La postura de seguridad es la capacidad de una organización para detectar, responder y corregir amenazas. Incluye la preparación de los empleados, el hardware, el software, las políticas y los procesos de una organización durante todo el ciclo de vida del software.
Hay varios frameworks y herramientas que puedes usar para evaluar tu estrategia de seguridad e identificar formas de mitigar las amenazas.
Prácticas de envío de software
Para tener una postura de seguridad sólida, es necesario contar con una base sólida de prácticas recomendadas de entrega de software. Estas prácticas van más allá de la implementación de herramientas y controles técnicos. Por ejemplo, si el proceso de aprobación de cambios no está claro, será más fácil que se introduzcan cambios no deseados en tu cadena de suministro de software. Si los equipos no se animan a plantear problemas, pueden dudar a la hora de informar sobre problemas de seguridad.
DevOps Research and Assessment (DORA) lleva a cabo investigaciones independientes sobre las prácticas y las funciones de los equipos tecnológicos de alto rendimiento. Para evaluar el rendimiento de tu equipo y descubrir cómo mejorarlo, utiliza los siguientes recursos de DORA:
- Haz la encuesta breve de DevOps de DORA para obtener comentarios rápidos sobre cómo se compara tu organización con otras.
- Consulta las funciones técnicas, culturales, de procesos y de medidas de DevOps que ha identificado DORA.
Frameworks de postura de seguridad
El framework de desarrollo de software seguro del NIST (SSDF) y el framework de evaluación de ciberseguridad (CAF) son frameworks desarrollados por gobiernos para ayudar a las organizaciones a evaluar su postura de seguridad y mitigar las amenazas a la cadena de suministro. Estos marcos tienen en cuenta el ciclo de vida del desarrollo de software, así como otros aspectos relacionados con la seguridad del software, como los planes de respuesta a incidentes. La complejidad y el alcance de estos marcos pueden requerir una inversión considerable de tiempo y recursos.
Niveles de la cadena de suministro para artefactos de software (SLSA) es un framework que tiene como objetivo hacer que la evaluación y la implementación de mitigaciones sean más accesibles e incrementales. Se explican las amenazas a la cadena de suministro y las mitigaciones asociadas, y se proporcionan ejemplos de herramientas para implementar mitigaciones. También agrupa los requisitos para reforzar tu postura de seguridad en niveles, de forma que puedas priorizar e implementar los cambios de forma gradual. SLSA se centra principalmente en la cadena de suministro de software, por lo que debes usarlo junto con otras herramientas de evaluación, como SSDF y CAF.
SLSA se inspira en la autorización binaria de Borg interna de Google, un proceso de verificación obligatorio para todas las cargas de trabajo de producción de Google.
Google Cloud proporciona un conjunto modular de funciones y herramientas que incorporan prácticas recomendadas en SLSA. Puedes consultar estadísticas sobre tu postura de seguridad, incluido el nivel de SLSA de tus compilaciones.
Gestión de artefactos y dependencias
La visibilidad de las vulnerabilidades de tu software te permite responder de forma proactiva y solucionar las posibles amenazas antes de lanzar tus aplicaciones a los clientes. Puede usar las siguientes herramientas para obtener más visibilidad sobre las vulnerabilidades.
- Análisis de vulnerabilidades
- Los servicios de análisis de vulnerabilidades, como Artifact Analysis, te ayudan a identificar vulnerabilidades conocidas en tu software.
- Gestión de dependencias
Open Source Insights es una fuente centralizada de información sobre gráficos de dependencias, vulnerabilidades conocidas y licencias asociadas a software de código abierto. Usa el sitio para obtener información sobre tus dependencias.
El proyecto Open Source Insights también ofrece estos datos como un Google Cloud conjunto de datos. Puedes usar BigQuery para explorar y analizar los datos.
- Política de control de código fuente
Scorecards es una herramienta automatizada que identifica prácticas de la cadena de suministro de software arriesgadas en tus proyectos de GitHub.
