En el ámbito del desarrollo de software, la complejidad de la cadena de suministro representa un desafío significativo. En respuesta a esto, GitHub ha lanzado una herramienta innovadora: el gráfico de dependencias, que promete ofrecer a los desarrolladores una visión clara de las bibliotecas externas que sus proyectos utilizan, tanto de manera directa como indirecta.
Este nuevo gráfico se asemeja a un iceberg. Lo que parece ser un simple archivo de manifiesto con unas pocas dependencias directas es solo la punta del iceberg, mientras que la vasta red de dependencias transitorias permanece oculta bajo la superficie. Esta herramienta permite a los desarrolladores visualizar dicha complejidad, creando una representación estructurada de todo el código externo que alimenta sus aplicaciones. Cada paquete aparece como un nodo y las relaciones de dependencia como aristas, destacando las conexiones entre paquetes y su interrelación, similar a un árbol genealógico.
La herramienta resulta crucial en un entorno donde el 95-97% del código de un proyecto puede provenir de recursos externos. Al implementarla, los desarrolladores pueden identificar rápidamente dependencias inseguras y actuar en consecuencia. Además, el gráfico de dependencias complementa la funcionalidad de Dependabot, que alerta automáticamente sobre problemas de seguridad en las dependencias, incluidas las transitorias que frecuentemente pasan desapercibidas.
Un ejemplo presentado por Eric Sorenson, ingeniero de GitHub, reveló que un proyecto que aparentemente contenía solo 21 dependencias directas pudiera en realidad incluir más de 1,000 dependencias en total. Este hallazgo destaca la importancia de comprender no solo lo que controlamos directamente, sino también las implicaciones de las dependencias indirectas.
Activar el gráfico de dependencias es un proceso sencillo que se realiza en la configuración del repositorio bajo el apartado de Seguridad. La herramienta es gratuita para repositorios públicos, mientras que los privados requieren una suscripción a GitHub Advanced Security. A través de esta funcionalidad, no solo se obtienen alertas automatizadas, sino que también se pueden realizar análisis más profundos sobre la cadena de suministro de software.
En conclusión, el gráfico de dependencias de GitHub proporciona visibilidad sobre el extenso código de terceros que alimenta los proyectos y permite a los desarrolladores tomar medidas necesarias para asegurar sus aplicaciones ante posibles vulnerabilidades. Con esta herramienta, la gestión de la seguridad en el desarrollo de software se vuelve más accesible y eficiente.
