El uso de herramientas de seguridad a menudo puede resultar incómodo y frustrante para los desarrolladores. Estas herramientas generalmente no están diseñadas teniendo en cuenta a los propios desarrolladores, quienes a menudo son los responsables de corregir problemas de seguridad, aunque la tarea podría recaer en el equipo de seguridad. La situación se complica aún más cuando es necesario alternar entre la herramienta de seguridad y el entorno de desarrollo, lo que introduce complicaciones y pérdida de tiempo.
Además, muchas alertas de seguridad carecen de acción práctica. Los desarrolladores se ven obligados a pasar tiempo investigando por su cuenta, o incluso a lidiar con falsos positivos que los desvían de la creación de nuevas funcionalidades. Esta fatiga ante las alertas puede llevar a que se preste menos atención a las vulnerabilidades a medida que se acumulan.
GitHub busca mejorar esta situación integrando la seguridad directamente en los flujos de trabajo de desarrollo. A través de herramientas como Secret Protection, Code Security, Dependabot y Copilot Autofix, la plataforma pretende ir más allá de la simple detección para ayudar a los desarrolladores a priorizar y remediar problemas con la ayuda de inteligencia artificial.
Por ejemplo, al momento de hacer un commit, GitHub Secret Protection puede detectar secretos expuestos, como una clave API olvidada, antes de que causen daños. Este sistema alerta al desarrollador en el mismo momento en que el código se envía al repositorio, permitiendo que se realicen correcciones de inmediato mientras el código está fresco en la mente. Esta herramienta se ha vuelto crucial para evitar que secretos se filtren accidentalmente en el entorno de producción.
Tras realizar un commit, muchos desarrolladores dependen de bibliotecas de código abierto. Dependabot puede identificar vulnerabilidades en estas dependencias y, si existe una solución, genera automáticamente una solicitud de pull, permitiendo que los desarrolladores solucionen los problemas sin interrumpir su flujo de trabajo. Recientemente, Dependabot ha incorporado datos del Exploit Prediction Scoring System (EPSS) para ayudar a priorizar estas alertas según la probabilidad de explotación.
Cuando se realiza una solicitud de pull, GitHub ejecuta herramientas de seguridad automáticamente, evitando que el desarrollador deba realizar manualmente múltiples revisiones. Además, la función Copilot Autofix sugiere correcciones para el 90% de los tipos de alertas, agilizándose así el proceso de remediación, con equipos que han encontrado una reducción del 60% en el tiempo dedicado a solucionar vulnerabilidades.
En resumen, aunque es fundamental tomar en serio la seguridad en el desarrollo de software, GitHub busca facilitar esta tarea al integrar herramientas que alertan y proponen soluciones directamente en el flujo de trabajo del desarrollador. Con un enfoque en hacer del proceso de escritura de código seguro una tarea menos laboriosa, la plataforma intenta cambiar la narrativa de la seguridad en el desarrollo de software.
vía: GitHub Security
