3.2 Proteger el Software (PS)

3.2 Proteger el Software (PS) Pasos Post Deploy CI/CD

3.2 Proteger el Software (PS) para Tareas Post Deploy

Proteger el Software (PS): Las organizaciones deben proteger todos los componentes de su software contra manipulaciones y accesos no autorizados.

PS.1

Proteger Todas las Formas de Código contra Accesos No Autorizados y Manipulación : Ayuda a prevenir cambios no autorizados en el código, tanto inadvertidos como intencionales, que podrían eludir o anular las características de seguridad previstas del software. Para el código que no está destinado a ser accesible públicamente, esto ayuda a prevenir el robo del software y puede dificultar o retrasar que los atacantes encuentren vulnerabilidades en el software.

Para cumplir con SSDF PS.1 en un contexto post-despliegue usando herramientas open-source, el enfoque se desplaza de solo definir a:

Proteger los artefactos desplegados (binarios, contenedores, scripts, configuraciones) para que no sean alterados en producción
Asegurar que la integridad del código post-despliegue sea verificable en cualquier momento
Mantener almacenamiento, transporte y recuperación de código y artefactos seguros
Mantener un registro de auditoría para todas las modificaciones y accesos

Tareas	Herramientas
PS.1.1: Almacenar todas las formas de código incluyendo código fuente, código ejecutable y configuración como código según el principio de menor privilegio, de modo que solo personal, herramientas o servicios autorizados tengan acceso.	Cosign Sigstore Firmar y verificar imágenes de contenedores, binarios y otros artefactos.
	Rekor Sigstore Registro público inmutable para firmas y metadatos.
	In-Toto Verificación de cadena de suministro de extremo a extremo para asegurar que los artefactos desplegados provienen de fuentes confiables.
	Gnu Privacy GuardG Firmar y verificar cualquier tipo de archivo, incluyendo tarballs y archivos de configuración.
	Harbor Registro de contenedores con escaneo de vulnerabilidades integrado, firma de contenido y RBAC.
	Sonatype Nexus OSS Repositorio seguro de artefactos con controles de acceso.
	JFrog Artifactory OSS Gestión de repositorios binarios con permisos granulares.
	Tripwire OSS Monitorea el sistema de archivos para detectar cambios no autorizados.
	AIDE (Advanced Intrusion Detection Environment) Crea una línea base de archivos y detecta alteraciones.
	Falco Detecta actividad sospechosa en entornos de Kubernetes o contenedores, incluyendo cambios de archivos.
	Kubernetes RBAC + OPA Gatekeeper Aplica políticas basadas en roles para el despliegue de imágenes de contenedores.
	Keycloak Autenticación/autorización centralizada para registros de artefactos y sistemas CI/CD.
	Wazuh Plataforma SIEM que monitorea registros de acceso y alerta sobre anomalías.
	Ortelius Evidence Store Rastrea qué versión de un servicio se despliega dónde y la vincula con su SBOM firmado.
	Syft Genera SBOMs para artefactos desplegados para verificación posterior.
	OWASP Dependency-Track Monitorea componentes en artefactos desplegados frente a feeds de CVE.

PS.2

Proporcionar un Mecanismo para Verificar la Integridad del Software: Ayuda a los adquirentes de software a asegurarse de que el software que adquieren es legítimo y no ha sido manipulado. Hacer que la información de verificación de integridad del software esté disponible para los adquirentes.

Para cumplir con SSDF PS.2 en un contexto post-despliegue usando herramientas open-source, el enfoque se desplaza a:

Mantener copias exactas de cada artefacto de lanzamiento (binarios, contenedores, configuraciones, SBOMs)
Registrar y publicar datos de verificación criptográfica (firmas, hashes, certificaciones)
Asegurar que los adquirentes puedan confirmar que lo que tienen coincide con la versión oficial y confiable

