estado de la seguridad cibernética 2021, Parte 2, una encuesta a profesionales de la seguridad de la información, la ingeniería social fue el tipo de ataque más frecuente. Los encuestados también informaron que los programas de capacitación y concientización sobre la seguridad cibernética tuvieron algún impacto positivo (46%) o un impacto positivo importante (32%) en la concientización de los empleados.
Usa los recursos de las siguientes secciones para obtener más información sobre estos temas.
Puedes ver información centralizada sobre vulnerabilidades y posibles riesgos con estos Google Cloud servicios:
Consulta información sobre vulnerabilidades y amenazas en tu Google Cloud
organización con Security Command Center.
Obtén información sobre el uso de tu servicio con el recomendador, incluidas las recomendaciones que pueden ayudarte a reducir el riesgo. Por ejemplo,
puedes identificar principales de IAM con permisos excesivos o proyectos Google Cloud desatendidos.
Consulta la documentación sobre las funciones de DevOps para obtener más información sobre las prácticas de DevOps que contribuyen a una entrega de software más rápida y un software más confiable y seguro.
También hay prácticas fundamentales para diseñar, desarrollar y probar código que se aplican a todos los lenguajes de programación. También debes evaluar cómo distribuyes el software y las condiciones de las licencias de software en todas tus dependencias. Linux Foundation ofrece capacitación en línea gratuita sobre los siguientes temas:
Desarrollo de software seguro: Prácticas básicas de desarrollo de software en el contexto de la seguridad de la cadena de suministro de software. El curso se enfoca en las prácticas recomendadas para diseñar, desarrollar y probar código, pero también abarca temas como el manejo de divulgaciones de vulnerabilidades, casos de garantía y consideraciones para la distribución y la implementación de software.
La Open Source Security Foundation (OpenSSF) creó la capacitación.
A medida que implementes de forma incremental las prácticas recomendadas, documenta las políticas de tu organización e incorpora la validación de las políticas en tus procesos de desarrollo, compilación y, luego, implementación. Por ejemplo, las políticas de tu empresa pueden incluir criterios para la implementación que implementas con la Autorización binaria.
Producto mínimo viable y seguro, una lista de tareas de seguridad de controles para establecer una postura de seguridad de referencia para un producto. Puedes usar la lista de tareas para establecer tus requisitos mínimos de control de seguridad y evaluar el software de proveedores externos.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-09-04 (UTC)"],[],[],null,["# Protect your software supply chain\n\nThis documentation focuses primarily on best practices that support protecting\nyour software across processes and systems in your software supply chain. It\nalso includes information about how to implement some of the practices on\nGoogle Cloud.\n\n- [Safeguarding source integrity](/software-supply-chain-security/docs/safeguard-source)\n- [Safeguarding build integrity](/software-supply-chain-security/docs/safeguard-builds)\n- [Managing dependencies](/software-supply-chain-security/docs/dependencies)\n- [Safeguarding deployments](/software-supply-chain-security/docs/safeguard-deploys)\n\nThere are additional considerations for protecting your software that span the\nsoftware lifecycle or are foundational development practices that support\nsoftware supply chain security. For example:\n\n- Controlling physical and remote access to systems.\n- Implementing audit, monitoring, and feedback mechanisms so that you are able to quickly identify and respond to threats and non-compliance with policy.\n- Foundational coding practices including design, input validation, output to untrusted systems, data processing, code analysis, and cryptography.\n- Foundational DevOps practices beyond ones mentioned in this documentation, including technical approaches, team process, and organizational culture.\n- Adherence to software licenses terms, including open source licenses for\n direct and transitive dependencies.\n\n Some open source licenses have restrictive license terms that are problematic\n for commercial software. In particular, some licenses require you to release\n your source code under the same license as the open source software that you\n are reusing. If you want to keep your source code private, it's important\n to know the licenses terms of open source software you use.\n- Increasing awareness about cybersecurity by providing training to employees.\n According the [State of Cybersecurity 2021, Part 2](https://www.isaca.org/state-of-cybersecurity-2021), a survey of\n information security professionals, social engineering was the most frequent\n type of attack. Survey respondants also reported that cybersecurity training\n and awareness programs had some positive impact (46%) or strong positive\n impact (32%) on employee awareness.\n\nUse the resources in the following sections to learn more about these topics.\n\nSecurity on Google Cloud\n------------------------\n\nLearn about setting up organization structure, authentication and authorization,\nresource hierarchy, networking, logging, detective controls, and more in the\n[Google Cloud enterprise foundations blueprint](/architecture/security-foundations), one of\nthe guides in the\n[Google Cloud security best practices center](/security/best-practices).\n\nYou can view centralized information about vulnerabilities and possible\nrisks using these Google Cloud services:\n\n- View information about vulnerabilities and threats across your Google Cloud organization with [Security Command Center](/security-command-center/docs/security-command-center-overview).\n- Get information about your service usage with [Recommender](/recommender/docs/overview), including recommendations that can help you to reduce risk. For example, you can identify IAM principals with excess permissions or unattended Google Cloud projects.\n\nTo learn more about security on Google Cloud, see the\n[Security section of the Google Cloud web site](/security).\n\nDevOps and software development practices\n-----------------------------------------\n\nSee the [DevOps capabilities](https://dora.dev/devops-capabilities/)\ndocumentation to learn more about DevOps practices that contribute to faster\nsoftware delivery and more reliable and secure software.\n\nThere are also foundational practices for designing, developing, and testing\ncode that apply to all programming languages. You also need to evaluate how\nyou distribute software and the terms of software licenses in all of your\ndependencies. The Linux Foundation offers free online training on these topics:\n\n- [Developing Secure Software](https://training.linuxfoundation.org/training/developing-secure-software-lfd121/): Foundational software development practices in the context of software supply chain security. The course focuses on best practices for designing, developing, and testing code, but also covers topics such as handling vulnerability disclosures, assurance cases, and considerations for software distribution and deployment. The [Open Source Security Foundation](https://openssf.org/) (OpenSSF) created the training.\n- [Open Source Licensing Basics for Developers](https://training.linuxfoundation.org/training/open-source-licensing-basics-for-software-developers/) Learn about licenses and copyright for open source projects.\n- [Introduction to Open Source License Compliance Management](https://training.linuxfoundation.org/training/introduction-to-open-source-license-compliance-management-lfc193/) Learn about building an open source compliance program for your organization.\n\nDeveloping your policies\n------------------------\n\nAs you incrementally implement best practices, document the policies for your\norganization and incorporate validation of policies into your development,\nbuild, and deployment processes. For example, your company policies might\ninclude criteria for deployment that you implement with [Binary Authorization](/binary-authorization/docs/overview).\n\n- [Minimum Viable Secure Product](https://mvsp.dev), a security checklist of controls to establish a baseline security posture for a product. You can use the checklist to establish your minimum security control requirements and to evaluate software by third-party vendors.\n- NIST [Security and Privacy Controls for Information Systems and Organizations](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final) publication (SP 800-53)."]]
