El equipo de ingeniería de seguridad de productos de GitHub ha presentado un innovador conjunto de herramientas y prácticas de codificación diseñadas para proteger el código de la plataforma. En el centro de esta estrategia se encuentra GitHub Advanced Security (GHAS), que permite la identificación, seguimiento y corrección de vulnerabilidades, así como la implementación de estándares de codificación segura a gran escala. Un componente esencial de este sistema es CodeQL, el motor de análisis estático de GitHub, que facilita evaluaciones de seguridad automatizadas al permitir un análisis del código que se asemeja a las consultas en bases de datos.
CodeQL ofrece un método sofisticado para el análisis del código, superando las limitaciones de las búsquedas tradicionales de texto. Esto permite detectar problemas que podrían pasar desapercibidos en una revisión convencional. En un artículo reciente, el equipo de GitHub expone su metodología con CodeQL y comparte lecciones valiosas para otras organizaciones en la creación y gestión de paquetes de consultas personalizadas, así como en el desarrollo de consultas específicas y el análisis de variantes con el fin de identificar prácticas de programación inseguras.
Dentro de GitHub, CodeQL se aplica de diversas maneras. Para la mayoría de sus más de 10,000 repositorios, se emplea una configuración predeterminada que efectúa revisiones automáticas de seguridad en las solicitudes de incorporación de cambios. Sin embargo, para repositorios más complejos, como el monolito de Ruby, se recurre a conjuntos de consultas personalizadas. Además, el equipo realiza un análisis de variantes entre múltiples repositorios para optimizar la auditoría y la detección de patrones específicos.
La gestión de consultas de CodeQL ha cambiado significativamente en GitHub. Anteriormente, estas se almacenaban directamente en el repositorio monolítico, lo que complicaba la eficiencia del flujo de trabajo. Actualmente, ahora se publican como un paquete en el GitHub Container Registry (GCR), lo que no solo mejora el proceso, sino que también elimina problemas previos como los prolongados tiempos de despliegue y las pruebas complejas relacionadas con cambios en las consultas.
La creación de estos paquetes requiere una atención especial a la gestión de dependencias, tal como se presenta con el paquete «ruby-all». GitHub ha observado que ampliar las clases de la biblioteca de consultas predeterminadas permite optimizar las funcionalidades existentes, produciendo consultas más concisas y fáciles de mantener. Este proceso también incluye un sistema de pruebas unitarias para verificar la validez de las consultas antes de su publicación, lo que contribuye a reducir errores potenciales.
El flujo de trabajo actual permite una mejor experiencia de desarrollo, equilibrando la estabilidad de los paquetes publicados con la capacidad de abordar nuevas consultas a través de solicitudes de incorporación de cambios y pruebas unitarias. La variedad de consultas generadas abarca patrones específicos que no se encuentran en el paquete de consulta estándar y van desde la identificación de APIs de alto riesgo hasta la validación de métodos de autorización en APIs REST. Además, estas consultas se utilizan con fines educativos, proporcionando alertas a los ingenieros sin obstruir el proceso de incorporación de cambios.
Por último, el uso del análisis de variantes mediante CodeQL resalta el compromiso de GitHub con la seguridad proactiva, permitiendo la identificación de vulnerabilidades potenciales y patrones de código inseguros que son luego revisados por ingenieros de seguridad. Así, CodeQL se ha consolidado como una herramienta fundamental para el equipo de seguridad de productos de GitHub, no solo al facilitar la detección de vulnerabilidades, sino también al fomentar un exhaustivo proceso de revisión de seguridad desde las primeras etapas del desarrollo.
