Saltar a contenido

Medidas de Seguridad para el Código Abierto

Acerca de esta política

Estas políticas tienen como objetivo garantizar que el software de código abierto utilizado o producido por el sector público cumpla con estándares de seguridad robustos. Establecen requisitos y directrices para la gestión de vulnerabilidades, prácticas de desarrollo seguro y la integridad de la cadena de suministro, reconociendo la importancia estratégica del SCA en los marcos nacionales de ciberseguridad.

Qué incluimos

Esta sección incluye leyes, estrategias y directrices operativas que abordan la seguridad del SCA en los sistemas gubernamentales. Estas pueden incluir reglas obligatorias de divulgación de vulnerabilidades, requisitos de seguridad desde el diseño, orientación sobre el uso o la contribución a SCA seguro, y protocolos para ciclos de vida de desarrollo de software seguro y la garantía de la cadena de suministro.

🌍 Políticas

🇨🇦 Canadá

  • 🔗 Directrices para Abordar los Riesgos de Seguridad y Privacidad

  • 📄 Descripción:

    La directriz para Abordar los Riesgos de Seguridad y Privacidad proporciona un marco integral para proteger el software, incluido el SCA utilizado en los sistemas gubernamentales. Describe medidas de seguridad a lo largo de todo el ciclo de vida, incluyendo el modelado de amenazas, pruebas automatizadas y de penetración, evaluaciones de impacto en la privacidad, cifrado y gestión de parches. Aunque no es exclusiva para el SCA, la guía apoya su adopción al enfatizar la transparencia, las características de seguridad modulares y el monitoreo continuo, ayudando a garantizar que los sistemas abiertos cumplan con rigurosos estándares de privacidad y ciberseguridad.

  • 🔗 Whitepaper "Open First": Uso de Software de Código Abierto

  • 📄 Descripción:

    El Libro Blanco “Open First” destaca la seguridad como una ventaja clave del software de código abierto, citando su transparencia, auditabilidad y amplia revisión por pares. En la sección "Seguridad", el documento explica que el acceso público al código fuente permite la identificación y corrección tempranas de vulnerabilidades, en línea con las recomendaciones del NIST que desaconsejan depender de la oscuridad. El SCA es favorecido por las agencias de seguridad nacional debido a su capacidad de inspección, y su modelo de seguridad, basado en el fortalecimiento a través de pruebas abiertas, se presenta como más robusto cuando los proyectos se mantienen y revisan activamente.

🇨🇴 Colombia

  • 🔗 Estrategia Digital Nacional de Colombia 2023 - 2026
  • 📄 Descripción:

    La Estrategia Digital Nacional de Colombia dedica un eje central (3.3) a garantizar la seguridad y confianza digital. Describe acciones para fortalecer la ciber-resiliencia del país y exige que las entidades públicas adopten modelos de seguridad robustos. Esta directriz estratégica establece un marco de seguridad al que cualquier tecnología, incluido el software de código abierto, debe adherirse, asegurando la protección de los datos y sistemas públicos.

🇰🇷 Corea del Sur

  • 🔗 Directrices de Seguridad de la Cadena de Suministro de Software 1.0 (2023)
  • 📄 Descripción:

    Emitidas por el Ministerio de Ciencia y TIC junto con las agencias nacionales de seguridad y digitales, las Directrices de Seguridad de la Cadena de Suministro de Software 1.0 establecen un marco detallado para proteger el software de código abierto utilizado en los sistemas gubernamentales. Un elemento central de la política es el uso de Listas de Materiales de Software (SBOM) para identificar, validar y gestionar vulnerabilidades en los componentes de código abierto a lo largo del ciclo de vida del software. El documento describe procedimientos técnicos, métodos de validación y estructuras de apoyo —incluyendo laboratorios de pruebas y herramientas SBOM automatizadas— para construir cadenas de suministro seguras, especialmente para instituciones públicas y pymes que adoptan software de código abierto.

🇪🇨 Ecuador

  • 🔗 Decreto Ejecutivo Nº 1014
  • 📄 Descripción:

    El Decreto Ejecutivo Nº 1014 exige que las entidades del gobierno central de Ecuador garanticen la capacidad técnica antes de implementar software de código abierto, como se establece en el Artículo 3. Esta disposición tiene como objetivo salvaguardar la implementación segura y eficaz del SCA al exigir una infraestructura de soporte adecuada, abordando indirectamente la seguridad del SCA a través de la preparación operativa y la supervisión de la Subsecretaría de Informática.

