La base de datos de asesorías de GitHub se ha posicionado como una herramienta vital para los desarrolladores, al ofrecer un detallado inventario de vulnerabilidades de seguridad y malware en paquetes de código abierto. Un análisis reciente sobre las tendencias del Advisory DB para 2024 revela un notable incremento en el número de asesorías revisadas, así como una expansión en la cobertura de ecosistemas y contribuciones de múltiples fuentes.
Las vulnerabilidades dentro de la base de datos se clasifican en tres categorías: asesorías revisadas por GitHub, asesorías no revisadas y asesorías de malware. Las asesorías revisadas verifican vulnerabilidades en paquetes de ecosistemas compatibles. Las no revisadas, extraídas automáticamente de la Base de Datos Nacional de Vulnerabilidades, pueden no tocar paquetes soportados. Las asesorías de malware están enfocadas en amenazas específicas identificadas por el equipo de seguridad de npm.
Desde su lanzamiento, la cantidad de asesorías revisadas ha experimentado un significativo crecimiento, subiendo de menos de 400 en 2019 a más de 20,000 en octubre de 2024. Este aumento se ha logrado gracias a un mayor flujo de asesorías desde diversas fuentes y la ampliación de la cobertura de ecosistemas.
Los ecosistemas de paquetes han mostrado un aumento en vulnerabilidades reportadas. Aunque npm dominaba inicialmente la base de datos, la inclusión de ecosistemas como Maven y Composer ha redistribuido notablemente las advisories, con casi la mitad relacionadas con estos dos en 2024.
El proceso de revisión y publicación de asesorías se nutre de fuentes diversas, incluyendo contribuciones de la comunidad y especializadas como PyPA o Go Vulncheck. Esto ha expandido el panorama de vulnerabilidades disponibles para que los desarrolladores puedan priorizar las más críticas. GitHub ofrece datos de acción, calificaciones de gravedad y un sistema de puntuación de predicción de explotación, facilitando la identificación de vulnerabilidades que requieren atención inmediata.
Además, como Autoridad de Numeración CVE, GitHub otorga identificadores a vulnerabilidades reportadas, garantizando su documentación en la comunidad global de CVE. En 2024, se registraron más de 2,000 identificadores CVE, reafirmando la posición de GitHub como un actor destacado en este ámbito.
La base de datos de asesorías de GitHub no solo actúa como un repositorio de vulnerabilidades, sino que también potencia herramientas como Dependabot, que asiste a los desarrolladores en la gestión de riesgos y el mantenimiento de la seguridad de proyectos de manera eficaz.
