El equipo de ingeniería de seguridad de productos de GitHub ha desarrollado un conjunto robusto de herramientas y prácticas para asegurar la protección del código de su plataforma. En el centro de esta estrategia se encuentra GitHub Advanced Security (GHAS), el cual permite identificar y solucionar vulnerabilidades de manera eficaz, además de imponer estándares de codificación segura a gran escala en la organización. Un componente esencial de este enfoque es CodeQL, el motor de análisis estático de GitHub que automatiza las evaluaciones de seguridad, manejando el código como si fuera una base de datos.
CodeQL posibilita un análisis sofisticado en comparación con las tradicionales búsquedas de texto, ayudando a detectar problemas que habitualmente pasan desapercibidos. Un reciente artículo del equipo detalla el uso de CodeQL e imparte lecciones aplicables a otras organizaciones, abarcando la gestión de paquetes de consultas personalizadas, el desarrollo de estas consultas y el análisis de variantes para identificar prácticas de programación inseguras.
En GitHub, CodeQL se integra en distintas configuraciones. Para la mayoría de los más de 10,000 repositorios, se utiliza una configuración automática que evalúa la seguridad de las solicitudes de cambios (pull requests). Sin embargo, algunos repositorios como el monolito de Ruby requieren un enfoque más especializado mediante consultas personalizadas. Además, se realiza un análisis de variantes entre múltiples repositorios, facilitando auditorías rápidas y detectando patrones específicos.
La evolución de la gestión de consultas CodeQL en GitHub ha optimizado el flujo de trabajo. Anteriormente, las consultas se publicaban directamente en el repositorio principal, complicando el proceso. Ahora, se publican como paquetes en el GitHub Container Registry (GCR), mejorando la eficiencia y eliminando problemas anteriormente experimentados, como despliegues y pruebas confusas.
Al crear estos paquetes de consultas, se consideran aspectos clave como la gestión de dependencias, incluyendo el paquete ruby-all. GitHub ha aprendido que expandir las clases de la biblioteca de consultas predeterminadas mejora las funcionalidades existentes, generando consultas más concisas y fáciles de mantener. Esto se apoya en un sistema de pruebas unitarias que verifica las consultas antes de su publicación, minimizando errores.
El proceso de publicación y actualización de consultas ahora está optimizado para equilibrar la experiencia del equipo con la estabilidad del paquete. Un flujo de trabajo bien definido permite al equipo solicitar cambios para nuevas consultas, realizar pruebas unitarias y publicar actualizaciones en el GCR con mayor eficiencia.
Las consultas personalizadas cubren patrones específicos de GitHub que no están en el paquete predeterminado, desde la identificación de API de alto riesgo hasta la verificación de métodos de autorización en las API REST. También sirven con fines educativos, proporcionando alertas a los ingenieros sin bloquear cambios.
Finalmente, la capacidad de GitHub para realizar análisis de variantes con CodeQL destaca su compromiso con la seguridad proactiva, permitiendo identificar potenciales vulnerabilidades y patrones de código inseguros para su análisis por ingenieros de seguridad. Así, CodeQL se consolida como un recurso crucial que no solo detecta vulnerabilidades, sino que también facilita un proceso integral de revisión de seguridad desde las primeras etapas del desarrollo.
