La sobresaturación de alertas de seguridad en las bandejas de entrada de los desarrolladores de software es un problema creciente en la industria. En GitHub, hemos observado el desafío que representa clasificar estas alertas de vulnerabilidad. Aunque Dependabot es efectivo para detectarlas, sin un sistema de priorización adecuado, se corre el riesgo de invertir tiempo en problemas menores y dejar de lado cuestiones críticas.
Al integrar el Exploit Prediction Scoring System (EPSS) y las propiedades de los repositorios, hemos logrado convertir el caos en claridad, facilitando decisiones informadas para la priorización de alertas. La dependencia del software de código abierto, utilizada en un 96% de las aplicaciones modernas, aumenta la vulnerabilidad frente a posibles ataques, lo que hace esencial una gestión eficiente de las vulnerabilidades reportadas anualmente.
Tradicionalmente, las organizaciones han confiado en los puntajes de severidad del Common Vulnerability Scoring System (CVSS). Sin embargo, el EPSS ofrece un enfoque más práctico al medir la probabilidad real de explotación de una vulnerabilidad en un plazo de 30 días. Mientras que el CVSS evalúa el daño potencial, el EPSS destaca la probabilidad de un intento de explotación.
Para optimizar la priorización, se recomienda combinar las puntuaciones EPSS y CVSS, equilibrando probabilidad e impacto potencial. Además, las propiedades del repositorio, como su carácter público o privado y su frecuencia de despliegue, permiten un enfoque contextual. Establecer Acuerdos de Nivel de Servicio (SLA) en función del riesgo añade una capa adicional de control sobre la urgencia de las alertas.
GitHub facilita la gestión de alertas a gran escala mediante reglas de auto-clasificación personalizables basadas en diversos criterios. Este enfoque permite enfocar los recursos en las vulnerabilidades más relevantes, optimizando esfuerzos y recursos.
Cuando las organizaciones logran priorizar eficazmente, pueden reducir los esfuerzos de remediación en un 83%, cubriendo el 87% de las potenciales vulnerabilidades explotadas al concentrarse solo en el 10% de ellas. Esto mejora la eficiencia y la coordinación entre los equipos, fortaleciendo la comprensión de las decisiones de seguridad.
Para enfrentar este desafío, es esencial activar las actualizaciones de seguridad de Dependabot, establecer reglas de auto-clasificación y criterios de priorización claros. Así, los equipos no solo disminuyen la sobrecarga de alertas, sino que también protegen de manera eficaz el código y a sus clientes.
