Asegurando La Cadena de Suministro de Código Abierto: El Papel Esencial de las CVE

0
84

En el mundo del software de código abierto, la seguridad está alcanzando un lugar cada vez más crucial en el proceso de desarrollo. Los desarrolladores se han convertido en la primera línea de defensa contra las vulnerabilidades, dedicando ahora casi tres veces más tiempo a cuestiones de seguridad en comparación con años anteriores. Esta tendencia refleja la creciente dependencia mundial del software de código abierto.

Desde GitHub Security Lab, un equipo liderado por Madison Oliver reúne a desarrolladores y profesionales de la seguridad para proteger el ecosistema de código abierto del que todos dependemos. El laboratorio se dedica a descubrir y divulgar nuevas vulnerabilidades, educar a la comunidad a través de investigaciones y analizar variantes de proyectos OSS, todo ello asegurando que este software siga siendo seguro.

Uno de los pilares de seguridad en este entorno son las Vulnerabilidades y Exposiciones Comunes (CVE, por sus siglas en inglés). Estas se han transformado significativamente desde su introducción en 1999. Originalmente, ese año se publicaron 321 registros de CVE. Sin embargo, en el último año se alcanzaron más de 28,900, un aumento del 460% en la última década. Este incremento no solo representa un reto en la gestión de datos, sino que también refuerza la transparencia en cuanto a las vulnerabilidades del software, lo que es fundamental para mejorar la seguridad en toda la industria.

El aumento de la información sobre vulnerabilidades también conlleva la aparición de nuevos tipos de fallas que pueden tener un impacto ampliado a través de la cadena de suministro de software. Por ejemplo, los problemas relacionados con la ejecución especulativa, desencadenados por las vulnerabilidades Spectre y Meltdown, y el incremento en los ataques de denegación de servicio por expresiones regulares (ReDoS) son algunas de las nuevas categorías que requieren de nuevas tácticas de mitigación y prevención por parte de los desarrolladores.

A medida que el número de dependencias transitivas aumenta, también crece la necesidad de soluciones automatizadas para gestionar estos riesgos. Herramientas como Dependabot ayudan a identificar y mitigar vulnerabilidades automáticamente en las dependencias del código, incrementando así la eficiencia en la organización y gestión de estos riesgos. Asimismo, pruebas de seguridad de aplicaciones estáticas (SAST) y herramientas de análisis de composición de software (SCA) contribuyen a detectar y remediar vulnerabilidades en el código propietario y en las dependencias de código abierto.

El creciente rol de los mantenedores de código abierto en la publicación de datos de vulnerabilidad también sugiere que la comunidad está asumiendo un papel más activo en la seguridad. Desde que GitHub Security Lab se convirtió en una Autoridad de Numeración CVE en 2019, ha llegado a ser el quinto mayor publicador de CVE de todos los tiempos, una señal del compromiso de los mantenedores por asegurar el ecosistema de código abierto.

La automatización y las mejoras en las herramientas de seguridad son esenciales para manejar el aumento en el volumen de datos de vulnerabilidad. En GitHub, las API de proveedores de datos de vulnerabilidad se utilizan para integrar datos para su revisión y notificar a los usuarios mediante alertas de Dependabot. Esto muestra cómo la seguridad del software de código abierto está evolucionando y cómo la comunidad debe seguir adaptándose y aprendiendo para enfrentar los desafíos de seguridad del mañana.
vía: GitHub Security