El uso de herramientas de seguridad suele ser un terreno complicado para los desarrolladores, quienes encuentran estas aplicaciones más como obstáculos que como soluciones. Generalmente, las herramientas están diseñadas sin considerar a los propios desarrolladores, a menudo responsables de corregir problemas de seguridad que deberían ser manejados por los equipos dedicados a estas tareas. La fricción aumenta cuando los desarrolladores deben cambiar constantemente entre la herramienta de seguridad y su entorno de desarrollo, lo que resulta en complicaciones y pérdida de tiempo valioso.
La realidad es que muchas alertas de seguridad no ofrecen acciones prácticas, lo que obliga a los desarrolladores a perder tiempo en investigaciones o, peor aún, a lidiar con falsos positivos que los desvían de sus tareas principales. Esta acumulación de alertas que no aportan valor puede derivar en que los desarrolladores presten cada vez menos atención a las vulnerabilidades reportadas.
Ante este desafío, GitHub ha propuesto nuevas soluciones integradas directamente en los flujos de trabajo de desarrollo. Con la implementación de herramientas como Secret Protection, Code Security, Dependabot y Copilot Autofix, la plataforma busca no solo detectar estos problemas, sino también priorizar y solucionarlos con la ayuda de la inteligencia artificial.
Un ejemplo significativo de esta iniciativa es la función Secret Protection, que permite detectar secretos expuestos, como contraseñas o claves API, en el momento de hacer un commit. Esto ayuda a los desarrolladores al alertarlos inmediatamente, evitando potenciales daños antes de que el código sea comprometido. Esta herramienta resulta esencial para prevenir que secretos se filtren inadvertidamente en ambientes de producción.
En el ámbito de las dependencias, que son vitales para el software, GitHub ha dotado a Dependabot con la capacidad de identificar vulnerabilidades en las bibliotecas de código abierto que los desarrolladores suelen usar. Además, si se encuentra una solución, Dependabot genera automáticamente una solicitud de pull, lo que permite resolver la vulnerabilidad sin que el desarrollador deba interrumpir su flujo de trabajo. Dependabot ahora emplea datos del Exploit Prediction Scoring System (EPSS) para priorizar las alertas de seguridad de acuerdo a la probabilidad de explotación.
En cuanto a las solicitudes de pull, GitHub se encarga de ejecutar automáticamente herramientas de seguridad, eliminando la necesidad de revisiones manuales. La función Copilot Autofix sugiere correcciones para el 90% de los tipos de alertas, lo que agiliza considerablemente el proceso de remediación. Los equipos han observado una reducción del 60% en el tiempo necesario para resolver vulnerabilidades.
En conclusión, GitHub se posiciona como un aliado en el desarrollo de software seguro mediante la integración de herramientas que no solo alertan sobre problemas, sino que también sugieren soluciones de manera integrada en el ambiente de trabajo del desarrollador. Este enfoque busca aliviar la carga que supone la seguridad en el desarrollo, haciendo de esta tarea un proceso menos arduo y más eficiente.
