GitHub, la mayor plataforma de código abierto del mundo, ha desarrollado un programa ágil de gestión de vulnerabilidades para proteger a más de 100 millones de desarrolladores y sus datos a nivel global. Para su equipo de seguridad, la gestión de vulnerabilidades va más allá de la simple administración de parches; es una función de inteligencia que permite evaluar la exposición potencial a amenazas y la probabilidad de explotación, lo cual ayuda a tomar decisiones rápidas e informadas para mitigar riesgos.
GitHub enfrenta numerosos desafíos debido a su gran infraestructura distribuida en múltiples proveedores de nube y centros de datos en todo el mundo. Esta diversidad implica la necesidad de evaluar continuamente diferentes perfiles de riesgo. Aunque anteriormente se apoyaban en procesos diseñados a la medida de cada grupo de seguridad, estos métodos generaban sobrecarga operativa, experiencias de usuario inconsistentes y dificultades para medir y escalar de manera eficiente, aumentando así la probabilidad de errores humanos.
Para superar estos desafíos, GitHub definió varios requisitos clave para su programa de gestión de vulnerabilidades, incluyendo la automatización de procesos repetitivos, la ingesta amplia de inteligencia de múltiples fuentes, la provisión de contexto oportuno, la asignación clara de responsabilidades y la disponibilidad de análisis a demanda para la toma informada de decisiones.
Tras realizar una extensa investigación, GitHub implementó su propia herramienta personalizada denominada «Security Findings». Esta herramienta ingiere y normaliza datos de diversas fuentes, crea hallazgos accionables y gestiona su ciclo de vida. Esto ha permitido reducir el ruido, ofrecer una solución ágil y establecer una única fuente de verdad para los hallazgos de seguridad. Además, proporciona inteligencia mejorada a través de técnicas de minería de datos para identificar áreas estratégicas donde implementar salvaguardas.
El equipo de GitHub también se centró en diseñar una experiencia de usuario intuitiva que permite acceder a grandes cantidades de datos de manera organizada y contextualmente relevante. La herramienta cuenta con controles de acceso basados en roles y se integra en el flujo de trabajo de los desarrolladores, utilizando funcionalidades familiares de GitHub como Issues, notificaciones y proyectos para gestionar actividades de remediación.
En cuanto a la gestión de excepciones de seguridad, GitHub integró esta función en «Security Findings» para proporcionar una experiencia coherente de principio a fin. Los usuarios pueden acceder fácilmente a listas completas de excepciones relacionadas con sus servicios, lo cual facilita la evaluación de la postura de seguridad y la integración de consideraciones de deuda técnica en la planificación de sus proyectos.
Conclusión: GitHub ha invertido significativamente en garantizar un escaneo exhaustivo de componentes en toda su infraestructura, abarcando imágenes, máquinas virtuales, recursos en la nube y otros activos. Desde la implementación de «Security Findings», han procesado más de 150 millones de hallazgos, cada uno de los cuales es analizado automáticamente y, si es necesario, se le asigna una triaga manual.
Al seguir principios fundamentales que facilitan el consumo de seguridad, GitHub ha logrado transformar su capacidad para gestionar y ampliar la gestión de hallazgos de seguridad, permitiendo a sus equipos de seguridad concentrarse en aspectos críticos y a los desarrolladores en la creación de nuevas características.
Los interesados en unirse a GitHub pueden explorar oportunidades en su página de carreras.
vía: GitHub Security
