El equipo de ingeniería de seguridad de productos de GitHub ha dado un paso significativo hacia el fortalecimiento de la seguridad de su plataforma mediante el desarrollo e implementación de herramientas avanzadas y prácticas de codificación seguras. En el centro de esta estrategia se encuentra GitHub Advanced Security (GHAS), una solución integral que permite a la compañía identificar, rastrear y superar vulnerabilidades mientras establece estándares de codificación seguros a gran escala. Entre los componentes más destacados de este enfoque está CodeQL, el motor de análisis estático de GitHub, que automatiza evaluaciones de seguridad, explorando el código como si fuera una base de datos.
CodeQL marca un nuevo estándar para el análisis de código, permitiendo identificar problemas que, de otro modo, pasarían desapercibidos con las búsquedas tradicionales. En un reciente análisis, el equipo de GitHub destacó su eficacia y compartió lecciones valiosas para otras organizaciones. Este estudio abarca desde la creación y gestión de paquetes de consultas personalizadas hasta el desarrollo y análisis variantes que identifican prácticas inseguras de programación.
Para la mayoría de los más de 10,000 repositorios de GitHub, CodeQL se despliega en una configuración predeterminada que automatiza revisiones de seguridad en las solicitudes de incorporación de cambios. Sin embargo, para sistemas más complejos como su gran monolito de Ruby, GitHub ha optado por conjuntos de consultas personalizadas y un análisis de variantes entre múltiples repositorios, lo que facilita auditorías rápidas y detección de patrones específicos.
Inicialmente, las consultas de CodeQL se gestionaban directamente en el repositorio monolítico de GitHub, un enfoque que resultó ser poco eficiente. Hoy, estas consultas se publican como un paquete en el GitHub Container Registry (GCR), agilizando el flujo de trabajo y mitigando problemas como despliegues lentos y pruebas confusas tras cambios en las consultas.
La creación de estos paquetes conlleva interesantes desafíos, sobre todo en la gestión de dependencias como el paquete ruby-all. GitHub ha aprendido que al ampliar las clases de la biblioteca de consultas predeterminas, se pueden crear consultas más concisas y mantiene un sistema de pruebas unitarias para garantizar la publicación de consultas sin errores.
Además, el proceso de publicación y actualización de estas consultas ha sido optimizado para equilibrar el desarrollo ágil con la estabilidad de los paquetes finales. Esto permite al equipo añadir nuevas consultas, realizar pruebas unitarias y actualizar el GCR de manera eficiente.
Las consultas personalizadas de GitHub abarcan desde la identificación de API de alto riesgo hasta la verificación de métodos de autorización en API REST. También cumplen una función educativa al alertar a los ingenieros de prácticas inseguras sin bloquear los cambios.
Finalmente, la capacidad de GitHub para ejecutar análisis de variantes con CodeQL reafirma su compromiso con la seguridad proactiva, permitiendo la identificación de vulnerabilidades y patrones de código inseguros. CodeQL se ha convertido en un recurso esencial para el equipo de seguridad de GitHub, garantizando un proceso riguroso de revisión que inicia desde las primeras etapas de desarrollo.
