Articulo de referencia

Cadena de suministro de software

Una cadena de suministro de software son los componentes, bibliotecas, herramientas y procesos utilizados para desarrollar, construir y publicar un artefacto de software . [ 1 ]...

Una cadena de suministro de software son los componentes, bibliotecas, herramientas y procesos utilizados para desarrollar, construir y publicar un artefacto de software . [ 1 ]

Una lista de materiales de software ( SBOM ) declara el inventario de componentes utilizados para construir un artefacto de software, incluyendo cualquier componente de software de código abierto y propietario . [ 2 ] [ 3 ] Es el análogo de software de la lista de materiales de fabricación tradicional, que se utiliza como parte de la gestión de la cadena de suministro . [ 4 ] Las SBOM son una estrategia para mejorar la transparencia en la cadena de suministro de software .

Los ataques a la cadena de suministro de software comprometen un componente inicial —como una biblioteca ampliamente utilizada, una herramienta de compilación o un canal de distribución— para afectar simultáneamente a todos los usuarios posteriores de dicho componente. Incidentes de gran repercusión, como el ataque a SolarWinds, ilustraron la magnitud y el alcance de estos ataques. Los investigadores han catalogado la superficie de ataque en una taxonomía que abarca todas las etapas, desde la contribución al código fuente hasta la distribución del paquete, vinculando los vectores de ataque con incidentes reales y las medidas de seguridad correspondientes. [ 5 ]

Procedencia del software

Otro concepto importante en las cadenas de suministro de software es la procedencia: las certificaciones firmadas pueden registrar de dónde proviene un artefacto de software, qué código fuente y dependencias se utilizaron, y qué pasos en el proceso de compilación lo produjeron. Los marcos de procedencia como in-toto ayudan a los usuarios posteriores a verificar que una versión se compiló mediante un proceso esperado y ayudan a detectar manipulaciones entre la obtención del código fuente, la compilación y la distribución. [ 6 ]

Lista de materiales del software

Un SBOM permite a los desarrolladores asegurarse de que los componentes de software de código abierto y de terceros estén actualizados y respondan rápidamente a nuevas vulnerabilidades. [ 7 ] Los compradores y otras partes interesadas pueden utilizar un SBOM para realizar análisis de vulnerabilidades o licencias, que pueden utilizarse para evaluar y gestionar el riesgo en un producto. [ 8 ] [ 9 ] [ 10 ]

Si bien muchas empresas utilizan una hoja de cálculo para la gestión general de la lista de materiales (BOM), existen riesgos y problemas adicionales al escribir una lista de materiales de base de datos (SBOM) en una hoja de cálculo, como la imposibilidad de enriquecerla automáticamente con datos de vulnerabilidades o integrarla en cadenas de herramientas de seguridad. [ 11 ] La mejor práctica es que las SBOM se almacenen colectivamente en un repositorio que pueda formar parte de otros sistemas de automatización y al que puedan acceder fácilmente otras aplicaciones. [ 12 ]

Los estudios de transparencia en ciberseguridad, incluido TRACS 2025, identifican la disponibilidad de SBOM como uno de los criterios utilizados al comprar soluciones de seguridad de la información. [ 13 ] Sin embargo, no todos los productos de seguridad empresarial proporcionan SBOM disponibles públicamente. La investigación en ecosistemas de código abierto indica que los SBOM impulsados ​​por políticas siguen siendo raros en la práctica: un estudio a gran escala encontró que solo alrededor del 0,56 % de los repositorios populares de GitHub contienen SBOM creados de acuerdo con políticas formales de seguridad o cumplimiento. [ 14 ] Además, según otra investigación, menos de la mitad de los proyectos de software probados incluyen SBOM en sus versiones, y muchos de esos SBOM están incompletos o no se ajustan completamente a los estándares establecidos. [ 15 ] En el ecosistema Java , un estudio que evaluó seis herramientas de generación de SBOM encontró que con frecuencia producen resultados inexactos, incluidas listas de dependencia infladas que informan sobre más componentes realmente utilizados. [ 16 ] Al mismo tiempo, las encuestas a nivel corporativo informan que aproximadamente entre el 60 y el 76  % de las empresas requieren SBOM de los proveedores o han integrado SBOM en los procesos de gestión de riesgos de adquisiciones y cadena de suministro . [ 17 ]

