Segurança da cadeia de fornecimento de software
O que é Segurança da cadeia de fornecimento de software?
Segurança da cadeia de fornecimento de softwareDisciplina que protege cada elo da produção de software - código-fonte, dependências, build, assinatura, distribuição e deploy - contra manipulação, código malicioso e perda de integridade.
A segurança da cadeia de fornecimento de software trata o código como um produto montado a partir de muitas fontes, e não escrito do zero. Abrange a proteção de repositórios, identidade dos developers, CI/CD seguro, curadoria de dependências, geração de SBOM e CBOM, assinatura e verificação (Sigstore, Cosign, in-toto), proveniência assinada à SLSA, gestão de vulnerabilidades, gestão de segredos e aplicação de políticas no deploy. A disciplina ganhou força após incidentes como SolarWinds, Codecov, Log4Shell, XZ Utils e campanhas de dependency confusion. Referenciais incluem SLSA, NIST SSDF (SP 800-218), CISA Secure by Design, EO 14028 nos EUA e o Cyber Resilience Act da UE - todos convergindo em pipelines assinados, verificáveis e transparentes.
● Exemplos
- 01
Pipeline assinado ponta a ponta com proveniência SLSA L3 e deploys verificados pelo Cosign.
- 02
Proxy interno de pacotes curados aliado a uma resposta a vulnerabilidades orientada por SBOM.
● Perguntas frequentes
O que é Segurança da cadeia de fornecimento de software?
Disciplina que protege cada elo da produção de software - código-fonte, dependências, build, assinatura, distribuição e deploy - contra manipulação, código malicioso e perda de integridade. Pertence à categoria Segurança de aplicações da cibersegurança.
O que significa Segurança da cadeia de fornecimento de software?
Disciplina que protege cada elo da produção de software - código-fonte, dependências, build, assinatura, distribuição e deploy - contra manipulação, código malicioso e perda de integridade.
Como funciona Segurança da cadeia de fornecimento de software?
A segurança da cadeia de fornecimento de software trata o código como um produto montado a partir de muitas fontes, e não escrito do zero. Abrange a proteção de repositórios, identidade dos developers, CI/CD seguro, curadoria de dependências, geração de SBOM e CBOM, assinatura e verificação (Sigstore, Cosign, in-toto), proveniência assinada à SLSA, gestão de vulnerabilidades, gestão de segredos e aplicação de políticas no deploy. A disciplina ganhou força após incidentes como SolarWinds, Codecov, Log4Shell, XZ Utils e campanhas de dependency confusion. Referenciais incluem SLSA, NIST SSDF (SP 800-218), CISA Secure by Design, EO 14028 nos EUA e o Cyber Resilience Act da UE - todos convergindo em pipelines assinados, verificáveis e transparentes.
Como se defender contra Segurança da cadeia de fornecimento de software?
As defesas contra Segurança da cadeia de fornecimento de software costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Segurança da cadeia de fornecimento de software?
Nomes alternativos comuns: Segurança da supply chain de software.
● Termos relacionados
- attacks№ 1116
Ataque à cadeia de fornecimento
Ataque que compromete um fornecedor de software, hardware ou serviços de confiança para alcançar os seus clientes a jusante.
- appsec№ 1053
SLSA Framework
Supply-chain Levels for Software Artifacts: conjunto escalonado de requisitos publicado pelo OpenSSF que endurece progressivamente a forma como o software é construído, assinado e verificado contra manipulação da cadeia de fornecimento.
- appsec№ 1068
Software Bill of Materials (SBOM)
Inventário formal e legível por máquina dos componentes, bibliotecas e dependências que compõem um software, com versões e respetivas relações.
- appsec№ 1044
Sigstore
Projeto open source da Linux Foundation que facilita assinar, verificar e proteger artefactos de software combinando chaves efémeras, identidades OIDC e um registo de transparência.
- appsec№ 166
Segurança de CI/CD
Conjunto de controlos que protegem os pipelines de integração e entrega contínuas contra comprometimento, injeção de código, fuga de segredos e deploys não autorizados.
- appsec№ 870
Atestação de proveniência
Declaração assinada e verificável por máquina que descreve como um artefacto de software foi produzido - fonte, sistema de build, parâmetros e dependências - para os consumidores confiarem na sua origem.