GitHub apunta a componentes vulnerables de código abierto

GitHub ha introducido un mecanismo de alerta automatizado para permitir a los desarrolladores abordar las vulnerabilidades en los componentes de código abierto que utiliza su código.

Según GitHub, la nueva función, llamada Alerta de Dependabot para acciones vulnerables de GitHub, facilitará que los desarrolladores se mantengan actualizados y corrijan las vulnerabilidades de seguridad utilizando sus flujos de trabajo de acciones.

Las vulnerabilidades como Log4j han puesto de relieve la debilidad de la seguridad de código abierto, y el presidente de EE. UU., Joe Biden, ha hecho de la seguridad del software una prioridad nacional. Su orden ejecutiva sobre seguridad cibernética requiere que solo las empresas que utilicen prácticas de ciclo de vida de desarrollo de software seguro y cumplan con las pautas de seguridad federal específicas podrán vender al gobierno federal.

La fortaleza del código fuente abierto es que los módulos de código externo se pueden incorporar a un proyecto desde un repositorio público como GitHub. Esto facilita que los desarrolladores incorporen funcionalidades sin tener que escribir todo el código ellos mismos. Los módulos de código abierto son mantenidos por desarrolladores externos.

Sin embargo, como informó anteriormente Computer Weekly, si se descubre un riesgo de seguridad en el módulo de código abierto, los proyectos que dependen de este módulo también están en riesgo. En muchos casos, los desarrolladores cuyo código requiere tales módulos pueden no ser conscientes de que el código fuente abierto que han incorporado en su propio proyecto tiene un riesgo de seguridad.

Esta es la situación que GitHub espera abordar con las alertas de Dependabot para GitHub Actions vulnerables.

La base de datos de asesoramiento de GitHub muestra que hay más de 173 000 vulnerabilidades en GitHub que no se han revisado

En una publicación de blog sobre las alertas de Dependabot para acciones vulnerables de GitHub, Kate Catlin, gerente senior de productos en GitHub, y Brittany O’Shea, autora del blog de GitHub, dijeron que las alertas estarán impulsadas por la base de datos de asesoramiento de GitHub.

“Cuando se informa una vulnerabilidad de seguridad en una acción, nuestro equipo de investigadores de seguridad creará un aviso para documentar la vulnerabilidad, lo que activará una alerta para los repositorios afectados”, escribieron.

En el momento de escribir este artículo, la base de datos de asesoramiento de GitHub tiene 8543 avisos que se han revisado, 1560 de estos se han clasificado como “críticos”. Pero, para demostrar la escala del problema que enfrenta la comunidad de código abierto, la base de datos muestra que hay más de 173 000 vulnerabilidades en GitHub que no han sido revisadas.

Existe un consenso general de que se necesita una colaboración global para mantener seguro el código fuente abierto. En enero de este año, varias empresas tecnológicas importantes, incluidas Google e IBM, participaron en la Cumbre de seguridad de software de código abierto de la Casa Blanca.

Para coincidir con la cumbre, Kent Walker, presidente de asuntos globales de Google y Alphabet, publicó un blog sobre la necesidad de asegurar el código fuente abierto de manera efectiva.

“La creciente dependencia del código abierto significa que es hora de que la industria y el gobierno se unan para establecer estándares básicos de seguridad, mantenimiento, procedencia y pruebas, para garantizar que la infraestructura nacional y otros sistemas importantes puedan confiar en proyectos de código abierto”, escribió.

Jamie Thomas, ejecutivo de seguridad empresarial de IBM, quien también asistió a la cumbre, dijo: “La reunión de hoy dejó en claro que el gobierno y la industria pueden trabajar juntos para mejorar las prácticas de seguridad para el código abierto. Podemos comenzar alentando la adopción generalizada de estándares de seguridad abiertos y sensatos, identificando activos críticos de código abierto que deben cumplir con los requisitos de seguridad más rigurosos y promoviendo un esfuerzo nacional colaborativo para expandir la capacitación y la educación en seguridad de código abierto y recompensar a los desarrolladores que hacen importantes pasos en el campo.”

Potencialmente, las alertas de Dependabot para acciones vulnerables se pueden vincular a procesos de integración e implementación continuas (CI/CD) para permitir que los equipos de desarrolladores prioricen el trabajo de los desarrolladores y aborden los problemas de seguridad más rápidamente.

Leave a Comment