En un escenario donde el tiempo es esencial y la presión para desarrollar nuevas funcionalidades es constante, la gestión de la seguridad del código se presenta como un reto significativo para los desarrolladores. Para enfrentar esta problemática, GitHub ha lanzado herramientas innovadoras como Copilot Autofix, que promete acelerar la solución de problemas de seguridad hasta en un 60%, lo que reduce considerablemente el tiempo medio de resolución (MTTR) en comparación con los métodos manuales. Esta herramienta permite a los desarrolladores detectar vulnerabilidades antes de que puedan tener un impacto en la producción, permitiendo así que se concentren en la innovación en lugar de en la reparación de errores del pasado.
A pesar de las mejoras que ofrecen estas nuevas herramientas, la amenaza de vulnerabilidades en el código persiste. Muchos equipos enfrentan lo que se denomina «deuda de seguridad», ya que hasta un 90% de las vulnerabilidades pueden quedar sin resolver, exponiendo a las organizaciones a riesgos significativos que no pueden permitirse ignorar.
Para abordar esta situación, GitHub propone las campañas de seguridad, las cuales reúnen a expertos en seguridad y desarrolladores en un esfuerzo conjunto para simplificar la remediación de vulnerabilidades dentro del flujo de trabajo diario. Estas campañas permiten resolver hasta 1,000 alertas de escaneos de código simultáneamente, acelerando no solo la identificación y solución de los problemas, sino también mejorando el compromiso de los desarrolladores con las alertas de seguridad.
Desde su introducción en la vista previa pública durante GitHub Universe el año anterior, estas campañas han demostrado su eficacia. Un análisis realizado a los primeros usuarios reveló que el 55% de las alertas atendidas en estas campañas fueron resueltas, en comparación con el escaso 10% de la deuda de seguridad gestionada fuera de este contexto. Este notable incremento en la eficacia pone de manifiesto cómo las campañas permiten a los equipos de desarrollo abordar las vulnerabilidades de forma más directa y efectiva.
El funcionamiento de las campañas se basa en la priorización de los riesgos que requieren atención, implementando plantillas y métricas que facilitan la planificación. Las alertas seleccionadas son comunicadas a los desarrolladores, quienes pueden gestionar su trabajo directamente en GitHub, mientras que Copilot Autofix ofrece sugerencias de remedios automáticos, facilitando la intervención en cuestiones críticas.
Además, GitHub ha introducido nuevas características que optimizan la planificación y gestión de las campañas de seguridad. Estas innovaciones incluyen la opción de crear borradores de campañas para asegurar que se atiendan las alertas más críticas antes de su ejecución, automatizando la gestión de problemas en GitHub para seguir y discutir el trabajo relacionado con las campañas, y estadísticas a nivel organizacional que permiten a los gerentes de seguridad monitorear el progreso general.
Esta propuesta revolucionaria no solo tiene como objetivo reducir la deuda de seguridad acumulada, sino también educar a los equipos de desarrollo sobre las vulnerabilidades existentes y fomentar un enfoque colaborativo para abordarlas. Así, GitHub se posiciona como un aliado clave para las organizaciones que desean mejorar la seguridad de su código sin comprometer la velocidad y la eficiencia del desarrollo.
