En un entorno donde el tiempo es un recurso limitado y la presión para lanzar nuevas funcionalidades es constante, la gestión de la seguridad del código puede convertirse en una carga pesada para los desarrolladores. Para aliviar esta preocupación, GitHub ha introducido herramientas como Copilot Autofix, que permite a los equipos solucionar problemas de seguridad hasta un 60% más rápido, reduciendo significativamente el tiempo medio de resolución (MTTR) en comparación con las soluciones manuales. Con Autofix, los desarrolladores pueden detectar vulnerabilidades antes de que tengan la oportunidad de afectar la producción, permitiéndoles concentrarse en la creación de nuevas funciones en lugar de en la corrección de errores pasados.
Sin embargo, la amenaza de las vulnerabilidades existentes en el código sigue siendo un desafío importante. La acumulación de hallazgos de seguridad no resueltos lleva a lo que se conoce como «deuda de seguridad», que, según datos internos de GitHub, suele dejar sin abordar hasta un 90% de las vulnerabilidades. Esto representa un riesgo creciente que muchas organizaciones no pueden permitirse ignorar.
Las campañas de seguridad son la respuesta propuesta para mitigar esta situación. Estas campañas reúnen a expertos en seguridad y a desarrolladores para simplificar el proceso de remediación de vulnerabilidades dentro del flujo de trabajo habitual, permitiendo resolver hasta 1,000 alertas de escaneos de código a la vez. Esta colaboración no solo acelera la identificación y solución de problemas, sino que también mejora el compromiso del desarrollador con las alertas de seguridad.
Desde que se lanzaron en vista previa pública en GitHub Universe el año pasado, las campañas de seguridad han demostrado ser efectivas. Por ejemplo, en un análisis realizado a los primeros clientes, se encontró que el 55% de las alertas incluidas en estas campañas fueron resueltas, en comparación con solo el 10% de la deuda de seguridad fuera de ellas. Este notable aumento en la efectividad resalta cómo las campañas permiten a los equipos de desarrollo tener un enfoque más enfocado y efectivo en la remediación de problemas de seguridad.
Las campañas funcionan al priorizar riesgos que necesitan atención, utilizando plantillas definidas y métricas para ayudar en la planificación. Los alertas seleccionados se comunican a los desarrolladores, quienes pueden gestionar su trabajo directamente en GitHub, y el Copilot Autofix comienza a sugerir remedios automáticos, facilitando así la intervención en cuestiones críticas.
Adicionalmente, GitHub ha implementado nuevas características que mejoran la planificación y gestión de campañas de seguridad. Estas incluyen la posibilidad de crear borradores de campañas para asegurar que se traten las alertas más críticas antes de su lanzamiento, la automatización de problemas en GitHub para seguir y discutir el trabajo relativo a las campañas, y estadísticas de campaña a nivel de organización que permiten a los gerentes de seguridad supervisar el progreso general.
Esta innovadora propuesta no solo busca reducir la deuda de seguridad acumulada, sino también educar a los equipos de desarrollo sobre las vulnerabilidades existentes y fomentar un enfoque colaborativo para abordarlas. Con estas medidas, GitHub se posiciona como un aliado clave para las organizaciones que buscan mejorar la seguridad de su código sin sacrificar la velocidad y eficiencia del desarrollo.
vía: GitHub Security