Legislación

La Ley de Transparencia y Gestión de la Cadena de Suministro Cibernética de 2014 [ 18 ] fue un proyecto de ley estadounidense fallido que proponía exigir a las agencias gubernamentales obtener listas de materiales (SBOM) para cualquier producto nuevo que adquirieran y para "cualquier software, firmware o producto en uso por el Gobierno de los Estados Unidos". Esta ley impulsó legislación posterior, como la " Ley de Mejora de la Ciberseguridad del Internet de las Cosas de 2017" [ 19 ] [ 20 ].

La Orden Ejecutiva 14028 del Presidente de los Estados Unidos , Joe Biden, sobre la mejora de la ciberseguridad de la nación , del 12 de mayo de 2021, ordenó al NIST y a la NTIA que establecieran directrices para la gestión de la cadena de suministro de software, incluyendo los SBOM. [ 21 ] La NTIA describe tres categorías amplias de elementos mínimos de los SBOM: campos de datos (información básica sobre cada componente de software), soporte de automatización (la capacidad de generar SBOM en formatos legibles por máquina y por humanos ) y prácticas y procesos (cómo y cuándo las organizaciones deben generar los SBOM). [ 22 ] El requisito de "soporte de automatización" especifica la necesidad de "generación automática", que es posible con el uso de soluciones de Análisis de Composición de Software (SCA). [ 23 ]