Tareas	Herramientas
PS.2.1: Hacer que la información de verificación de integridad del software esté disponible para los adquirentes.	Harbor Registro de contenedores con políticas de retención de imágenes, RBAC y confianza de contenido.
	Sonatype Nexus OSS Repositorio de artefactos para almacenar binarios y dependencias.
	JFrog Artifactory OSS Gestión de binarios con retención y control de acceso.
	GitHub Etiquetar y almacenar binarios de lanzamiento, SBOMs y checksums.
	Sigstore cosign Firmar y verificar imágenes de contenedores, SBOMs y otros artefactos.
	Sigstore Rekor Registro de transparencia inmutable para todos los artefactos y metadatos firmados.
	Gnu Privacy Guard Firmar y verificar tarballs, binarios o archivos SBOM.
	In-Toto Proporcionar verificación de procedencia de construcción de extremo a extremo.
	Ortelius Mapea servicios desplegados a versiones específicas y sus SBOMs.
	Syft Genera SBOMs a partir de artefactos desplegados.
	Hoppr Kit de utilidades SBOM / cadena de suministro: procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineados a recolección/mantenimiento/compartición de procedencia.
	OWASP Dependency-Track Monitorea continuamente SBOMs para nuevos CVEs en versiones preservadas.
	AIDE (Advanced Intrusion Detection Environment) Comprobador de integridad del sistema de archivos para detectar cambios en artefactos almacenados.
	Tripwire OSS Establecer línea base y monitorear directorios de lanzamiento almacenados para modificaciones.
	Wazuh SIEM que audita la actividad del repositorio de artefactos.
	AuditD Auditoría a nivel Linux para accesos a archivos de lanzamiento preservados.
	Kubernetes RBAC / Keycloak Restringir quién puede subir o modificar artefactos en los registros.

PS.3

Archivar y Proteger Cada Lanzamiento de Software: Preservar los lanzamientos de software para ayudar a identificar, analizar y eliminar vulnerabilidades descubiertas en el software después de su liberación.

Para cumplir con SSDF PS.3 en un contexto post-despliegue usando herramientas open-source, el enfoque se desplaza a:

Mantener un registro a prueba de manipulaciones de cada componente de software en cada lanzamiento
Asegurar que los datos de procedencia permanezcan accesibles para auditorías, investigaciones y respuesta a vulnerabilidades
Permitir a adquirentes y usuarios finales verificar de manera independiente el origen e integridad de cada componente

Tareas	Herramientas
PS.3.1: Archivar de manera segura los archivos y datos de soporte necesarios (por ejemplo, información de verificación de integridad, datos de procedencia) para retenerlos para cada lanzamiento de software. PS.3.2: Recopilar, proteger, mantener y compartir los datos de procedencia de todos los componentes de cada lanzamiento de software (por ejemplo, en un bill of materials -SBOM).	Syft Genera SBOMs desde contenedores, VMs o sistemas de archivos desplegados (formatos SPDX & CycloneDX).
	Trivy Crear SBOMs y escanear vulnerabilidades en sistemas desplegados.
	In-Toto Registrar pasos de construcción y metadatos de la cadena de suministro como archivos “link” firmados.
	Cosign Attest Capturar procedencia de construcción y despliegue como certificaciones firmadas.
	Gnu Privacy Guard Firmar SBOMs y metadatos para distribución offline o privada.
	Rekor Almacenar firmas y certificaciones en un registro público e inmutable.
	Tripwire OSS Detectar cambios no autorizados en archivos de procedencia almacenados localmente.
	AIDE (Advanced Intrusion Detection Environment) Detectar cambios no autorizados en archivos de procedencia almacenados localmente.
	Ortelius Evidence Store Versionar y rastrear servicios desplegados y sus SBOMs; vincularlos a entornos y lanzamientos. Acceso API/UI para compartir historial de SBOM y componentes de lanzamientos específicos.
	Dependency Track Monitorear continuamente SBOMs preservados para nuevos CVEs.
	Harbor Adjuntar SBOMs y firmas a imágenes de contenedores en un registro.
	CycloneDX BOM Portal (OSS) Alojar y validar SBOMs en una interfaz web accesible.
	Hoppr Kit de utilidades SBOM / cadena de suministro—procesamiento de SBOM y movimiento de “materiales” de la cadena de suministro alineados a recolección/mantenimiento/compartición de procedencia.