En un contexto donde los desarrolladores enfrentan un creciente desafío en la gestión de la seguridad de sus proyectos, el número de vulnerabilidades de seguridad publicadas, conocido como CVEs, ha aumentado drásticamente, casi un 500% en la última década. Esto ha llevado a los equipos de desarrollo a lidiar con miles de alertas de seguridad, muchas de las cuales provienen de dependencias indirectas entre unos pocos proyectos directos. La realidad es que, en este panorama, resulta cada vez más complicado para los desarrolladores priorizar qué vulnerabilidades deben abordar primero.
A pesar de que ataques de alto perfil, como el ataque de puerta trasera a XZ Utils, tienden a captar la atención de los medios, la amenaza real suele residir en vulnerabilidades no parcheadas que se encuentran en dependencias de código abierto menos conocidas. Esto presenta un riesgo considerable para la integridad de los proyectos de software.
Para ayudar a los desarrolladores a sortear esta complejidad, GitHub ha establecido una colaboración con Endor Labs. Esta asociación tiene como objetivo facilitar la identificación, remediación y corrección de las vulnerabilidades más críticas, todo ello sin que los usuarios necesiten salir de la plataforma de GitHub. Mediante el uso de herramientas como GitHub Advanced Security, los equipos tienen la capacidad de eliminar la deuda de seguridad existente y prevenir nuevas vulnerabilidades utilizando análisis estático y remediación impulsada por inteligencia artificial.
Con la integración del análisis de composición de software (SCA) de Endor Labs en GitHub Advanced Security y Dependabot, los equipos de desarrollo pueden reducir hasta un 92% las alertas de seguridad provenientes de dependencias de bajo riesgo. Esto permite que se concentren en las vulnerabilidades que realmente pueden comprometer la seguridad de sus aplicaciones. Además, Endor Labs ofrece la posibilidad de priorizar las vulnerabilidades en función de su potencial impacto, considerando aspectos como la accesibilidad y la capacidad de explotación.
GitHub Advanced Security permite a los desarrolladores integrar prácticas de seguridad fundamentales directamente en su flujo de trabajo, facilitando así la protección del código. Sus características están disponibles de forma gratuita para los mantenedores de proyectos de código abierto y permiten a los desarrolladores revisar dependencias, escanear secretos, realizar análisis de código y utilizar Copilot Autofix.
La automatización es otra área clave; Dependabot se encarga de actualizar las dependencias de manera automática, lo que permite a los desarrolladores dedicar más tiempo al desarrollo en lugar de a la gestión de vulnerabilidades. Además, GitHub Actions simplifica la automatización de flujos de trabajo, asegurando que las acciones y sus dependencias se alineen con los perfiles de riesgo, licencia y permisos establecidos por el equipo de desarrollo.
En resumen, la colaboración entre GitHub y Endor Labs representa un importante avance en la dirección correcta para mitigar los riesgos de seguridad en el desarrollo de software, garantizando que las herramientas adecuadas estén disponibles para que los desarrolladores puedan abordar de manera efectiva las vulnerabilidades en sus proyectos.
vía: GitHub Security
