La base de datos de asesorías de GitHub se ha afianzado como un recurso vital para los desarrolladores al ofrecer un catálogo integral de vulnerabilidades de seguridad y malware en paquetes de código abierto. En un análisis reciente de las tendencias de la base de datos para 2024, se observa un notable aumento en la cantidad de asesorías revisadas, así como en la cobertura del ecosistema y las contribuciones de diversas fuentes.
La base de datos clasifica las vulnerabilidades en tres categorías principales: asesorías revisadas por GitHub, asesorías no revisadas y asesorías de malware. Las asesorías revisadas se centran en vulnerabilidades verificadas en paquetes de ecosistemas compatibles, mientras que las no revisadas, provenientes automáticamente de la Base de Datos Nacional de Vulnerabilidades (NVD), pueden no afectar a los paquetes soportados. Las asesorías de malware se centran en amenazas específicas identificadas por el equipo de seguridad de npm.
Desde su creación, la cantidad de asesorías revisadas ha crecido considerablemente, de menos de 400 en 2019 a más de 20,000 en octubre de 2024. Este incremento ha sido impulsado por un mayor número de asesorías de múltiples fuentes, la expansión de la cobertura de ecosistemas y las campañas de revisión de asesorías previas.
Los ecosistemas de paquetes han visto un notable aumento en las vulnerabilidades reportadas. Aunque npm fue inicialmente dominante, la incorporación de otros ecosistemas como Maven y Composer ha cambiado significativamente la distribución de las asesorías. En 2024, casi la mitad de las asesorías correspondieron a vulnerabilidades en paquetes de Maven y Composer.
El proceso de revisión y publicación de asesorías se nutre de diversas fuentes, incluidas contribuciones de la comunidad y especializadas como PyPA o Go Vulncheck. Estas fuentes permiten a los desarrolladores tener una visión más amplia de las posibles vulnerabilidades y priorizar su atención en las más críticas. GitHub proporciona datos de acción, como calificaciones de gravedad y un sistema de puntuación de predicción de explotación, que ayuda a identificar con precisión las vulnerabilidades que requieren atención inmediata.
Además, GitHub actúa como una Autoridad de Numeración CVE, emitiendo identificadores para vulnerabilidades reportadas, asegurando así su registro en la comunidad más amplia de CVE. En 2024, se publicaron más de 2,000 registros CVE, consolidando a GitHub como un actor principal en este campo.
En resumen, la base de datos de asesorías de GitHub no solo funciona como un repositorio de vulnerabilidades, sino que también alimenta herramientas como Dependabot, facilitando a los desarrolladores la gestión de riesgos y el mantenimiento de la seguridad en sus proyectos de manera efectiva.
