Desde su creación en 2019, GitHub Security Lab ha trabajado con el objetivo primario de fomentar la seguridad impulsada por la comunidad. La filosofía detrás de esta iniciativa sostiene que la mejor manera de mejorar la seguridad del software es mediante la colaboración, el intercambio de conocimientos y la utilización de software de código abierto, lo que permite a todos auditar el código y reportar cualquier vulnerabilidad que encuentren.

A seis años de su inicio, ha surgido una nueva oportunidad para llevar la seguridad comunitaria a un nivel superior. Gracias a la inteligencia artificial, ahora es posible utilizar el lenguaje natural para codificar, compartir y escalar el conocimiento en materia de seguridad, facilitando así la creación y difusión de nuevos herramientas de seguridad. Además, mediante las interfaces del Protocolo de Contexto de Modelo (MCP), se puede aprovechar herramientas de seguridad ya establecidas, como CodeQL.

La colaboración comunitaria puede acelerar notablemente la detección y eliminación de vulnerabilidades en el software al permitir que más personas compartan sus métodos para identificarlas. Con este propósito, el equipo de GitHub está experimentando con un marco denominado GitHub Security Lab Taskflow Agent, el cual han estado utilizando internamente y que ahora ha sido compartido con los participantes del GitHub Secure Open Source Fund. Aunque sigue en etapa experimental, el agente está listo para que otros lo utilicen.

Iniciar con el seclab-taskflow-agent es sencillo y consta de unos pocos pasos: crear un token de acceso personal, añadir secretos de codespace, iniciar un codespace y ejecutar una tarea con un único comando. Es aconsejable seguir las indicaciones y experimentar con esta herramienta. Es relevante tener en cuenta que el uso de esta demo puede consumir parte de su cuota de token, lo que podría llevar a alcanzar límites de tasa, especialmente si se cuenta con una cuenta gratuita de GitHub.

El proceso comienza por acceder a la página de configuración de desarrolladores de GitHub, donde se debe crear el token de acceso personal y agregarle permisos específicos. Posteriormente, el token se debe guardar como un «secreto de codespace» para asegurar su disponibilidad como variable de entorno al iniciar el mismo. Una vez configurado, se puede entrar al repositorio correspondiente y comenzar el codespace.

Una vez que el codespace esté activo, los usuarios podrán ejecutar una secuencia de análisis con un simple comando en el terminal, lo que permite descargar y auditar archivos de código en busca de vulnerabilidades.

Para aquellos que prefieren un método más directo, hay opciones para ejecutar el marco en un terminal de Linux o mediante Docker, cada uno con sus propias instrucciones específicas. Los taskflows, que son archivos YAML con una lista de tareas, son fundamentales en este proceso, ya que estructuran el flujo de trabajo que el marco debe seguir.

El modelo de colaboración ha sido diseñado para que cualquier miembro de la comunidad pueda publicar su propia colección de taskflows, lo que fomenta la creación colectiva de herramientas. GitHub ha facilitado esta iniciativa publicando sus repositorios como paquetes en el ecosistema de Python, separando la “máquina” de las suites de taskflows que la utilizan.

El objetivo de este proyecto es, en esencia, promover la seguridad impulsada por la comunidad y crear herramientas que su equipo quiere usar en su investigación. Se busca eliminar vulnerabilidades más rápidamente al compartir conocimientos sobre cómo identificarlas, y se espera que los taskflows sirvan como una herramienta eficaz para alcanzar este fin.
vía: GitHub Security