En 2025, GitHub anunció una disminución en la cantidad de avisos de seguridad revisados, contabilizando un total de 4,101, la cifra más baja registrada desde 2021. Sin embargo, este descenso no debe interpretarse como una disminución en las vulnerabilidades reportadas, sino como resultado de un esfuerzo consciente por parte de la plataforma al dejar de revisar vulnerabilidades más antiguas. Al centrar la atención en las vulnerabilidades reportadas solo en el último año, GitHub registró un incremento del 19% en la revisión de avisos comparado con el año anterior.
La disminución en la cantidad de revisiones ha sido atribuida a que la base de datos de avisos de GitHub, establecida en 2019, se está agotando de vulnerabilidades no revisadas de años pasados, mientras que el ritmo de nuevas vulnerabilidades se mantiene estable. Esta base de datos se ha convertido en un pilar esencial para los desarrolladores, proporcionando un listado completo de las amenazas y malware que impactan en los paquetes de código abierto.
Es relevante subrayar que la categoría de «avisos no revisados» podría llevar a confusión; muchos de estos ya han sido evaluados por curadores y considerados irrelevantes para cualquier paquete en un ecosistema compatible, lo que implica que no llegarán a ser completamente revisados.
Durante 2025, la distribución de vulnerabilidades a través de diversos ecosistemas se mantuvo prácticamente constante, pero se observó un aumento en el ecosistema Go, debido a esfuerzos específicos para identificar avisos potenciales no detectados anteriormente. La vulnerabilidad más común continua siendo el «Cross-Site Scripting» (CWE-79). Sin embargo, también se experimentó un crecimiento en los avisos de agotamiento de recursos y deserialización insegura.
Dependabot ha mejorado sus alertas, resultando en una disminución de las notificaciones sobre vulnerabilidades pasadas. Esta mejora implica que los desarrolladores podrían estar recibiendo menos alertas sobre amenazas no revisadas que afectan a paquetes compatibles.
En términos de malware, 2025 destacó por un incremento del 69% en advertencias sobre npm frente a 2024, impulsado por campañas de malware a gran escala. En respuesta, GitHub ha implementado nuevas alertas de Dependabot para mantener a los usuarios informados sobre versiones maliciosas identificadas en paquetes de npm.
Como Autoridad de Numeración CVE (CNA), GitHub también observó un aumento notable del 35% en la emisión de registros CVE comparado con el año anterior y un aumento del 20% en nuevas organizaciones solicitando identificaciones CVE a través de su plataforma.
Las cifras de 2025 revelan un avance significativo en la seguridad del código abierto, marcando un progreso real para millones de desarrolladores en el combate contra las vulnerabilidades. La atención en la seguridad y la colaboración interorganizacional continúan siendo esenciales frente al dinámico mundo tecnológico. Con el número creciente de CVEs y la estrategia para clasificar y gestionar vulnerabilidades, GitHub se perfila como líder en el fortalecimiento de la seguridad del código abierto hacia el futuro.
