La base de datos de asesorías de GitHub se ha consolidado como un recurso crucial para los desarrolladores, ofreciendo un detallado listado de vulnerabilidades de seguridad y malware en paquetes de código abierto. Un análisis de las tendencias para 2024 revela un incremento en el número de asesorías revisadas, ampliando la cobertura del ecosistema y las contribuciones de diversas fuentes.
La base de datos clasifica las vulnerabilidades en tres grupos: asesorías revisadas, no revisadas y de malware. Las revisadas abarcan vulnerabilidades verificadas en paquetes compatibles, mientras que las no revisadas provienen de la Base de Datos Nacional de Vulnerabilidades (NVD) y pueden no afectar a paquetes soportados. Las de malware se enfocan en amenazas específicas detectadas por el equipo de seguridad de npm.
Desde su inicio, el número de asesorías revisadas creció de menos de 400 en 2019 a más de 20,000 en octubre de 2024. Este aumento se debe al mayor aporte de asesorías desde múltiples fuentes y a la expansión en la cobertura de ecosistemas, junto a campañas de revisión de asesorías anteriores.
Los ecosistemas de paquetes han visto un incremento significativo en vulnerabilidades reportadas. Aunque inicialmente npm era el ecosistema principal, la adición de Maven y Composer ha redistribuido notablemente las asesorías, con casi la mitad de ellas en 2024 perteneciendo a estos últimos.
El proceso de revisión y publicación de asesorías se enriquece con diversas contribuciones, tanto de la comunidad como de fuentes especializadas como PyPA o Go Vulncheck. Estas permiten a los desarrolladores entender mejor las potenciales vulnerabilidades y priorizar las más críticas. GitHub suministra datos accionables, como calificaciones de gravedad y un sistema de puntuación de predicción de explotación, que ayudan a identificar vulnerabilidades críticas que requieren atención inmediata.
Asimismo, GitHub actúa como Autoridad de Numeración CVE, emitiendo identificadores para vulnerabilidades denunciadas, asegurando su registro en la comunidad CVE. En 2024, se emitieron más de 2,000 registros CVE, confirmando a GitHub como un actor principal en este ámbito.
En conclusión, la base de datos de asesorías de GitHub no solo funciona como un repositorio de vulnerabilidades, sino que también potencia herramientas como Dependabot, ayudando a los desarrolladores a gestionar riesgos y mantener la seguridad de sus proyectos efectivamente.
