En diciembre de 2021, el mundo digital se tambaleó con la vulnerabilidad de Log4j, recordándonos cómo una librería con recursos limitados puede afectar toda la cadena de suministro de software. Actualmente, una carga de trabajo en la nube promedio depende de más de 500 dependencias, muchas de ellas mantenidas por voluntarios no remunerados. La urgencia de apoyar y asegurar este ecosistema nunca ha sido mayor.
En respuesta a esta situación, GitHub lanzó en noviembre de 2024 el Fondo GitHub Secure Open Source. Este fondo proporciona a los mantenedores apoyo financiero para participar en un programa de tres semanas que ofrece educación en seguridad, mentoría, herramientas, certificación y una comunidad de mantenedores enfocados en la seguridad. Al vincular esta financiación a resultados de seguridad programáticos, el objetivo es aumentar el impacto en la seguridad, reducir el riesgo y ayudar a asegurar la cadena de suministro de software a gran escala.
Los resultados ya son perceptibles. Las primeras sesiones reunieron a 125 mantenedores de 71 proyectos de software de código abierto importantes y en rápido crecimiento. Algunos de los logros incluyen la corrección de más de 1,100 vulnerabilidades detectadas por CodeQL, la emisión de más de 50 nuevas exposiciones comunes a vulnerabilidades (CVEs) y la prevención de fugas de 92 nuevos secretos.
El programa también ha fortalecido la capacidad de los mantenedores para el éxito a largo plazo, con el 100% de ellos afirmando que se llevaron acciones concretas para el próximo año. Además, se ha acelerado la adopción de prácticas de seguridad, con el 80% de los proyectos habilitando tres o más funciones de seguridad basadas en GitHub.
Los resultados demuestran el impacto directo en la seguridad logrado a través de las sesiones, y el impulso apenas comienza. Los mantenedores han adoptado una cultura de seguridad y están compartiendo activamente conocimientos con sus comunidades y colaboradores directos.
La tercera sesión del programa comenzará en septiembre de 2025, con la intención de involucrar a más mantenedores que trabajan en niveles más profundos de la dependencia y aquellos que manejan dependencias críticas por sí mismos.
GitHub también ha destacado proyectos como Ollama y GravitasML de AutoGPT, que han implementado mejoras significativas en seguridad, desde la modelización de amenazas hasta la habilitación de CodeQL para escaneo de pull requests.
La comunidad y las empresas están llamadas a unirse a esta misión de asegurar la cadena de suministro de software de código abierto. Se están buscando mantenedores, socios financieros y de ecosistema para escalar aún más el impacto de este esfuerzo. Con la colaboración de todos, se espera que el ecosistema de software se fortalezca significativamente, ayudando a proteger millones de construcciones diarias.
vÃa: Github Open Source
