Editor Top
El 4 de agosto de 2022, Microsoft públicamente compartió un marco que ha estado utilizando para asegurar sus propias prácticas de desarrollo desde 2019, el Marco de consumo seguro de la cadena de suministro (S2C2F), anteriormente el marco Open Source Software-Supply Chain Security (OSS-SSC). Como gran consumidor y contribuyente del código abierto, Microsoft comprende la importancia de una estrategia sólida para asegurar la forma en que los desarrolladores consumen y administran las dependencias del software de código abierto (OSS) al crear software. Nos complace anunciar que el S2C2F ha sido adoptado por OpenSSF bajo el Grupo de Trabajo de Integridad de la Cadena de Suministro y formado en su propio Grupo de Iniciativa Especial (SIG). Nuestros pares en OpenSSF y en todo el mundo están de acuerdo con Microsoft en lo fundamental que es este trabajo para mejorar la seguridad de la cadena de suministro para todos.
¿Qué es el S2C2F?
Creamos el S2C2F como un marco centrado en el consumo que utiliza un enfoque de reducción de riesgos basado en amenazas para mitigar las amenazas del mundo real. Una de sus principales fortalezas es lo bien que se combina con cualquier marco centrado en el productor, como SLSA.1 El marco enumera una lista de amenazas de la cadena de suministro del mundo real específicas del OSS y explica cómo los requisitos del marco mitigan esas amenazas. También incluye un conjunto de enfoques agnósticos de plataforma y software de alto nivel que se dividen en ocho áreas de práctica diferentes:
Cada una de las ocho prácticas se compone de requisitos para abordar las amenazas y reducir el riesgo. Los requisitos están organizados en cuatro niveles de madurez. Hemos visto un éxito masivo con proyectos internos y externos que han adoptado este marco. Con el S2C2F, los equipos y las organizaciones pueden priorizar sus esfuerzos de manera más eficiente de acuerdo con el modelo de madurez. La capacidad de apuntar a un nivel específico de cumplimiento dentro del marco significa que los equipos pueden hacer un progreso intencional e incremental para reducir el riesgo de su cadena de suministro.
Cada nivel de madurez tiene un tema representado en Niveles (1 a 4). Nivel 1 representa la sabiduría convencional anterior de inventariar su OSS, buscar vulnerabilidades conocidas y luego actualizar las dependencias de OSS, que es el mínimo necesario para un programa de gobierno de OSS. Nivel 2 se basa en el Nivel 1 al aprovechar la tecnología que ayuda a mejorar el tiempo medio para remediar (MTTR) las vulnerabilidades en OSS con el objetivo de parchear más rápido de lo que el adversario puede operar. Nivel 3 se centra en el análisis de seguridad proactivo combinado con controles preventivos que mitigan el consumo accidental de OSS comprometido o malicioso. Nivel 4 representa controles que mitigan los ataques más sofisticados, pero también son los controles más difíciles de implementar a escala; por lo tanto, estos deben considerarse aspiracionales y reservados para sus dependencias en sus proyectos más críticos.
El S2C2F incluye una guía para evaluar la madurez de su organización y una guía de implementación que recomienda herramientas de toda la industria para ayudar a cumplir con los requisitos del marco. Por ejemplo, ambos Seguridad avanzada de GitHub (GHAS) y GHAS en Azure DevOps (ADO) ya proporcionan un conjunto de herramientas de seguridad que ayudarán a los equipos y organizaciones a lograr el cumplimiento de S2C2F Nivel 2.
El S2C2F es fundamental para el futuro de la seguridad de la cadena de suministro
Según el informe Estado de la cadena de suministro de software de 2022 de Sonatype,2 Los ataques a la cadena de suministro dirigidos específicamente al OSS han aumentado en un 742 % anual durante los últimos tres años. El S2C2F está diseñado desde cero para proteger a los desarrolladores del consumo accidental de paquetes maliciosos y comprometidos, lo que ayuda a mitigar los ataques a la cadena de suministro al disminuir las superficies de ataque basadas en el consumo. A medida que surgen nuevas amenazas, OpenSSF S2C2F SIG bajo el Grupo de Trabajo de Integridad de la Cadena de Suministro, dirigido por un equipo de Microsoft, se compromete a revisar y mantener el conjunto de requisitos de S2C2F para abordarlas.
Aprende más
Ver los requisitos de S2C2F o descargar la guía Ahora vea cómo puede mejorar la seguridad de sus prácticas de consumo de OSS en su equipo u organización. Ven y únete a la Discusión de la comunidad S2C2F dentro del grupo de trabajo de integridad de la cadena de suministro de OpenSSF.
Para obtener más información sobre las soluciones de seguridad de Microsoft, visite nuestro sitio web. Marque el blog de seguridad para mantenerse al día con nuestra cobertura de expertos en asuntos de seguridad. Además, síguenos en @MSFTSecurity para conocer las últimas noticias y actualizaciones sobre ciberseguridad.
1Niveles de la cadena de suministro para artefactos de software (SLSA).
28el Informe anual sobre el estado de la cadena de suministro de softwareSonatipo.