🇺🇸 Estados Unidos

  • 🔗 Guía de Implementación de Software de Código Abierto de la GSA

  • 📄 Descripción:

    La política define protocolos de seguridad para la liberación pública de código. Se requiere que los equipos de proyecto trabajen con la oficina de seguridad de TI para realizar escaneos de código regulares en busca de vulnerabilidades. Además, la guía señala que la oficina del CTO proporciona scripts especializados diseñados para ayudar a los equipos a depurar el código fuente de contenido sensible antes de que se publique como código abierto.

  • 🔗 Ley para la Seguridad del Software de Código Abierto de 2023

  • 📄 Descripción:

    La Ley establece amplias responsabilidades de seguridad para CISA bajo la Sección 2220F. Exige la creación de un marco público para evaluar el riesgo de los componentes de código abierto, considerando factores como la seguridad de la memoria y las prácticas de los mantenedores. CISA debe usar este marco para evaluar el SCA en activos federales de alto valor, aprovechando la información de las Listas de Materiales de Software (SBOM).

  • 🔗 Hoja de Ruta de Seguridad del Software de Código Abierto de CISA

  • 📄 Descripción:

    Esta hoja de ruta es una política de seguridad integral para el SCA. El Objetivo 2 describe planes para crear un marco público para la priorización de riesgos del SCA basado en el uso, el mantenimiento y las propiedades del código. El Objetivo 4 se centra en fortalecer el ecosistema mediante el avance del uso de Listas de Materiales de Software (SBOM) en las cadenas de suministro de SCA (Objetivo 4.1) y el fomento de mejores procesos de divulgación de vulnerabilidades (Objetivo 4.4).

🇫🇷 Francia

  • 🔗 Selección de un Software Libre – Guía de la ANSSI

  • 📄 Descripción:

    La guía de la ANSSI "Sélection d’un logiciel libre" describe los criterios de ciberseguridad para evaluar y seleccionar el software de código abierto utilizado en los sistemas públicos. Aunque no es vinculante, promueve la adopción segura de SCA al recomendar la evaluación de la transparencia del código, las prácticas de mantenimiento y la capacidad de respuesta de la comunidad, reforzando la postura de seguridad de código abierto de Francia.

  • 🔗 Reporte de Vulnerabilidades Significativas

  • 📄 Descripción:

    El artículo L. 2321-4-1 del Código de la Defensa (Ley de Programación Militar 2023) obliga a cualquier editor de software (incluidos los proyectos de SCA) a informar a la ANSSI sobre vulnerabilidades significativas o incidentes de seguridad en sus productos. Este amplio mandato de ciberseguridad se aplica por igual al software de código abierto y al propietario, promoviendo la divulgación y la corrección oportunas.

  • 🔗 Contratos Interministeriales de Soporte y Experiencia para Software Libre

  • 📄 Descripción:

    Los contratos interministeriales de soporte para software de código abierto incluyen contribuciones obligatorias al proyecto original de todas las correcciones, incluidos los parches de seguridad, desarrollados durante el mantenimiento. Esta política garantiza que las vulnerabilidades abordadas en los sistemas públicos se resuelvan en la fuente, mejorando la seguridad tanto para el gobierno como para los usuarios más amplios del SCA.

🇬🇧 Reino Unido

  • 🔗 Código Abierto, Estándares Abiertos y Reutilización: Plan de Acción del Gobierno

  • 📄 Descripción:

    El Plan de Acción aborda la seguridad del código abierto a través de la Acción 4, que establece evaluaciones periódicas por parte del Consejo de CIO para asegurar que los productos de código abierto utilizados en el gobierno cumplan con estándares definidos de madurez, seguridad del código base y sostenibilidad del proyecto. Esta medida tiene como objetivo mitigar los riesgos asociados con la implementación de soluciones de código abierto en servicios públicos críticos, verificando la fiabilidad y estabilidad de las herramientas antes de su adopción generalizada.

