⌘K
ENES
GitHub
conceptDevSecOps~1 min de lecturaActualizado Apr 23, 2026

Supply Chain Security

Definición

Supply chain security es la práctica de reducir riesgo introducido por código de terceros, build systems, dependencias, artifacts, rutas de firma y procesos de distribución de releases.

Por qué importa

El software moderno se ensambla desde muchas piezas upstream. DevSecOps está incompleto si asegura solo código first-party mientras ignora dependencias, paquetes transitivos, integridad de build y provenance de release. Esta nota es el umbrella para el cluster de supply-chain: dependency-risk cubre exposición upstream de paquetes, artifact-integrity cubre resistencia a manipulación en outputs y sbom-and-provenance cubre trazabilidad de componentes y build.

Perspectiva del atacante

Los atacantes apuntan a supply chains porque un compromiso puede escalar a muchos consumidores downstream. Debilidades en confianza de paquetes, build systems, secrets y artifacts pueden bypass-ear runtime security fuerte por completo.

Perspectiva del defensor

Los defensores deberían:

  • entender de dónde vienen los componentes de software
  • reducir confianza innecesaria en upstreams
  • asegurar el camino de build y release
  • verificar qué se shippea, no solo qué se desarrolla

Ejemplos prácticos

  • un dependency update trae un paquete malicioso o comprometido
  • un build artifact es reemplazado después de CI pero antes del release
  • los equipos trackean vulnerabilidades pero no provenance ni trust boundaries

Notas relacionadas

Referencias

  • Fundamental: OWASP Software Supply Chain Security Cheat Sheet — https://cheatsheetseries.owasp.org/cheatsheets/Software_Supply_Chain_Security_Cheat_Sheet.html
  • Fundamental: NIST SP 800-218 SSDF — https://csrc.nist.gov/pubs/sp/800/218/final
  • Fundamental: CISA Secure by Design — https://www.cisa.gov/resources-tools/resources/secure-by-design

Notas relacionadas

DevSecOpsArtifact IntegrityArtifact integrity es la garantía de que outputs de build, paquetes, imágenes y artifacts de release no fueron manipulados y pueden trazarse hasta el proceso de build previsto. DevSecOpsASVS como input del proceso de desarrolloEsta nota trata OWASP ASVS no como una checklist post-hoc, sino como un input del proceso de desarrollo para diseñar, revisar y verificar controles técnicos de seguridad durante la implementación. DevSecOpsProtección de ramas y controles de releaseLa protección de ramas y los controles de release son las reglas y mecanismos de governance que determinan quién puede cambiar rutas de código protegidas, aprobar releases y promover artifacts hacia producción. DevSecOpsCI/CD HardeningCI/CD hardening es asegurar el build, test y deployment pipeline para que la automatización se vuelva una ruta de control confiable en vez de un amplificador de ataques. DevSecOpsContainer SecurityContainer security es la práctica de reducir riesgo en cómo las aplicaciones containerizadas se construyen, configuran, shippean y corren. DevSecOpsDependency RiskDependency risk es el riesgo de seguridad introducido por librerías, frameworks y paquetes de terceros directos y transitivos, y por sus patrones de actualización y confianza.