A medida que nos adentramos en 2023, la firma de código será más importante que nunca, y eso es mucho decir.
En el entorno actual de confianza cero, la firma de código representa un paso fundamental para proteger la integridad de software y la infraestructura. Cuando se hace bien, la firma de código garantiza que solo las personas y herramientas adecuadas tengan acceso a firmar código, y esa firma permite a los usuarios y dispositivos determinar en qué software confiar y en cuáles no.
Por supuesto, como todo en el mundo de la seguridad, introducir las prácticas adecuadas en torno a la firma de código para lograr el estado final deseado es más fácil de decir que de hacer. Pero hacerlo bien será una prioridad esencial en 2023 para protegerse de las brechas y los ataques a la cadena de suministro.
¿Cuál es exactamente el panorama actual de la firma de código y qué podemos esperar que cambie el año que viene? Para responder a estas preguntas, nos hemos reunido con Eric Mizell, Vicepresidente de Ingeniería de Campo de Keyfactor. Esto es lo que nos ha contado.
Keyfactor: En su opinión, ¿cuáles son las principales razones por las que aún no se ha generalizado la firma de código?
Eric Mizell: Creo que hay varias razones por las que la firma de código aún no se ha adoptado de forma generalizada, y la mayoría de ellas tienen que ver con los distintos niveles de concienciación. Esas razones, empezando por el nivel de concienciación más bajo, incluyen:
- Los equipos no saben cómo firmar código ni qué lugar ocupa la firma de código en su organización.
- La firma de códigos está en la lista de tareas pendientes, pero por debajo de otras prioridades.
- La firma de código está ocurriendo, pero se limita a un grupo específico y es potencialmente desconocida para el resto de la organización.
Por último, uno de los mayores obstáculos para la firma de código, independientemente de los niveles de concienciación, son las normas limitadas y la falta de apoyo y mejores prácticas para la firma de código.
Keyfactor: A pesar del retraso en su adopción, ¿por qué es cada vez más importante firmar el código?
Eric: Ante todo, la firma de código desempeña un papel importante en la aplicación de estrategias de seguridad de confianza cero, que se están convirtiendo rápidamente en la norma en todas las organizaciones. Cada empresa es una empresa software y el número de aplicaciones que construyen y despliegan sigue creciendo. ¿Cómo se puede confiar en lo que se construye y despliega (confianza cero) si no se firma?
Además de eso, también estamos viendo un aumento de las amenazas internas. En concreto, con cada vez más ingenieros trabajando desde casa, muchos están asumiendo más tareas y subcontratando código de personas que no son de confianza. Esto conduce a más amenazas internas y requerirá que las organizaciones introduzcan más controles y equilibrios (uno de los cuales debería ser la firma de código) como respuesta.
Keyfactor: A medida que aumenta la concienciación sobre la importancia de la firma de código, ¿podemos esperar que se introduzcan más normas?
Eric: Absolutamente, y GitHub ya ha empezado a establecer el estándar. Recientemente, GitHub lanzó requisitos de autenticación para verificar a la persona que verifica el código. De hecho, las empresas ya pueden habilitar una función en GitHub que exige la autorización de certificados a los desarrolladores para garantizar que el código procede del desarrollador designado. Este es el primer paso en la cadena de suministro de software para garantizar que el código procede de un desarrollador de confianza.
Keyfactor: ¿Cuándo cree que alcanzaremos el punto de inflexión en el que la firma de código se convierta en la norma?
Eric: Afortunadamente, muy pronto. La firma de código pronto será obligatoria para los bancos, y esa es la primera señal de que se acerca el punto de inflexión, ya que históricamente, una vez que las instituciones de alto riesgo para la seguridad (como los bancos) adoptan una nueva medida de seguridad, otras industrias le siguen de cerca.
Dicho esto, aún estamos al principio, ya que nueva normativa que exige cadenas de suministro seguras en software en Estados Unidos. El mandato actual se aplica a los proveedores que venden al gobierno estadounidense, pero se extenderá rápidamente y espero ver un panorama muy diferente a finales de año.
Keyfactor: ¿Existen normas internacionales que puedan servirnos de modelo?
Eric: Hasta ahora, los requisitos en EE.UU. son muy similares a los internacionales, pero muchas empresas de la Unión Europea van por delante de sus homólogas estadounidenses. A medida que sepamos más, es posible que encontremos normativas más estrictas originarias de la UE.
Keyfactor: ¿Qué cree que impulsa estos nuevos requisitos para los bancos?
Eric: Sencillamente, ya no podemos vivir con el planteamiento de "confiar y verificar". Ahora vivimos en un mundo de confianza cero, y eso significa que debemos asegurarnos de que todos los software, scripts y binarios que construimos y desplegamos están firmados de forma segura.
Keyfactor: ¿El hecho de que muchos servicios bancarios sean ahora internacionales complica su capacidad para ofrecer este nivel de seguridad?
Eric: Esto es mucho más amplio. Creo que todas las empresas tienen este problema desde que los desarrolladores ya no trabajan necesariamente en la misma oficina en una red segura. Cuando los desarrolladores pueden estar en cualquier parte del mundo, ¿cómo verificamos su identidad y confirmamos que son ellos los que realmente registran el código? Asegurar la cadena de suministro de software desde el registro del código hasta la firma de las compilaciones es el camino correcto.
¿Listo para empezar a firmar código de forma segura en su organización?
2023 será sin duda el año en que la firma de código se convierta en una prioridad absoluta para organizaciones de todo tipo. Adelántese a los acontecimientos y empiece ya a proteger su organización con Keyfactor Signumuna plataforma segura de firma como servicio que permite firmar código, contenedores, software y firmware sin esfuerzo para los equipos de aplicaciones y operaciones y de fácil gestión para los equipos de seguridad.
Póngase en contacto con nosotros hoy mismo para obtener más información.