A finales de 2017 os contamos que GitHub había implementado una nueva herramienta que avisaría a los desarrolladores de los proyectos OpenSource siempre que se encontraran vulnerabilidades en los mismos con el fin de poder llevar la seguridad de los proyectos a otro nivel. Este sistema de notificaciones de seguridad lleva funcionando ya un tiempo, y en sus apenas 6 meses de vida ha ayudado a un gran número de desarrolladores a hacer sus aplicaciones más seguras.

Según un informe de GitHub, el motor de detección de vulnerabilidades en el código de los proyectos de GitHub ha detectado y reportado más de 4 millones de vulnerabilidades en todo tipo de proyectos en sus 6 meses de vida. Esto no significa que sean los propios desarrolladores quienes cometen estos fallos de seguridad, sino que se debe a que cada vez más desarrolladores reutilizan código a partir de todo tipo de librerías, librerías que pueden contener fallos de seguridad y que, al utilizarlas en el programa, exponen toda la aplicación.

La mayoría de las vulnerabilidades que detecta GitHub se debe, además, al uso de versiones antiguas de librerías, proyectos que por diversas razones no han tenido actividad en los últimos meses y que no se han actualizado con las nuevas versiones de las correspondientes librerías.

GitHub asegura, además, que la mayoría de las notificaciones de vulnerabilidades que se envían se solucionan en menos de una semana, una actualización muy rápida por parte de los desarrolladores en general, aunque algunos suelen tardar más tiempo en hacerlo. Además, casi todos estos fallos se corrigen simplemente actualizando la librería vulnerable por una versión segura, por lo que no suele causar demasiados quebraderos de cabeza a los desarrolladores.

Reutilizar código, una práctica tan útil como peligrosa

Actualmente ha llegado el momento en el que la cantidad de código nuevo y original que se crea es mínimo. La mayoría de los proyectos, tanto privativos como de código abierto, dependen de una gran cantidad de librerías y dependencias de otros desarrolladores. Esto se debe a que, por ejemplo, es mucho más fácil utilizar un codificador de vídeo que crear uno nuevo, o utilizar un socket de red ya existente que programarlo de nuevo.

Si el código existente funciona, y en la mayoría de los casos es inmejorable debido a la gran cantidad de usuarios y empresas implicados en su desarrollo (hablando de código abierto), utilizarlo es una excelente opción y una forma muy inteligente de no malgastar recursos. Sin embargo, nunca debemos dejar de seguir los cambios en dichas librerías o dependencias, actualizando nuestros proyectos lo antes posible cada vez que se lance una nueva versión de la librería, sobre todo cuando sea por motivos de seguridad.

Por el momento, este motor de análisis y detección de vulnerabilidades es compatible con los lenguajes de programación JavaScript y Ruby, dos de los más utilizados en GitHub, aunque en breve aumentará el número de lenguajes compatibles, siendo Python el primero en llegar a esta plataforma.

¿Qué te parece la iniciativa de GitHub de ayudar a que el software de código abierto sea cada vez más seguro?