GitHub afirma haber detectado cuatro millones de fallos de seguridad en repositorios públicos

Cyber Security 1923446 1280

El sistema de detección de fallos de seguridad en librerías JavaScript y Ruby de GitHub ha detectado más de cuatro millones de vulnerabilidades en más de medio millón de repositorios públicos desde que fuese presentado el pasado mes de noviembre según han anunciado hace unas horas.

En un artículo de su blog oficial, la plataforma de desarrollo explica que a medida que más desarrolladores aprovechan las librerías de código existentes para construir nuevas herramientas, el seguimiento de los cambios en las dependencias, así como vulnerabilidades de seguridad, se ha vuelto más difícil.

Por esa razón presentaron sus alertas de seguridad hace poco más de cuatro meses, con la finalidad de poder detectar vulnerabilidades y alertar a los responsables de los proyectos de los problemas encontrados y las posibles soluciones a tomar. "En casi todos los casos, hay una nueva versión parcheada de la librería que podemos recomendar en la alerta", explican.

Code 1839406 1280

Las alertas de seguridad de GitHub funcionan comparando el código de los repositorios públicos —aquellos a los que puede acceder este escáner— y las dependencias actuales con la conocida lista de Common Vulnerabilities and Exposures, CVE por sus siglas.

Durante las dos primeras semanas de funcionamiento de estos análisis, la plataforma asegura que 450.000 vulnerabilidades identificadas fueron parcheadas por los propietarios de los repositorios cambiando su versión por una segura o eliminando las dependencias. "Desde entonces, nuestro índice de vulnerabilidades resueltas en los primeros siete días de detección ha sido de alrededor del 30 por ciento", explican.

Adicionalmente, GitHub dice que el 15 % de las alertas se desestiman en una semana, por lo que casi la mitad de todas ellas son respondidas en siete días. Las restantes, las que no son atendidas o no se resuelven, pertenecen mayoritariamente a repositorios que no han tenido una contribución en los últimos tres meses.

Esto significa que casi todos los repositorios con contribuciones recientes solucionan los fallos de seguridad que les son notificados en menos de una semana. No obstante, también quiere decir que más de tres millones de vulnerabilidades quedan sin resolver. Sin entrar en detalles, desde la plataforma de desarrollo colaborativo dicen que están trabajando en más formas de ayudar a mantener un código seguro.

Con la tecnología de Blogger.