AWS publica boas práticas para blindar a supply chain de software
Aprofundamento CEVIU
Aprofundamento
A AWS não está apenas atualizando um guia genérico: ela responde a um salto quase exponencial em ataques à cadeia de suprimentos. Em 2025, o número de pacotes maliciosos no npm cresceu mais de 100%, atingindo 10.819 unidades, e em maio/junho de 2026, campanhas como TrapDoor (34 pacotes, 384 versões) e Megalodon (5.561 repositórios infectados com workflows falsos) mostraram que o vetor mais lucrativo agora é o desenvolvedor, não o servidor. O custo médio por violação subiu para US$ 4,91 milhões, com tempo médio de detecção de 267 dias, mais que o dobro do tempo de resposta a ataques diretos. As recomendações da AWS são técnicas e operacionais: credenciais de curto prazo via STS + IAM Identity Center (não só MFA, mas revogação automática em 15 minutos), CodeArtifact como repositório centralizado com políticas de upstream strict e verificação de assinatura SLSA Level 3, e escaneamento contínuo de dependências integrado ao pipeline, não só no CI, mas também em ambientes de staging com GuardDuty Custom Event Patterns.
O ponto crítico que a notícia atual omite, mas que os dados da Verizon e IBM confirmam, é que 30% das violações agora envolvem terceiros, e 31% dos acessos iniciais vêm de exploração de vulnerabilidades em dependências, não de senhas fracas. Isso muda o foco da segurança: não basta proteger o acesso humano, é preciso validar a integridade do código antes mesmo de ele ser executado. A AWS está alinhando sua stack com o NIST SSDF e exigindo SBOMs nativas em CodeBuild e ECR, algo que já era opcional em versões anteriores do Well-Architected Framework.
O que mudou
Em comparação com as orientações anteriores da AWS sobre segurança de IaC (como no artigo de 29/05 sobre Resilience Hub com IA generativa), essa publicação marca uma virada tática: antes, o foco estava na resiliência pós-implantação; agora, o controle começa na primeira linha do arquivo package.json. A adoção de SLSA Level 3 como padrão mínimo para artefatos em produção é nova, não constava nas recomendações de maio. Também é inédito o comando aws login integrado ao fluxo de CI/CD, que substitui o uso manual de aws sts assume-role e reduz erros de configuração em pipelines. O envenenamento de cache no GitHub Actions (coberto em 22/05) foi citado explicitamente como caso de uso para a nova política de 'cache isolation' no CodeArtifact, algo ausente nas versões anteriores do guia.
Por que isso importa
Essas práticas não são opcionais para quem usa nuvem pública: elas se tornam obrigatórias para conformidade com CIRCIA (EUA) e NIS2 (UE) a partir de 2027, com multas que podem chegar a 2% do faturamento global. Mais concretamente, empresas que já adotaram CodeArtifact com SLSA signing reportaram queda de 73% em falsos positivos em ferramentas de escaneamento de dependências, porque o problema deixou de ser 'quem escreveu esse código?' e passou para 'esse código foi construído no ambiente certo, com as versões corretas e sem modificações?'. Para equipes de segurança, isso significa menos tempo investigando alertas genéricos e mais tempo bloqueando ataques reais, como o que comprometeu 32 pacotes da Red Hat em 2/06/2026.
Linha do tempo
AWS identifica envenenamento de cache no GitHub Actions como vetor crítico após incidentes em Angular e tj
Ataque a pacotes Laravel-Lang expõe falha no sistema de versionamento do GitHub para redirecionamento de tags
Campanha TrapDoor é documentada com 34 pacotes maliciosos em npm, PyPI e Crates.io
AWS publica boas práticas oficiais para blindagem da supply chain, com foco em SLSA Level 3, credenciais de curto prazo e CodeArtifact como núcleo
Perguntas frequentes
O que muda na prática se minha equipe já usa MFA e escaneamento de dependências?
MFA sozinho não impede roubo de credenciais válidas em sessão ativa. A novidade é a obrigatoriedade de credenciais de curto prazo (máximo 15 minutos) via STS, combinadas com assinatura SLSA Level 3. Já o escaneamento deve sair do CI e entrar no runtime, com CloudWatch Synthetics monitorando artefatos em ECR e CodeArtifact, não só no build.
CodeArtifact substitui meu repositório privado local ou Nexus?
Não substitui, mas torna-o obsoleto para cenários de nuvem. CodeArtifact oferece upstream strict com verificação de assinatura SLSA, bloqueio automático de pacotes não assinados e integração nativa com IAM para controle granular de acesso por time, funcionalidades que repositórios locais exigem plugins customizados ou processos manuais.
Como provar conformidade com NIS2 usando essas recomendações?
A AWS fornece relatórios automáticos de SBOM em formato SPDX via CodeBuild, além de logs de assinatura SLSA no CloudTrail. Esses dados, juntos com políticas de retenção de artefatos de 365 dias no CodeArtifact, atendem diretamente aos requisitos de rastreabilidade e notificação de incidentes do Artigo 21 da NIS2.
Essas práticas funcionam para equipes que ainda usam Jenkins ou GitLab CI?
Sim, mas exigem adaptação. A AWS disponibilizou agentes MCP compatíveis com Jenkins e GitLab que injetam credenciais temporárias e validam assinaturas SLSA antes de qualquer etapa de deploy. O suporte nativo está no GitHub Actions e AWS CodePipeline, mas os agentes permitem migrar gradualmente sem reescrever pipelines.
Fontes
- aws.amazon.comfonte original
- Categoria
- CEVIU Segurança da Informação
- Publicado
- 02 de junho de 2026
- Editoria
- CEVIU Segurança da Informação
