El uso de herramientas de seguridad puede resultar complicado y frustrante para los desarrolladores, ya que generalmente no están diseñadas teniendo en cuenta sus necesidades. Aunque los desarrolladores son a menudo los responsables de abordar los problemas de seguridad, esta tarea podría recaer en el equipo de seguridad, lo que complica las cosas, especialmente cuando deben alternar entre herramientas de seguridad y el entorno de desarrollo, generando pérdida de tiempo y complicaciones adicionales.
La falta de acciones prácticas en muchas alertas de seguridad obliga a los desarrolladores a dedicar tiempo a investigar por su cuenta, enfrentándose incluso a falsos positivos que los alejan de su tarea principal: crear nuevas funcionalidades. Esta sobrecarga de alertas puede llevar a que se preste menos atención a las vulnerabilidades a medida que se acumulan.
GitHub busca cambiar esta dinámica integrando la seguridad directamente en los flujos de trabajo de desarrollo. Mediante herramientas como Secret Protection, Code Security, Dependabot y Copilot Autofix, la plataforma pretende ir más allá de la simple detección de problemas para ayudar a los desarrolladores a priorizar y resolverlos con la ayuda de inteligencia artificial.
Por ejemplo, GitHub Secret Protection puede detectar secretos expuestos, como claves API olvidadas, en el momento de hacer un commit, permitiendo que los desarrolladores corrijan estos problemas antes de que causen daños. Esta herramienta se ha vuelto esencial para evitar que secretos se filtren accidentalmente en el entorno de producción.
Al utilizar bibliotecas de código abierto, muchos desarrolladores enfrentan riesgos asociados a vulnerabilidades. Dependabot puede identificar estos problemas y, si existe una solución, genera automáticamente una solicitud de pull. Esto permite a los desarrolladores solucionar problemas sin interrumpir su flujo de trabajo, gracias a la incorporación del Exploit Prediction Scoring System (EPSS) para priorizar alertas según la probabilidad de explotación.
Durante la realización de una solicitud de pull, GitHub ejecuta herramientas de seguridad automáticamente, eliminando la necesidad de revisiones manuales. Además, la función Copilot Autofix sugiere correcciones para el 90% de los tipos de alertas, lo que agiliza el proceso de remediación y reduce en un 60% el tiempo dedicado a solucionar vulnerabilidades.
En resumen, aunque es crucial tomar en serio la seguridad en el desarrollo de software, GitHub busca facilitar esta tarea al integrar herramientas que alertan y proponen soluciones directamente en el flujo de trabajo del desarrollador. Con este enfoque, la plataforma intenta hacer del proceso de escritura de código seguro una tarea menos laboriosa, cambiando así la narrativa de la seguridad en el desarrollo de software.
