Protege tu cadena de suministro de software

Esta documentación se enfoca principalmente en las prácticas recomendadas que permiten proteger tu software en todos los procesos y sistemas de la cadena de suministro de software. También se incluye información sobre cómo implementar algunas de las prácticas en Google Cloud.

• Protección de la integridad de la fuente
• Protección de la integridad de la compilación
• Cómo administrar dependencias
• Protege las implementaciones

Existen consideraciones adicionales para proteger tu software que abarcan el ciclo de vida del software o son prácticas de desarrollo fundamentales que respaldan la seguridad de la cadena de suministro de software. Por ejemplo:

• Controlar el acceso físico y remoto a los sistemas
• Implementar mecanismos de auditoría, supervisión y comentarios para que puedas identificar y responder rápidamente a las amenazas y al incumplimiento de la política
• Prácticas de programación básicas, como el diseño, la validación de entradas, la salida a sistemas no confiables, el procesamiento de datos, el análisis de código y la criptografía
• Prácticas básicas de DevOps más allá de las que se mencionan en esta documentación, como los enfoques técnicos, el proceso del equipo y la cultura organizacional.

• Cumplimiento de las condiciones de las licencias de software, incluidas las licencias de código abierto para dependencias directas y transitivas

  Algunas licencias de código abierto tienen condiciones de licencia restrictivas que son problemáticas para el software comercial. En particular, algunas licencias requieren que publiques tu código fuente con la misma licencia que el software de código abierto que reutilizas. Si deseas mantener la privacidad de tu código fuente, es importante que conozcas las condiciones de las licencias del software de código abierto que usas.

• Aumentar la conciencia sobre la seguridad cibernética mediante la capacitación de los empleados Según el Estado de la seguridad cibernética 2021, Parte 2, una encuesta a profesionales de la seguridad de la información, la ingeniería social fue el tipo de ataque más frecuente. Los encuestados también informaron que los programas de capacitación y concientización sobre la seguridad cibernética tuvieron algún impacto positivo (46%) o un impacto positivo importante (32%) en la concientización de los empleados.

Usa los recursos de las siguientes secciones para obtener más información sobre estos temas.

Seguridad en Google Cloud

Obtén información para configurar la estructura organizativa, la autenticación y autorización, la jerarquía de recursos, las herramientas de redes, el registro, los controles de detección y mucho más en el plano de bases empresariales de Google Cloud, una de las guías del Centro de prácticas recomendadas de seguridad de Google Cloud.

Puedes ver información centralizada sobre vulnerabilidades y posibles riesgos con estos servicios de Google Cloud:

• Consulta información sobre vulnerabilidades y amenazas en tu organización de Google Cloud con Security Command Center.
• Obtén información sobre el uso de tu servicio con el recomendador, incluidas las recomendaciones que pueden ayudarte a reducir el riesgo. Por ejemplo, puedes identificar principales de IAM con permisos excesivos o proyectos de Google Cloud sin supervisión.

Para obtener más información sobre la seguridad en Google Cloud, consulta la sección Seguridad del sitio web de Google Cloud.

DevOps y prácticas de desarrollo de software

Consulta la documentación sobre las funciones de DevOps para obtener más información sobre las prácticas de DevOps que contribuyen a una entrega de software más rápida y a un software más confiable y seguro.

También hay prácticas fundamentales para diseñar, desarrollar y probar código que se aplican a todos los lenguajes de programación. También debes evaluar cómo distribuyes el software y las condiciones de las licencias de software en todas tus dependencias. Linux Foundation ofrece capacitación en línea gratuita sobre los siguientes temas:

• Desarrollo de software seguro: Prácticas básicas de desarrollo de software en el contexto de la seguridad de la cadena de suministro de software. El curso se enfoca en las prácticas recomendadas para diseñar, desarrollar y probar código, pero también abarca temas como el manejo de divulgaciones de vulnerabilidades, casos de garantía y consideraciones para la distribución y la implementación de software. La Open Source Security Foundation (OpenSSF) creó la capacitación.
• Conceptos básicos de las licencias de código abierto para desarrolladores Obtén información sobre las licencias y los derechos de autor de los proyectos de código abierto.
• Introducción a la administración de cumplimiento de licencias de código abierto Obtén información para crear un programa de cumplimiento de código abierto para tu organización.

Desarrolla tus políticas

A medida que implementes de forma incremental las prácticas recomendadas, documenta las políticas de tu organización e incorpora la validación de las políticas en tus procesos de desarrollo, compilación y, luego, implementación. Por ejemplo, las políticas de tu empresa podrían incluir criterios para la implementación que implementas con la Autorización binaria.

• Producto mínimo viable y seguro, una lista de tareas de seguridad de controles para establecer una postura de seguridad de referencia para un producto. Puedes usar la lista de tareas para establecer tus requisitos mínimos de control de seguridad y evaluar el software de proveedores externos.
• Publicación Controles de seguridad y privacidad para sistemas de información y organizaciones (SP 800-53) del NIST