Compartir comentarios
Las respuestas se generan en base a la documentación.

Seguridad de la cadena de suministro de software

Tabla de contenidos

¿Qué es la seguridad de la cadena de suministro de software (SSCS)?

La SSCS abarca prácticas y estrategias diseñadas para salvaguardar todo el ciclo de vida del desarrollo de software, desde la creación inicial del código hasta el despliegue y el mantenimiento. Se centra en asegurar todos los componentes. Esto incluye el código, las dependencias, los procesos de construcción y los canales de distribución para evitar que actores maliciosos comprometan la cadena de suministro de software. Dada la creciente dependencia de librerías de código abierto y componentes de terceros, garantizar la integridad y la seguridad de estos elementos es primordial.

¿Por qué es importante la SSCS?

La importancia de la SSCS ha aumentado debido a los sofisticados ciberataques dirigidos a las cadenas de suministro de software. Los ataques a la cadena de suministro de alto perfil y la explotación de vulnerabilidades en componentes de código abierto refuerzan la necesidad crítica de medidas robustas de seguridad en la cadena de suministro. Las brechas en cualquier etapa del ciclo de vida del software pueden provocar vulnerabilidades generalizadas, filtraciones de datos y pérdidas financieras significativas.

Cómo contribuyen las Docker Hardened Images a la SSCS

Las Docker Hardened Images (DHI) son imágenes de contenedor diseñadas específicamente con la seguridad en su núcleo, abordando los desafíos de la seguridad de la cadena de suministro de software moderna. Al integrar las DHI en tus flujos de desarrollo y despliegue, puedes mejorar la postura de SSCS de tu organización gracias a las siguientes características:

  • Superficie de ataque mínima: Las DHI están diseñadas para ser ultramínimas, eliminando componentes innecesarios y reduciendo la superficie de ataque hasta en un 95%. Este enfoque distroless minimiza los posibles puntos de entrada para actores maliciosos.

  • Firma criptográfica y procedencia: Cada DHI está firmada criptográficamente, garantizando su autenticidad e integridad. Se mantiene la procedencia de la construcción, proporcionando pruebas verificables del origen de la imagen y de su proceso de construcción, alineándose con estándares como SLSA (Supply-chain Levels for Software Artifacts).

  • Lista de materiales de software (SBOM): Las DHI incluyen una SBOM completa que detalla todos los componentes y dependencias dentro de la imagen. Esta transparencia ayuda en la gestión de vulnerabilidades y en el seguimiento del cumplimiento, lo que permite a los equipos evaluar y mitigar los riesgos de manera efectiva.

  • Mantenimiento continuo y remediación rápida de CVE: Docker mantiene las DHI con actualizaciones regulares y parches de seguridad, respaldados por un SLA para abordar vulnerabilidades críticas y de alta gravedad. Este enfoque proactivo ayuda a garantizar que las imágenes sigan siendo seguras y cumplan con los estándares empresariales.