Directrices de CERT-In sobre la SBOM: cómo cumplir con los requisitos

CERT-In es la agencia nacional de ciberseguridad de la India. Sus directrices sobre la lista de materiales de seguridad (SBOM) tienen por objeto reforzar la seguridad de la cadena de suministro, mejorar la visibilidad de los componentes de software y garantizar respuestas más rápidas y estandarizadas ante las vulnerabilidades.

El cumplimiento normativo se aplica a la administración pública, el sector público, los servicios esenciales y los exportadores de software, así como a los desarrolladores, integradores y distribuidores a lo largo de todo el ciclo de vida del software.

OPSWAT facilita la automatización y la recopilación de los campos de datos del SBOM de CERT-In, con el fin de ofrecer visibilidad y transparencia en las principales áreas, desde los detalles de los componentes de software hasta la transparencia y los riesgos, pasando por las licencias y el uso.

• Nombre del componente: Nombre del componente de software o de la biblioteca.
• Versión del componente: Número de versión o identificador del componente.
• Proveedor del componente: Entidad que suministra el componente (proveedor, tercero o código abierto).
• Origen del componente: Procedencia del componente (propietario, de código abierto o de terceros).
• Identificador único: código específico para el seguimiento del componente a lo largo de las distintas versiones y cambios de titularidad.
• Autor de los datos del SBOM: entidad responsable de crear la entrada del SBOM.
• Marca de tiempo: Fecha y hora en que se registró la entrada de la SBOM.

• Dependencias del componente: Otros componentes o bibliotecas de los que depende este.
• Vulnerabilidades: Problemas de seguridad conocidos relacionados con el componente, con indicación de su gravedad y referencias CVE.
• Estado del parche: Disponibilidad de la última actualización o parche para las vulnerabilidades.
• Sumas de comprobación o hash: valores criptográficos que permiten verificar la integridad de los archivos.
• Propiedad «Ejecutable»: indica si el componente se puede ejecutar.
• Propiedad de archivo: indica si el componente está empaquetado como un archivo comprimido.
• Fecha de lanzamiento: Fecha en la que se lanzó por primera vez el componente.

El cumplimiento de la norma CERT-In es un proceso gradual que requiere la coordinación entre los equipos de desarrollo, seguridad, operaciones y cumplimiento normativo. Cada parte implicada desempeña un papel en la creación, el mantenimiento y el intercambio de SBOM en diferentes etapas del ciclo de vida del software.

La siguiente tabla, que recoge el contenido y los ejemplos de las Directrices Técnicas de CERT-In, ilustra cómo las responsabilidades relacionadas con la SBOM se corresponden con los componentes de software habituales:

Identificar las prácticas actuales en materia de inventario de software, seguimiento de vulnerabilidades y listas de componentes de software (SBOM) facilitadas por los proveedores. Compararlas con los campos de datos y formatos exigidos por CERT-In.

Defina funciones claras para los equipos de desarrollo, operaciones de TI, compras, seguridad y cumplimiento normativo. La gobernanza garantiza que las listas de materiales de seguridad (SBOM) se elaboren, mantengan y compartan de forma coherente en toda la empresa.

La automatización es fundamental. Las herramientas deben:

• Generar SBOM para cada nueva versión, parche o actualización
• Integración con flujos de trabajo de DevOps, repositorios de código fuente y registros de contenedores
• Exportación en formatos CycloneDX y SPDX para el cumplimiento normativo

Incorporar la generación de SBOM en todas las fases del ciclo de vida del desarrollo de software:

• SBOM de diseño: componentes previstos
• SBOM de origen: dependencias de desarrollo
• Generar SBOM: durante la compilación
• SBOM analizada: inspección posterior a la compilación
• SBOM implementada: entorno de instalación
• SBOM en tiempo de ejecución: supervisión de los componentes activos

Los contratos de adquisición deberían exigir a todos los proveedores la presentación de una lista de componentes de software (SBOM).

Establecer actualizaciones continuas de la SBOM, integrarla con avisos de vulnerabilidad como VEX (Vulnerability Exploitability eXchange) y CSAF, y garantizar un almacenamiento y un intercambio seguros mediante cifrado, HTTPS y firmas digitales.

¿Quieres saber cómo aprovechar la SBOM en tu estrategia de seguridad?

La elección del proveedor o la solución adecuados es fundamental tanto para el cumplimiento normativo como para la eficiencia operativa.

