El uso de herramientas de seguridad en el desarrollo de software puede ser una fuente de frustración para los desarrolladores. A menudo, estas herramientas no están diseñadas con ellos en mente, pese a que suelen ser los encargados de solucionar los problemas de seguridad. La situación se complica aún más por la necesidad de alternar entre la herramienta de seguridad y el entorno de desarrollo, lo que provoca una pérdida considerable de tiempo.
Además, muchas alertas de seguridad carecen de acción práctica, obligando a los desarrolladores a investigar por su cuenta o lidiar con falsos positivos que los apartan de su trabajo principal: desarrollar nuevas funcionalidades. Esta acumulación de alertas puede llevar a una peligrosa fatiga que hace que se preste menos atención a las vulnerabilidades.
Para abordar este reto, GitHub está trabajando en integrar la seguridad directamente en el flujo de trabajo diario de los desarrolladores. Herramientas como Secret Protection, Code Security, Dependabot y Copilot Autofix son parte de este esfuerzo, utilizando inteligencia artificial para no solo detectar problemas, sino también ayudar a los desarrolladores a darles prioridad y resolverlos.
Por ejemplo, GitHub Secret Protection puede identificar secretos comprometidos, como una clave API olvidada, justo en el momento del commit, aliviando el riesgo de que estos secretos causen problemas en producción. Esto permite a los programadores realizar correcciones rápidamente mientras el código aún está fresco en su mente.
Una vez realizado el commit, los desarrolladores que dependen de bibliotecas de código abierto pueden beneficiarse de Dependabot, que identifica vulnerabilidades en estas dependencias y, si es posible, genera automáticamente una solicitud de pull para solucionarlas sin interrupciones. Recientemente, Dependabot ha incorporado datos del Exploit Prediction Scoring System (EPSS) para ayudar a priorizar alertas según la probabilidad de explotación.
Cuando se realiza una solicitud de pull, las herramientas de seguridad de GitHub se ejecutan automáticamente, eliminando la necesidad de múltiples revisiones manuales. Además, la función Copilot Autofix sugiere correcciones para la mayoría de los tipos de alertas, lo que puede reducir el tiempo dedicado a remediar vulnerabilidades en un 60%.
En definitiva, aunque la seguridad es un aspecto crucial del desarrollo de software, GitHub está trabajando para hacer de esta una tarea menos ardua al integrar estas innovadoras herramientas en el flujo de trabajo de los desarrolladores. Al facilitar la identificación y solución de vulnerabilidades, la plataforma busca cambiar la narrativa de la seguridad en el desarrollo de software.
