La creciente cantidad de alertas de seguridad que inundan las bandejas de entrada de muchos desarrolladores se ha convertido en un desafío significativo en el desarrollo de software. En GitHub, se reconoce que, aunque herramientas como Dependabot son eficaces para detectar problemas, la falta de un sistema de priorización claro puede llevar a perder tiempo en asuntos menores o, incluso peor, a pasar por alto vulnerabilidades críticas entre el aluvión de notificaciones.
En la actualidad, el desarrollo de software no se limita solo a escribir código. Las aplicaciones modernas dependen en un 96% de software de código abierto, lo que las hace vulnerables a ataques maliciosos. Por ello, no solo es necesario abordar las vulnerabilidades, sino también priorizarlas de manera eficaz considerando la arquitectura de la aplicación y el contexto del negocio.
Tradicionalmente, muchas organizaciones han basado su priorización en las puntuaciones de severidad del Common Vulnerability Scoring System (CVSS). Sin embargo, estas puntuaciones no siempre reflejan el riesgo real de explotación. Aquí es donde el Exploit Prediction Scoring System (EPSS) se convierte en una herramienta clave, al medir la probabilidad de que una vulnerabilidad sea explotada en el mundo real en un plazo de 30 días. Mientras el CVSS evalúa la gravedad del daño potencial, el EPSS indica la probabilidad de intento de explotación.
Para optimizar la priorización, se recomienda combinar las puntuaciones del EPSS y CVSS. Además, se pueden aprovechar las características del repositorio, como si es público o privado o si maneja información sensible, para una priorización más contextual. Establecer Acuerdos de Nivel de Servicio (SLA) claros basados en niveles de riesgo puede ayudar a determinar la urgencia de cada alerta.
GitHub ofrece reglas de auto-clasificación que simplifican la gestión de alertas de seguridad, permitiendo crear criterios personalizados. Esto posibilita dirigir recursos a donde realmente son necesarios, mejorando así la gestión de seguridad. De hecho, centrar esfuerzos en el 10% de las vulnerabilidades más críticas puede alcanzar una cobertura del 87%, reduciendo los esfuerzos de remediación en un 83%.
Para manejar adecuadamente las alertas, se recomienda activar las actualizaciones de seguridad de Dependabot, establecer reglas de auto-clasificación y definir criterios claros de priorización. Estos pasos no solo reducen la carga de alertas, sino que también aseguran que los esfuerzos estén centrados en mantener el código seguro y proteger a los clientes de manera efectiva.
