La base de datos de asesorías de GitHub se ha convertido en un recurso clave para los desarrolladores, proporcionando un exhaustivo listado de vulnerabilidades de seguridad y amenazas de malware que afectan a paquetes de código abierto. La tendencia observada en su Advisory DB para 2024 muestra un notable aumento en el número de asesorías revisadas, expandiendo su cobertura y la participación de diversas fuentes.
Las vulnerabilidades dentro de esta base de datos se dividen en tres categorías principales: asesorías revisadas, no revisadas y de malware. Las revisadas comprenden vulnerabilidades confirmadas en paquetes compatibles, mientras que las no revisadas se alimentan automáticamente de la Base de Datos Nacional de Vulnerabilidades (NVD) y podrían no impactar paquetes soportados. Las de malware se centran en amenazas específicas identificadas por el equipo de seguridad de npm.
Desde su lanzamiento, las asesorías revisadas han crecido significativamente, de menos de 400 en 2019 a más de 20,000 en octubre de 2024. Este incremento ha sido posible gracias a la inclusión de múltiples fuentes, una mayor cobertura de ecosistemas y campañas previas de revisión.
El auge en los reportes de vulnerabilidades es notable en los ecosistemas de paquetes. Aunque npm predominó inicialmente, la integración de Maven y Composer ha alterado esta distribución, representando en 2024 casi la mitad de las asesorías.
El proceso de revisión se nutre de diversas fuentes, incluidas contribuciones comunitarias y especializadas como PyPA y Go Vulncheck. Esto brinda a los desarrolladores un panorama completo para priorizar las vulnerabilidades más críticas. GitHub ofrece herramientas de apoyo, como calificaciones de gravedad y sistemas de puntuación de explotación, para identificar cuáles requieren atención inmediata.
GitHub, como Autoridad de Numeración CVE, emite identificadores para vulnerabilidades reportadas, facilitando su registro a nivel comunitario. En 2024, se generaron más de 2,000 registros CVE, afianzando a GitHub entre los principales actores del sector.
En esencia, la base de datos de asesorías de GitHub no solo actúa como un repositorio de vulnerabilidades; también potencia herramientas como Dependabot, que asiste a los desarrolladores en la gestión de riesgos y la seguridad de sus proyectos.
