Seguridad de la cadena de suministro de software.

Disciplina que protege cada eslabón de la producción de software —fuente, dependencias, build, firma, distribución y despliegue— frente a manipulación, código malicioso y pérdida de integridad. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.

Disciplina que protege cada eslabón de la producción de software —fuente, dependencias, build, firma, distribución y despliegue— frente a manipulación, código malicioso y pérdida de integridad.

La seguridad de la cadena de suministro trata el código como algo ensamblado a partir de muchas fuentes en lugar de escrito desde cero. Cubre la protección del repositorio, la identidad de los desarrolladores, CI/CD seguro, la curación de dependencias, la generación de SBOM y CBOM, la firma y verificación (Sigstore, Cosign, in-toto), la procedencia firmada según SLSA, la gestión de vulnerabilidades, la gestión de secretos y la aplicación de políticas en el despliegue. La disciplina emergió tras incidentes como SolarWinds, Codecov, Log4Shell, XZ Utils y campañas de dependency confusion. Marcos y guías relevantes son SLSA, NIST SSDF (SP 800-218), CISA Secure by Design, la EO 14028 de EE. UU. y la Cyber Resilience Act de la UE, todos orientados a pipelines firmados, verificables y transparentes.

Las defensas contra Seguridad de la cadena de suministro de software combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.

Nombres alternativos comunes: Seguridad de la cadena de suministro de software.