Véase también

Referencias

  1. "Para mayor seguridad, contando los enlaces rotos: una perspectiva cuantitativa sobre la seguridad de la cadena de suministro de software" (PDF) . USENIX;login. Archivado (PDF) del original el 17 de diciembre de 2022. Recuperado el 4 de julio de 2022 .
  2. " [ Parte 2 ] Código, automóviles y Congreso: Un momento para la gestión de la cadena de suministro cibernética" . Archivado del original el 14 de junio de 2015. Consultado el 12 de junio de 2015 .
  3. "Lista de materiales de software" . ntia.gov. Archivado del original el 30/11/2022 . Consultado el 25/01/2021 .
  4. "Código, coches y Congreso: Un momento para la gestión de la cadena de suministro cibernética" . Archivado del original el 30/12/2014 . Consultado el 12/06/2015 .
  5. Ladisa, Piergiorgio; Plate, Henrik; Martinez, Matias; Barais, Olivier (2023). Taxonomía de ataques a cadenas de suministro de software de código abierto . Simposio IEEE de 2023 sobre seguridad y privacidad (SP). pp. 1509–1526 . doi : 10.1109/SP46215.2023.00052 . 
  6. Torres-Arias, Santiago; Chase, Newlin; George, Bo; Cappos, Justin (2019). in-toto: Proporcionando garantías de granja a mesa para bits y bytes . 28.º Simposio de Seguridad de USENIX (USENIX Security 19). Asociación USENIX. págs. 1393–1410 . Recuperado el 14 de mayo de 2026 . 
  7. "La lista de materiales de software mejora la gestión de la propiedad intelectual" . Diseño de computación embebida . Archivado del original el 25 de agosto de 2018. Consultado el 12 de junio de 2015 .
  8. "Tipos de control de seguridad de software apropiados para proveedores de servicios y productos de terceros" (PDF) . Docs.ismgcorp.com. Archivado (PDF) del original el 19/01/2023 . Consultado el 12/06/2015 .
  9. "Top 10 2013-A9-Uso de componentes con vulnerabilidades conocidas" . Archivado del original el 06/10/2019 . Consultado el 12/06/2015 .
  10. "Riesgos de ciberseguridad en la cadena de suministro" (PDF) . Cert.gov.uk. Archivado del original el 6 de junio de 2023. Consultado el 28 de julio de 2020 .
  11. Fucci, Davide; Di Penta, Massimiliano ; Romano, Simone; Scanniello, Giuseppe (2025). «Aumento de las listas de materiales de software con la descripción de vulnerabilidades de software: un estudio preliminar en GitHub». Actas de la 33.ª Conferencia Internacional ACM sobre los Fundamentos de la Ingeniería de Software . págs. 631–635 . doi : 10.1145/3696630.3728513 . ISBN  979-8-4007-1276-0.
  12. "Re: Comentarios de McAfee en respuesta a la solicitud de información (RFI) de la NTIA sobre "Elementos y consideraciones de la lista de materiales de software", Expediente n.° 210527–0117" (PDF) . ntia.gov . 17 de junio de 2021.
  13. "REVISIÓN DE LA TRANSPARENCIA Y LA RENDICIÓN DE CUENTAS EN CIBERSEGURIDAD 2025" (PDF) . WKO .
  14. Novikov, Oleksii; Fucci, Davide; Adamov, Oleksandr; Méndez, Daniel (01 de septiembre de 2025). "Lista de materiales de software basada en políticas en GitHub: un estudio empírico". arXiv : 2509.01255 [ cs.SE ].
  15. Nocera, Sabato; Romano, Simone; Di Penta, Massimiliano ; Francese, Rita; Scanniello, Giuseppe (2025-12-01). "Sobre la adopción de listas de materiales de software en proyectos de software de código abierto" . Journal of Systems and Software . 230 112540. doi : 10.1016/j.jss.2025.112540 . ISSN 0164-1212 . 
  16. ^ Balliu, Musard; Baudry, Benoît; Bobadilla, Sofía; Ekstedt, Mathías; Monperrus, Martín; Ron, Javier; Sharma, Aman; Skoglund, Gabriel; Soto-Valero, César; Wittlinger, Martín (2023). "Desafíos de la producción de listas de materiales de software para Java". Seguridad y privacidad de IEEE . 21 (6): 12– 23. doi : 10.1109/MSEC.2023.3302956 . ISSN 1558-4046 . 
  17. Ian Barker (3 de agosto de 2023). "Las preocupaciones sobre la cadena de suministro impulsan la adopción de SBOM" . BetaNews . Consultado el 17 de enero de 2026 .
  18. "HR5793 - 113.º Congreso (2013-2014): Ley de Transparencia y Gestión de la Cadena de Suministro Cibernética de 2014 - Congress.gov - Biblioteca del Congreso" . 4 de diciembre de 2014. Archivado del original el 16 de diciembre de 2022. Consultado el 12 de junio de 2015 .
  19. "Ley de mejora de la ciberseguridad del Internet de las cosas de 2017" (PDF) . Archivado (PDF) del original el 19 de enero de 2023. Consultado el 26 de febrero de 2020 .
  20. "Ley de Mejora de la Ciberseguridad de 2017: El Fantasma del Congreso Pasado" . 17 de agosto de 2017. Archivado del original el 16 de diciembre de 2022. Consultado el 26 de febrero de 2020 .
  21. «Orden ejecutiva para mejorar la ciberseguridad de la nación» . La Casa Blanca . 12 de mayo de 2021. Archivado del original el 15 de mayo de 2021. Consultado el 12 de junio de 2021 .
  22. "Elementos mínimos para una lista de materiales de software (SBOM)" . NTIA.gov . 12 de julio de 2021. Archivado del original el 5 de junio de 2023. Consultado el 12 de diciembre de 2021 .
  23. "NTIA publica los elementos mínimos para una lista de materiales de software" . NTIA.gov . 12 de julio de 2021. Archivado del original el 22 de noviembre de 2022. Consultado el 22 de marzo de 2022 .