La base de datos de asesorías de GitHub se ha convertido en un pilar fundamental para los desarrolladores de software al ofrecer un listado exhaustivo de vulnerabilidades de seguridad y malware que afectan a paquetes de código abierto. En un reciente análisis de las tendencias del Advisory DB para el año 2024, se ha observado un notable incremento en la cantidad de asesorías revisadas, mejorando la cobertura del ecosistema y aumentando las contribuciones de diversas fuentes.
Esta base de datos agrupa las vulnerabilidades en tres categorías principales: las asesorías revisadas por GitHub, las no revisadas y las de malware. Las revisadas se centran en vulnerabilidades verificadas en paquetes compatibles, mientras que las no revisadas provienen de la Base de Datos Nacional de Vulnerabilidades (NVD) y pueden no afectar paquetes soportados. Por su parte, las asesorías de malware están enfocadas en amenazas específicas identificadas por el equipo de seguridad de npm.
Desde su lanzamiento, el número de asesorías revisadas ha visto un dramático incremento, pasando de menos de 400 en 2019 a más de 20,000 en octubre de 2024. Este crecimiento ha sido impulsado por un mayor número de asesorías de múltiples fuentes y la expansión de la cobertura de ecosistemas, junto a campañas de revisión de asesorías previas.
Los ecosistemas de paquetes han aumentado considerablemente en términos de vulnerabilidades reportadas. Aunque npm fue originalmente el ecosistema predominante, con la inclusión de otros como Maven y Composer, la distribución de las asesorías ha cambiado significativamente. En 2024, casi la mitad de las asesorías estaban relacionadas con vulnerabilidades en Maven y Composer.
El proceso de revisión y publicación de asesorías se alimenta de diversas fuentes, incluyendo contribuciones de la comunidad y especializadas como PyPA o Go Vulncheck. Estas aportaciones brindan a los desarrolladores una visión más amplia de potenciales vulnerabilidades, ayudándoles a enfocar su atención en las más críticas. Para ello, GitHub ofrece datos como calificaciones de gravedad y un sistema de puntuación de predicción de explotación, permitiendo identificar con precisión las vulnerabilidades que requieren atención inmediata.
Además, GitHub desempeña un papel clave como Autoridad de Numeración CVE, emitiendo identificadores para vulnerabilidades reportadas, lo que asegura su registro en la comunidad global de CVE. En 2024, se publicaron más de 2,000 registros CVE, consolidando a GitHub como un líder en este ámbito.
En resumen, la base de datos de asesorías de GitHub no solo actúa como un repositorio de vulnerabilidades, sino que también potencia herramientas como Dependabot, que asisten a los desarrolladores en la gestión de riesgos y el mantenimiento de la seguridad en sus proyectos.
