GitHub Security Lab, fundada en 2019, ha estado trabajando con el objetivo principal de mejorar la seguridad del software a través de la comunidad. La idea es que compartir conocimientos y herramientas mediante software de código abierto permite a todos auditar el código y reportar vulnerabilidades.
Ahora, seis años después, surge una nueva oportunidad gracias a la inteligencia artificial. Esta tecnología permite codificar, compartir y escalar el conocimiento de seguridad de forma más sencilla. Con interfaces como el Model Context Protocol (MCP), se pueden mejorar herramientas existentes como CodeQL.
La comunidad tiene el poder de eliminar las vulnerabilidades de software más rápidamente mediante el conocimiento compartido. Con esta meta, el equipo ha estado experimentando con un marco denominado GitHub Security Lab Taskflow Agent, compartiéndolo también con los participantes del GitHub Secure Open Source Fund.
El proceso para comenzar con el seclab-taskflow-agent es sencillo. Implica crear un token de acceso personal, añadir secretos de codespace, iniciar un codespace y ejecutar un taskflow con un único comando.
Se advierte que el demo puede consumir parte de la cuota de tokens, especialmente en cuentas gratuitas de GitHub, aunque el diseño está pensado para que funcione en este tipo de cuenta.
La herramienta permite a los usuarios crear personalidades y toolboxes para ejecutar tareas de seguridad específicas, mejorando así la eficacia en la detección de vulnerabilidades. El sistema también soporta la ejecución en entornos Linux y Docker, ofreciendo flexibilidad en distintas plataformas.
El proyecto busca alentar la seguridad impulsada por la comunidad, promoviendo la creación y el intercambio de taskflows. GitHub espera que esta herramienta ayude a eliminar vulnerabilidades de software más rápido al compartir conocimientos.
Además, el equipo ha publicado el seclab-taskflow-agent y seclab-taskflows en PyPI, para facilitar la creación y distribución de taskflows. La comunidad está invitada a publicar sus propias suites de taskflows, contribuyendo así al avance colectivo en la seguridad del software.
Este esfuerzo busca fomentar una cultura de apertura y cooperación, mientras se provee una herramienta útil para la propia experimentación del equipo.
vÃa: Github Open Source