Allstar es una aplicación de GitHub que monitoriza continuamente las organizaciones o los repositorios de GitHub para comprobar si cumplen las políticas configuradas. Por ejemplo, puedes aplicar una política a tu organización de GitHub que busque colaboradores ajenos a la organización que tengan acceso de administrador o de envío.
Para obtener más información sobre cómo gestionar las dependencias, consulta Gestión de dependencias.
Concienciación del equipo sobre ciberseguridad
Si tus equipos conocen las amenazas de la cadena de suministro de software y las prácticas recomendadas, pueden diseñar y desarrollar aplicaciones más seguras.
En el informe State of Cybersecurity 2021, Part 2 (Estado de la ciberseguridad 2021, parte 2), una encuesta realizada a profesionales de la seguridad de la información reveló que los programas de formación y concienciación sobre ciberseguridad habían tenido un impacto positivo (46%) o muy positivo (32%) en la concienciación de los empleados.
Los siguientes recursos pueden ayudarte a obtener más información sobre la seguridad de la cadena de suministro y la seguridad en Google Cloud:
- El Google Cloud plan de aspectos básicos de seguridad para empresas describe cómo configurar la estructura de la organización, la autenticación y la autorización, la jerarquía de recursos, las redes, el registro, los controles de detección y más. Es una de las guías del Google Cloud centro de prácticas recomendadas de seguridad.
- Desarrollo de software seguro enseña prácticas de desarrollo de software básicas en el contexto de la seguridad de la cadena de suministro de software. El curso se centra en las prácticas recomendadas para diseñar, desarrollar y probar código, pero también abarca temas como la gestión de las divulgaciones de vulnerabilidades, los casos de garantía y las consideraciones sobre la distribución y la implementación de software. La fundación de seguridad de código abierto (OpenSSF) ha creado la formación.
Prepararse para el cambio
Una vez que haya identificado los cambios que quiere hacer, debe planificarlos.
- Identifica las prácticas recomendadas y las medidas de mitigación para mejorar la fiabilidad y la seguridad de tu cadena de suministro.
Desarrollar directrices y políticas para asegurar que los equipos implementen los cambios y midan el cumplimiento de forma coherente. Por ejemplo, las políticas de tu empresa pueden incluir criterios de implementación que implementes con Autorización binaria. Los siguientes recursos pueden ayudarte:
- Producto mínimo viable de seguridad: una lista de comprobación de seguridad con controles para establecer una postura de seguridad básica para un producto. Puede usar la lista de comprobación para establecer sus requisitos mínimos de control de seguridad y para evaluar el software de proveedores externos.
- Publicación Security and Privacy Controls for Information Systems and Organizations (SP 800-53) del NIST.
Planifica los cambios incrementales para reducir el tamaño, la complejidad y el impacto de cada cambio. También ayuda a los miembros de tus equipos a adaptarse a cada cambio, enviar comentarios y aplicar las lecciones aprendidas a los cambios futuros.
Los siguientes recursos pueden ayudarte a planificar e implementar cambios.
The ROI of DevOps Transformation es un informe que describe cómo predecir el valor y justificar la inversión en la transformación de DevOps.
El programa de modernización de aplicaciones de Google Cloud ofrece una evaluación integral y guiada que mide los resultados clave (velocidad, estabilidad y agotamiento) e identifica las funciones técnicas, de procesos y culturales que mejoran esos resultados en tu organización. Consulta la entrada de blog sobre el anuncio del CAMP para obtener más información sobre el programa.
En Cómo transformar se ofrecen directrices para ayudarte a planificar e implementar los cambios. Fomentar una cultura que apoye los cambios graduales y continuos lleva a obtener mejores resultados.
El Secure Software Delivery Framework del NIST describe las prácticas de seguridad de software basadas en las prácticas establecidas de organizaciones como The Software Alliance, Open Web Application Security Project y SAFECode. Incluye un conjunto de prácticas para preparar tu organización, así como prácticas para implementar cambios y responder a las vulnerabilidades.
Siguientes pasos
- Consulta las prácticas recomendadas para proteger tu cadena de suministro de software.
- Consulta información sobre la seguridad de la cadena de suministro de software y losGoogle Cloudproductos y funciones que te ayudan a proteger tu cadena de suministro de software.