La base de datos de asesorías de GitHub se ha consolidado como un recurso esencial para los desarrolladores al proporcionar un listado exhaustivo de vulnerabilidades de seguridad y malware que afectan a paquetes de código abierto. En un análisis de las tendencias del Advisory DB para el año 2024, se destaca un crecimiento en la cantidad de asesorías revisadas, la cobertura del ecosistema y las contribuciones de las fuentes.
Dentro de la base de datos se agrupan las vulnerabilidades en tres categorías principales: asesorías revisadas por GitHub, asesorías no revisadas y asesorías de malware. Las revisadas se centran en vulnerabilidades verificadas en paquetes de ecosistemas compatibles, mientras que las no revisadas provienen automáticamente de la Base de Datos Nacional de Vulnerabilidades (NVD) y pueden no afectar a paquetes soportados. Las asesorías de malware, por otro lado, están enfocadas en amenazas específicas identificadas por el equipo de seguridad de npm.
Desde su lanzamiento, la cantidad de asesorías revisadas ha aumentado notablemente, pasando de menos de 400 en 2019 a más de 20,000 en octubre de 2024. Este aumento se ha visto facilitado por un mayor número de asesorías provenientes de múltiples fuentes, así como la expansión de la cobertura de ecosistemas y campañas de revisión de asesorías anteriores.
Los ecosistemas de paquetes han experimentado un notable auge en términos de vulnerabilidades reportadas. Aunque npm fue inicialmente el ecosistema dominante en la base de datos, la inclusión de otros ecosistemas como Maven y Composer ha modificado significativamente la distribución de las advisories. En 2024, casi la mitad de las asesorías corresponden a vulnerabilidades en paquetes de Maven y Composer.
El proceso de revisión y publicación de asesorías se alimenta de diversas fuentes, incluyendo contribuciones de la comunidad y especializadas como PyPA o Go Vulncheck. Estas fuentes permiten que los desarrolladores dispongan de un panorama ampliado de las potenciales vulnerabilidades y puedan priorizar su atención en las más críticas. Para apoyar estas decisiones, GitHub proporciona datos de acción, como calificaciones de gravedad y un sistema de puntuación de predicción de explotación, que permite a los desarrolladores identificar con mayor precisión las vulnerabilidades que requieren atención inmediata.
Además, GitHub actúa como una Autoridad de Numeración CVE, emitiendo identificadores para vulnerabilidades reportadas, asegurando así que se registren en la comunidad más amplia de CVE. En 2024, se publicaron más de 2,000 registros CVE, consolidando a GitHub como uno de los principales actores en este ámbito.
En resumen, la base de datos de asesorías de GitHub no solo sirve como un repositorio de vulnerabilidades, sino que también alimenta herramientas como Dependabot, que ayuda a los desarrolladores a gestionar riesgos y mantener la seguridad de sus proyectos de manera efectiva.
vía: GitHub Security
