GitHub empezará a avisar a los desarrolladores de las vulnerabilidades en las dependencias de sus proyectos
GitHub es una de las plataformas más utilizadas por los desarrolladores de software de código abierto de manera que puedan, además de versionar sus proyectos, colaborar con otros usuarios en la creación, mejora y depuración de los mismos. Aunque las aplicaciones de código abierto suelen ser, por lo general, seguras debido a la gran cantidad de usuarios que las analizan y ayudan en la depuración, muchas veces estas se ven afectadas por vulnerabilidades ocultas en alguna de las dependencias del proyecto, y esto es lo que pretende solucionar GitHub.
La mayoría de los proyectos de código abierto suele tener ciertas dependencias que facilite el uso y la implementación de determinadas funciones. Una de las dependencias más utilizadas en los proyectos que se conectan a Internet de forma segura es OpenSSL. Un proyecto puede ser muy seguro, pero si una de sus dependencias tiene la más mínima vulnerabilidad (volvemos la vista atrás a Heartbleed, la peor vulnerabilidad en la historia de OpenSSL y de la informática), todos aquellos proyectos que hicieran uso de esta librería vulnerable estarían poniendo en peligro igualmente a los usuarios.
Así, en el apartado “Insights” de los proyectos de GitHub encontraremos esta nueva función dentro de la categoría “Dependency graph“, donde si alguna de las dependencias de nuestro proyecto se ve afectada por una vulnerabilidad, nos aparecerá un aviso que nos informará de dicha vulnerabilidad para poder solucionarla lo antes posible.
Los avisos de vulnerabilidades también llegarán a los desarrolladores a través del correo electrónico, y también se notificará a los desarrolladores cuando los responsables de la dependencia la actualicen para solucionar la vulnerabilidad. Esta nueva función también avisará a los desarrolladores de la nueva información que se vaya conociendo sobre las vulnerabilidades.
Por el momento, los ingenieros de GitHub están trabajando con los identificadores CVE de las vulnerabilidades para llevar un seguimiento de las mismas, aunque más adelante también podrán avisar de las vulnerabilidades más conocidas incluso cuando no puedan tener acceso al CVE.
Por el momento, esta función solo funciona con los proyectos en JavaScript y Ruby. En 2018 llegará también a Python
Por el momento, esta función solo es compatible con dos lenguajes de programación: JavaScript, un lenguaje cada vez más utilizado, especialmente en la web, y Ruby. De todas formas, desde GitHub han confirmado que van a seguir mejorando esta función de seguridad para su plataforma y que, además, tienen intenciones de llevarla a otros lenguajes de programación, empezando por Python, a quien llegará, sin ir más lejos, en 2018.
Sin duda, esta es una gran función, que ha sido muy bien recibida también por la comunidad, gracias a la cual los desarrolladores van a poder evitar más fácilmente que sus proyectos se vean afectados por vulnerabilidades causadas por culpa de una de las dependencias. Y a medida que aumente el número de lenguajes compatibles, esta será aún mejor.
Por el momento GitHub no ha facilitado información sobre si tiene intenciones de añadir soporte para PHP, pero los usuarios que quieran analizar el código de proyectos PHP para detectar vulnerabilidades pueden recurrir a la herramienta Roave Security Advisories.
¿Qué te parece esta nueva función de GitHub?
Via: www.redeszone.net