  • 🔗 Manual de Estrategia Digital, de Datos y Tecnología

  • 📄 Descripción:

    El manual define protocolos de seguridad para toda la tecnología adquirida, lo que inherentemente cubre el software de código abierto. La política clave de "Evaluación de ciberseguridad" requiere que todos los proyectos apliquen un nivel robusto de evaluación de seguridad para salvaguardar los datos públicos. Como se amplía en los Capítulos 8 y 9, esto incluye la exigencia de estándares como el Esquema de Fundamentos Cibernéticos (Cyber Essentials Scheme) para los contratos que manejan información personal o proporcionan ciertos servicios de TIC, asegurando que cualquier SCA utilizado en sistemas públicos esté sujeto a la misma rigurosa evaluación y gestión de riesgos de seguridad.

🇨🇭 Suiza

  • 🔗 Informe sobre la Implementación de la Estrategia Nacional de Ciberseguridad (NCS) 2024

  • 📄 Descripción:

    La Sección 4.2.1 destaca la creciente importancia de asegurar el software de código abierto (SCA). Describe un proyecto piloto iniciado en 2024 por la Oficina Federal de Ciberseguridad (BACS) para probar productos de SCA de uso frecuente. Esta iniciativa tiene como objetivo aumentar la transparencia y la seguridad del SCA, reducir las superficies de ataque y mejorar la ciberresiliencia general de Suiza.

  • 🔗 Instrucciones para la Publicación de Software de Código Abierto

  • 📄 Descripción:

    La Sección 4.1, "Análisis del código fuente", define protocolos de seguridad específicos que deben seguirse antes de publicar cualquier software. Estas verificaciones obligatorias incluyen escanear el código fuente para asegurar que no contenga secretos o credenciales, realizar pruebas de seguridad dirigidas y crear listas de todas las bibliotecas de terceros utilizadas. También recomienda establecer un programa público de recompensas por errores (bug bounty) después de la publicación.

  • 🔗 Directrices Comunitarias de SCA para la Administración Federal

  • 📄 Descripción:

    La Sección 5.8 exige un protocolo de seguridad específico para los proyectos gestionados por la comunidad. Esta política requiere el establecimiento de un canal confidencial para informar errores relevantes para la seguridad. Esto asegura que las posibles vulnerabilidades puedan ser divulgadas de manera responsable a los mantenedores del proyecto sin hacerse públicas de inmediato, de forma similar al proceso utilizado en los programas formales de recompensas por errores (bug bounty).

🇪🇺 Comisión Europea

  • 🔗 Reglamento (UE) 2024/2847 (Ley de Ciberresiliencia)

  • 📄 Descripción:

    La ley impone varias medidas de seguridad para el SCA. El Artículo 13(5) exige la debida diligencia al integrar cualquier componente de terceros, incluido el SCA. El Anexo I, Parte II, requiere que los fabricantes produzcan una Lista de Materiales de Software (SBOM) para sus productos. Además, el Artículo 24 crea obligaciones específicas para los "administradores de software de código abierto" de establecer políticas de ciberseguridad para los proyectos que apoyan.

  • 🔗 Estrategia digital de la Comisión Europea: Una Comisión digital de nueva generación

  • 📄 Descripción:

    La estrategia mejora la seguridad en todo el panorama digital, lo que incluye el software de código abierto. La página 14 describe planes para el escaneo sistemático de vulnerabilidades en todas las soluciones digitales y verificaciones de seguridad para el software adquirido. El documento también reconoce que el SCA puede aumentar la seguridad de las TI a través de múltiples controles de calidad independientes, integrándolo en un enfoque de seguridad desde el diseño.

  • 🔗 Estrategia de Software de Código Abierto 2020-2023: Piensa en Abierto

  • 📄 Descripción:

    La seguridad es un principio rector fundamental, como se describe en la Sección 5.5, titulada "Seguro". La política exige pruebas de seguridad continuas y automatizadas tanto para los componentes de código abierto que la Comisión utiliza en sus aplicaciones como para el código que pretende compartir públicamente. Esto garantiza que el software esté libre de vulnerabilidades, aprovechando la experiencia de los proyectos EU-FOSSA.

🤝 Cómo contribuir

Sugerencia: ¿Desea agregar una política?

¿Ve que falta algo? Abra una sugerencia de política