• Compatibilidad con SPDX y CycloneDX
• Integración con los procesos de DevOps y los flujos de trabajo de CI/CD
• Capacidad para generar varios niveles de SBOM (diseño, compilación, implementación y tiempo de ejecución)
• Informes preparados para auditorías y mecanismos de intercambio seguro

La selección de los socios adecuados es tan importante como el establecimiento de procesos internos de SBOM. Los directores de sistemas de información (CIO) y los responsables de compras deberían incluir la conformidad con CERT-In en sus listas de requisitos para las solicitudes de propuestas (RFP) y de diligencia debida. Entre las preguntas clave que deben plantearse se incluyen:

• ¿Proporcionan listas de materiales de software (SBOM) en formatos aprobados por CERT-In (SPDX, CycloneDX)?
• ¿Con qué frecuencia se actualizan sus SBOM: solo con cada lanzamiento o de forma continua?
• ¿Qué soluciones de automatización ofrecen para la generación, validación y intercambio seguro de listas de materiales (SBOM)?
• ¿Cómo se garantiza la distribución segura de la SBOM (por ejemplo, mediante cifrado, RBAC o firmas digitales)?
• ¿Se integra su solución con los flujos de trabajo de DevOps, las bases de datos de vulnerabilidades y los avisos de CERT-In?
• ¿Cómo se gestionan las auditorías de cumplimiento y la presentación continua de informes reglamentarios?

Plantear estas preguntas desde el principio ayuda a garantizar que los proveedores no solo cumplan con los requisitos sobre el papel, sino que también sean capaces de mantener prácticas de SBOM que se ajusten a las directrices en constante evolución de CERT-In.

• Empieza con los flujos de trabajo básicos y ve aumentando la madurez con el tiempo
• Exigir la presentación de una SBOM en todos los contratos de adquisición
• Adopta un enfoque de «shift-left» integrando la generación de la SBOM en las primeras fases del ciclo de vida del desarrollo de software (SDLC)
• Formar al personal sobre la importancia de la SBOM y los requisitos normativos

Incluso las iniciativas de SBOM bienintencionadas pueden fracasar si las organizaciones las abordan de forma superficial. CERT-In hace hincapié en que los SBOM deben ser precisos, exhaustivos y actualizarse continuamente. A continuación se enumeran algunos de los errores más comunes y cómo evitarlos:

Mantener repositorios completos de la lista de materiales de seguridad (SBOM), documentar las prácticas de gobernanza y ajustarse a las plantillas de auditoría de CERT-In.

OPSWAT ayuda a los desarrolladores a tener un control preciso de los componentes de software presentes en el código fuente y los contenedores. Manténgase un paso por delante de los atacantes, identifique amenazas y detecte vulnerabilidades sin afectar a la velocidad de desarrollo.

Permite a los equipos de desarrollo de software identificar, priorizar y resolver las vulnerabilidades de seguridad y los problemas de licencia relacionados con las dependencias de código abierto.

Permite a los equipos de desarrollo de software identificar, priorizar y resolver las vulnerabilidades de seguridad y los problemas de licencia relacionados con las dependencias de código abierto.

Analizar imágenes de contenedores y generar una SBOM con el nombre del paquete, la información de la versión y las posibles vulnerabilidades.

No se limite al cumplimiento de la SBOM y haga frente a los ataques avanzados y en constante evolución que afectan a la cadena de suministro de software.

OPSWAT MetaDefender Software Supply Chain ofrece una mayor visibilidad y una defensa sólida frente a los riesgos de la cadena de suministro. Con nuestras tecnologías de detección y prevención de amenazas de confianza cero, su ciclo de vida del desarrollo de software (SDLC) queda protegido frente al malware y las vulnerabilidades, lo que refuerza la seguridad de las aplicaciones y el cumplimiento normativo.

La combinación de más de 30 motores antivirus aumenta las tasas de detección y evita de forma eficaz que el malware infecte estaciones de trabajo, contenedores o código fuente.

DLPTM Proactive identifica credenciales como contraseñas, claves secretas, tokens, API u otra información confidencial que haya quedado en el código fuente.

Analizar y evaluar cualquier malware, vulnerabilidad u otros riesgos potenciales que puedan existir en cada capa de una imagen de contenedor.

Tanto si tu equipo utiliza repositorios de código fuente, registros de contenedores, servicios binarios o una combinación de herramientas, MetaDefender Software Supply Chain integraciones nativas con las plataformas más populares para garantizar la seguridad a lo largo de todo el ciclo de vida del desarrollo de software (SDLC).

Los bancos y las entidades financieras no bancarias deben adaptar sus prácticas en materia de SBOM a las disposiciones del Banco de la Reserva de la India (RBI) sobre ciberseguridad, con requisitos de auditoría más estrictos para el tratamiento de datos sensibles.

Los proveedores deben presentar las listas de materiales de software (SBOM) como parte de los contratos. Las organizaciones deben mantener inventarios de SBOM internos y externos con fines de transparencia y gestión de riesgos.