Kusari y CNCF: avances en la seguridad de la cadena de suministro de software para proyectos nativos de la nube

Kusari y CNCF: avances en la seguridad de la cadena de suministro de software para proyectos nativos de la nube

Publicado el 23 de marzo de 2026
por Michael Lieberman, cofundador y director de tecnología de Kusari

El código abierto se ha convertido en la base del software moderno, pero la escala y la velocidad de las cadenas de suministro de software actuales están creando nuevos desafíos de seguridad. Las aplicaciones dependen de cientos o miles de componentes en entornos complejos, muchos de los cuales se incorporan automáticamente a través de relaciones transitivas. Si a esto le sumamos el rápido aumento del código generado por IA y los procesos de desarrollo automatizados, la necesidad de una supervisión de seguridad inteligente e integrada nunca ha sido mayor.

Los atacantes están evolucionando con la misma rapidez con amenazas más específicas y sofisticadas. Los compromisos de la cadena de suministro, los ataques de dependencia y los riesgos de licencias aumentan constantemente para las comunidades de código abierto. Para los mantenedores y los equipos de seguridad que ya operan con recursos limitados, es fundamental obtener una visibilidad clara de lo que realmente hay en la cadena de suministro de software y dónde existe el riesgo.

Kusari se complace en asociarse con Cloud Native Computing Foundation (CNCF), que crea ecosistemas sostenibles para software nativo en la nube. Nuestro objetivo compartido: facilitar a los mantenedores y contribuyentes la protección de los complejos ecosistemas de dependencia que impulsan el software nativo de la nube. sin necesidad de convertirte en expertos en seguridad. Es por eso que estamos encantados de brindar a los proyectos de CNCF acceso gratuito a inspector kusarinuestra herramienta de gestión de dependencias y revisión de código de IA.

Los proyectos del CNCF se encuentran en el corazón de la infraestructura moderna. Pero a medida que los gráficos de dependencia se vuelven más profundos, el riesgo de licencia se expande y las compilaciones se vuelven más automatizadas, la visibilidad se vuelve más difícil. Muchos equipos dependen de múltiples herramientas pero aún carecen de una visión clara y conectada de lo que hay en su cadena de suministro, especialmente entre dependencias transitivas.

Los proyectos que adoptan Kusari Inspector incluyen Gemara, GitTUF, GUAC, in-toto/Witness, OpenVEX, Protobom y Supply-chain Levels for Software Artifacts (SLSA). A medida que las herramientas de codificación de IA se vuelven estándar en el desarrollo de código abierto, Kusari Inspector actúa como la red de seguridad que los mantenedores no sabían que necesitaban.

“Utilicé a Claude para enviar una solicitud de extracción al testigo”, dijo John Kjell, responsable de in-toto/Witness. “Kusari Inspector encontró un problema que Claude no detectó. Cuando le pedí a Claude que solucionara lo que Kusari Inspector marcó, lo hizo”.

Kusari Inspector incorpora inteligencia de dependencia al flujo de trabajo del desarrollador, ayudando a los proyectos a detectar riesgos tempranamente con comentarios en línea, orientación sobre remediación y recomendaciones de combinación segura en segundos, además:

  • Visualizar y analizar relaciones de dependencia.
  • Identifique el riesgo de la cadena de suministro en compilaciones y lanzamientos
  • Mejorar la cobertura de procedencia y certificación
  • Pasar del escaneo reactivo a un análisis más profundo y un mayor contexto

Kusari Inspector ayuda a los mantenedores a estar seguros en la solicitud de extracción

Más allá de la visibilidad, Kusari Inspector mejora la forma en que los desarrolladores pueden producir código seguro sin necesidad de ser expertos en seguridad. Según nuestro Seguridad de aplicaciones en la práctica informela mayoría de las organizaciones todavía abordan los problemas de seguridad solo después de que surgen, y dos tercios de los equipos dedican hasta 20 horas a la semana respondiendo a incidentes en la cadena de suministro. Ese modelo reactivo pone a prueba el ciclo de desarrollo.

Para los proyectos de código abierto, la carga suele ser incluso mayor. Sabemos por experiencia personal que muchos proyectos son mantenidos por pequeños equipos de colaboradores a tiempo parcial y mantenedores ya sobrecargados sin personal de seguridad dedicado. Cada investigación reactiva, revisión de dependencia o pregunta sobre licencias aleja la capacidad limitada de las prioridades y el apoyo de la comunidad, lo que hace que la seguridad proactiva e integrada en el flujo de trabajo sea aún más crítica.

Al aumentar las comprobaciones automatizadas directamente en las solicitudes de extracción, los proyectos reducen la latencia de revisión y detectan los problemas antes, pasando de la extinción de incendios reactiva a la prevención proactiva. En lugar de que los encargados de mantenimiento sean “dueños” de las revisiones de forma aislada, Kusari Inspector les ofrece comentarios integrados y conscientes del contexto, más cerca del desarrollo y acelerando la entrega segura.

Al asociarnos con CNCF, apoyamos a los mantenedores y a la comunidad de creadores de software nativo de la nube, ayudándolos a fortalecer la seguridad y la confianza sin fricciones en el desarrollo.

“Los proyectos CNCF representan algunos de los trabajos más innovadores y críticos que se realizan en código abierto en la actualidad”, dijo Jonathan Bryce, director ejecutivo de CNCF. “A través de nuestra asociación con Kusari, los mantenedores ahora pueden tener una mejor visibilidad de sus cadenas de suministro de software y una seguridad más sólida, para que estas comunidades puedan construir y crecer con confianza, resiliencia y seguridad”.

“Como cocreador de GUAC y colaborador de CNCF desde hace mucho tiempo y miembro del Consejo Asesor Técnico, esta asociación es un poderoso reflejo de la confianza que CNCF ha depositado en Kusari”, dijo Tim Miller, cofundador y director ejecutivo de Kusari. “Para nosotros, esta asociación es una extensión natural de nuestro compromiso con el código abierto, que ayuda a mejorar la visibilidad y la seguridad de la cadena de suministro”.

Si forma parte de un proyecto CNCF y desea mayor claridad en su cadena de suministro, utilice Kusari Inspector de forma gratuita: https://us.kusari.cloud/signup.

Post Your Comment

Subscribe Our Newsletter

Protegiendo y transformando negocios a través de ciberseguridad avanzada y automatización inteligente con IA en Baja California y todo México.
Protegiendo y transformando negocios a través de ciberseguridad avanzada y automatización inteligente con IA en Baja California y todo México.
Facebook-square Twitter-square Linkedin Pinterest-square
Servicios
Soporte
Ponte en Contacto
Enzenada-Cloud
Powered by  GDPR Cookie Compliance
Resumen de privacidad

Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.