Cadena de suministro de software
Componentes, bibliotecas, herramientas y procesos utilizados para desarrollar, construir y publicar un artefacto de software

Una cadena de suministro de software son los componentes, bibliotecas, herramientas y procesos utilizados para desarrollar, construir y publicar un artefacto de software . [1]

Una lista de materiales de software (SBOM) declara el inventario de componentes utilizados para construir un artefacto de software, incluidos todos los componentes de software de código abierto y propietario . [2] [3] Es el análogo de software de la lista de materiales de fabricación tradicional, que se utiliza como parte de la gestión de la cadena de suministro . [4]

Uso

Un SBOM permite a los desarrolladores asegurarse de que los componentes de software de código abierto y de terceros estén actualizados y respondan rápidamente a nuevas vulnerabilidades. [5] Los compradores y otras partes interesadas pueden utilizar un SBOM para realizar análisis de vulnerabilidades o licencias, que se pueden utilizar para evaluar y gestionar el riesgo de un producto. [6] [7] [8]

Si bien muchas empresas utilizan una hoja de cálculo para la gestión general de listas de materiales, existen riesgos y problemas adicionales en una hoja de cálculo escrita en una SBOM. Es una buena práctica que las SBOM se almacenen colectivamente en un repositorio que pueda ser parte de otros sistemas de automatización y que otras aplicaciones puedan consultar fácilmente. [ cita requerida ]

Legislación

La Ley de Transparencia y Gestión de la Cadena de Suministro Cibernética de 2014 [9] fue una fallida ley estadounidense que proponía exigir a las agencias gubernamentales que obtuvieran certificados de garantía de seguridad cibernética para cualquier producto nuevo que adquirieran y que obtuvieran certificados de garantía de seguridad cibernética para "cualquier software, firmware o producto en uso por el gobierno de los Estados Unidos". La ley estimuló leyes posteriores como la "Ley de Mejora de la Ciberseguridad de la Internet de las Cosas de 2017". [10] [11]

La Orden Ejecutiva de Estados Unidos sobre la Mejora de la Ciberseguridad Nacional del 12 de mayo de 2021 ordenó al NIST y a la NTIA que establecieran pautas para la gestión de la cadena de suministro de software, incluidas las SBOM. [12] La NTIA describe tres amplias categorías de elementos mínimos de las SBOM: campos de datos (información de referencia sobre cada componente de software), soporte de automatización (la capacidad de generar SBOM en formatos legibles por máquinas y humanos) y prácticas y procesos (cómo y cuándo las organizaciones deben generar SBOM). [13] El requisito de "soporte de automatización" especifica la necesidad de "generación automática", que es posible con el uso de soluciones de análisis de composición de software (SCA). [14]

Véase también

Referencias

  1. ^ "Por si acaso, contar enlaces rotos: la visión cuantitativa de la seguridad de la cadena de suministro de software" (PDF) . USENIX ;login. Archivado (PDF) del original el 2022-12-17 . Consultado el 2022-07-04 .
  2. ^ "[Parte 2] Código, automóviles y Congreso: un momento para la gestión de la cadena de suministro cibernética". Archivado desde el original el 14 de junio de 2015. Consultado el 12 de junio de 2015 .
  3. ^ "Lista de materiales de software". ntia.gov. Archivado desde el original el 2022-11-30 . Consultado el 2021-01-25 .
  4. ^ "Código, automóviles y Congreso: un momento para la gestión de la cadena de suministro cibernética". Archivado desde el original el 2014-12-30 . Consultado el 2015-06-12 .
  5. ^ "Software Bill of Materials improves Intellectual Property management" (La lista de materiales de software mejora la gestión de la propiedad intelectual). Diseño de computación integrada . Archivado desde el original el 25 de agosto de 2018. Consultado el 12 de junio de 2015 .
  6. ^ "Tipos de control de seguridad de software adecuados para proveedores de productos y servicios de terceros" (PDF) . Docs.ismgcorp.com. Archivado (PDF) del original el 19 de enero de 2023 . Consultado el 12 de junio de 2015 .
  7. ^ "Top 10 2013-A9-Using Components with Known Vulnerabilities" (Los 10 componentes más utilizados en 2013-A9 con vulnerabilidades conocidas). Archivado desde el original el 2019-10-06 . Consultado el 2015-06-12 .
  8. ^ "Riesgos de ciberseguridad en la cadena de suministro" (PDF) . Cert.gov.uk. Archivado desde el original el 2023-06-06 . Consultado el 2020-07-28 .
  9. ^ "HR5793 - 113.º Congreso (2013-2014): Ley de Transparencia y Gestión de la Cadena de Suministro Cibernética de 2014 - Congress.gov - Biblioteca del Congreso". 4 de diciembre de 2014. Archivado desde el original el 16 de diciembre de 2022. Consultado el 12 de junio de 2015 .
  10. ^ "Ley de mejora de la ciberseguridad de la Internet de las cosas de 2017" (PDF) . Archivado (PDF) del original el 19 de enero de 2023 . Consultado el 26 de febrero de 2020 .
  11. ^ "Ley de Mejora de la Ciberseguridad de 2017: El fantasma del Congreso del pasado". 17 de agosto de 2017. Archivado desde el original el 16 de diciembre de 2022. Consultado el 26 de febrero de 2020 .
  12. ^ "Orden ejecutiva para mejorar la ciberseguridad de la nación". La Casa Blanca . 2021-05-12. Archivado desde el original el 2021-05-15 . Consultado el 2021-06-12 .
  13. ^ "Elementos mínimos para una lista de materiales de software (SBOM)". NTIA.gov . 2021-07-12. Archivado desde el original el 2023-06-05 . Consultado el 2021-12-12 .
  14. ^ "NTIA publica elementos mínimos para una lista de materiales de software". NTIA.gov . 2021-07-12. Archivado desde el original el 2022-11-22 . Consultado el 2022-03-22 .
Obtenido de "https://es.wikipedia.org/w/index.php?title=Cadena_de_suministro_de_software&oldid=1245820162"