¿Cómo se elabora y se aplica una política eficaz de firma de código? Redacte una guía interna de políticas de firma de código
A medida que aumenta la necesidad de contar con requisitos de firma consolidados y probados, las empresas y los equipos de desarrollo deben elaborar y aplicar políticas y procesos de firma eficaces para proteger el software. Si elabora y documenta una política oficial de firma de código, sus desarrolladores e ingenieros sabrán qué prácticas recomendadas seguir para proteger el software que crean.
¿Qué debo incluir en la guía de políticas de firma de código?
Toda política eficaz de firma de código debe incluir directrices y procedimientos para la emisión y el uso de las claves de firma de código y abordar aspectos como los siguientes:
Emisión de claves
Al establecer los protocolos de gestión, configure controles y procedimientos sobre quién puede emitir claves y cuándo. Los miembros del equipo deben saber cuándo es adecuado emitir claves, según el rol que desempeñen. Gestione qué tipos de claves se emiten y los atributos asociados a ellas. Esto evita la emisión de claves nuevas con algoritmos débiles que introduzcan vectores de ataque.
Gestión de claves
Establezca controles y procedimientos para los roles de los usuarios. ¿Quién gestiona las claves? ¿Cómo se divide la gestión de las claves en función del rol dentro del equipo, la organización o la fase de producción? Estos procedimientos deben incluir el seguimiento del lugar donde se encuentran todas las claves de la empresa.
Almacenamiento de claves
Las claves deben estar protegidas. Establezca controles y procedimientos para almacenar las claves cuando se utilicen y cuando no. Aquí se deberían incluir módulos de seguridad de hardware (HSM), tokens y memorias USB, así como el acceso a claves mediante la autenticación multifactor. Los miembros del equipo deben saber todo lo necesario para no perder las claves y para almacenarlas correctamente.
Permisos de firma
Los miembros del equipo deben saber quién tiene permiso para firmar y cuándo es apropiado hacerlo. También deben saber cuándo no se concede el permiso de firma y cómo solicitarlo si no forma parte de sus funciones.
Uso de claves
Cómo se utilizan las claves —o cómo no se utilizan— es un aspecto crucial de los procedimientos de firma. Las claves las deben utilizar las personas adecuadas en el momento oportuno.
Impedir el uso compartido de claves
Compartir las claves es una práctica habitual. Y también una de las más peligrosas. Los miembros del equipo nunca deben compartir las claves, ni siquiera dentro de repositorios, servidores, sistemas o redes internos. Las claves las debe emitir, controlar y almacenar de forma exclusiva la persona adecuada, de acuerdo con el rol que desempeñe.
Firma continua
La firma de código y de software no es un tema menor que pueda dejarse para última hora ni tampoco una medida farragosa del cumplimiento normativo. La CS (firma continua) debe formar parte de cualquier ciclo de CI/CD para proteger el código de forma correcta y homogénea.
Para obtener una explicación completa de cómo redactar una política interna de firma de código, lea nuestra guía aquí.
