Compartir comentarios
Las respuestas se generan en base a la documentación.

Seguridad de la cadena de suministro de software

Tabla de contenidos

El término «cadena de suministro de software» se refiere al proceso de extremo a extremo de desarrollar y entregar software, desde el desarrollo hasta el despliegue y el mantenimiento. La seguridad de la cadena de suministro de software, o «S3C» en breve, es la práctica de proteger los componentes y procesos de la cadena de suministro.

S3C supone un cambio fundamental en cómo las organizaciones abordan la seguridad del software. Tradicionalmente en la industria del software, la seguridad y el cumplimiento se han dejado para fases posteriores, en la entrega o el release. Con S3C, la seguridad se integra en todo el ciclo de vida del desarrollo de software, desde el bucle interno de desarrollo y pruebas hasta el bucle externo de envío y supervisión.

Seguir buenas prácticas del sector para la cadena de suministro de software es importante porque ayuda a las organizaciones a proteger su software frente a amenazas de seguridad, riesgos de cumplimiento y otras vulnerabilidades. Implementar un marco de seguridad de la cadena de suministro de software mejora la visibilidad, la colaboración y la trazabilidad de un proyecto entre las partes interesadas. Eso ayuda a las organizaciones a detectar, responder y remediar amenazas con más eficacia.

Proteger la cadena de suministro de software

Construir una cadena de suministro de software segura implica varios pasos clave, como:

  • Identificar los componentes y dependencias de software que usas para compilar y ejecutar tus aplicaciones.
  • Automatizar pruebas de seguridad a lo largo del ciclo de vida del desarrollo de software.
  • Supervisar tu cadena de suministro de software ante amenazas de seguridad.
  • Implementar políticas de seguridad que rijan cómo se compila el software y los componentes que contiene.

Gestionar la cadena de suministro de software es una tarea compleja, sobre todo hoy, cuando el software se construye con múltiples componentes de distintas fuentes. Las organizaciones necesitan una comprensión clara de los componentes de software que usan y de los riesgos de seguridad asociados.

En qué se diferencia Docker Scout

Docker Scout es una plataforma diseñada para ayudar a las organizaciones a proteger su cadena de suministro de software. Ofrece herramientas y servicios para identificar y gestionar activos y políticas de software, y remediación automatizada de amenazas de seguridad.

A diferencia de herramientas de seguridad tradicionales que se centran en escaneos programados y puntuales en etapas concretas del ciclo de vida del desarrollo de software, Docker Scout usa un modelo moderno basado en eventos que abarca toda la cadena de suministro de software. Eso significa que cuando se divulga una vulnerabilidad nueva que afecta a tus imágenes, tu evaluación de riesgo actualizada está disponible en segundos y antes en el proceso de desarrollo.

Docker Scout funciona analizando la composición de tus imágenes para crear un Software Bill of Materials (SBOM). El SBOM se contrasta con los avisos de seguridad para identificar CVE que afectan a tus imágenes. Docker Scout se integra con más de 20 avisos de seguridad distintos y actualiza su base de datos de vulnerabilidades en tiempo real. Eso garantiza que tu postura de seguridad se represente con la información más reciente disponible.

Software Bill of Materials »