En el dinámico mundo del software de código abierto, la seguridad ha pasado a ocupar un lugar preponderante en el proceso de desarrollo. Actualmente, los desarrolladores destinan casi tres veces más tiempo a abordar cuestiones de seguridad comparado con lo que hacían en años anteriores, lo cual subraya la creciente dependencia global de estas tecnologías.
El GitHub Security Lab, liderado por Madison Oliver, se adelanta a las necesidades del ecosistema de código abierto mediante la congregación de desarrolladores y profesionales de la seguridad. El equipo se dedica a descubrir y divulgar nuevas vulnerabilidades, educar a la comunidad con investigaciones y revisar proyectos de software de código abierto, garantizando así su seguridad.
Las Vulnerabilidades y Exposiciones Comunes (CVE), un componente central de la seguridad informática, han evolucionado considerablemente desde su creación en 1999. Aquel año, se registraron 321 CVE, pero en el último año esa cifra superó los 28,900, lo que representa un crecimiento del 460% en la última década. Este aumento de información sobre vulnerabilidades no solo complica la gestión de datos, sino que mejora la transparencia y, en última instancia, la seguridad del software.
La proliferación de información sobre vulnerabilidades ha propiciado la aparición de nuevas categorías de fallas. Problemas como la ejecución especulativa, derivados de las vulnerabilidades Spectre y Meltdown, o los ataques de denegación de servicio por expresiones regulares (ReDoS) son ejemplos de nuevas amenazas que los desarrolladores deben mitigar mediante tácticas innovadoras.
El incremento del número de dependencias transitivas exige soluciones automatizadas para gestionar estos riesgos. Herramientas como Dependabot permiten identificar y mitigar vulnerabilidades automáticamente en las dependencias de software, mejorando la eficiencia en la gestión de estos riesgos. Asimismo, las pruebas de seguridad de aplicaciones estáticas (SAST) y las herramientas de análisis de composición de software (SCA) contribuyen a detectar y solucionar vulnerabilidades en el código propietario y en las dependencias de código abierto.
Destaca además el papel creciente de los mantenedores de código abierto en la publicación de datos de vulnerabilidad. Desde su designación como Autoridad de Numeración CVE en 2019, GitHub Security Lab se ha convertido en el quinto mayor publicador de CVE a nivel mundial, demostrando el compromiso de los mantenedores por aportar a la seguridad del ecosistema de código abierto.
La combinación de automatización y mejoras en herramientas de seguridad es vital para gestionar el creciente volumen de datos de vulnerabilidad. En GitHub, las API de proveedores de datos de vulnerabilidad se utilizan para integrar datos que facilitan la revisión y alertan a los usuarios, como hace Dependabot. Todo esto prueba cómo la seguridad del software de código abierto está en evolución constante, obligando a la comunidad a adaptarse y aprender continuamente para afrontar los desafíos de seguridad del futuro.
