GitHub es la plataforma más popular para alojar y compartir código entre desarrolladores. Sin embargo, este código puede contener vulnerabilidades que pueden ser explotadas por atacantes malintencionados. Para evitar que estas vulnerabilidades se hagan públicas antes de que se solucionen, GitHub ha anunciado la disponibilidad general de la comunicación de vulnerabilidades de forma privada.
Esta función permite que los investigadores de seguridad, y el público en general, puedan informar de las vulnerabilidades que encuentren en los proyectos alojados en GitHub sin revelarlas a todo el mundo. De esta forma, se garantiza que los mantenedores de los proyectos puedan trabajar en una solución sin exponer a los usuarios a posibles ataques.
La comunicación de vulnerabilidades de forma privada se lanzó como una beta pública en GitHub Universe 2022. Desde entonces, los mantenedores de 30.000 organizaciones han habilitado esta función en más de 180.000 repositorios. GitHub dice que ha recibido más de 1.000 informes a través de este mecanismo de comunicación privada.
Nuevas características para mejorar la seguridad
Con su promoción a disponibilidad general, GitHub también ha añadido varias características nuevas. La primera mejora permite a los mantenedores habilitar la función en todos los repositorios de su organización, en lugar de solo uno a la vez. Los mantenedores también pueden asignar un tipo de crédito a las personas que ayudan a encontrar problemas, algunos tipos son analista, descubridor, patrocinador y más. Por último, hay una nueva API de avisos de seguridad del repositorio que facilita la integración con sistemas de terceros, las presentaciones automatizadas y las alertas de vulnerabilidad.
Esperemos que con la disponibilidad general de esta función, los proyectos de código abierto sean un poco más seguros. GitHub también ha introducido recientemente la verificabilidad para los paquetes npm en GitHub Actions, para dar más confianza a los consumidores sobre el origen del código que usan.
