La cantidad de alertas de seguridad que aterrizan en las bandejas de entrada de los desarrolladores puede resultar abrumadora. Esto es algo que muchos han experimentado. Desde GitHub, se ha observado lo desalentador que es clasificar estas alertas de vulnerabilidad. Dependabot es una herramienta eficaz para detectar problemas, pero sin una manera inteligente de priorizarlos, el tiempo puede desperdiciarse en asuntos menores o, en el peor de los casos, ignorar problemas críticos ocultos entre las notificaciones.
Hemos fusionado perspectivas de defensa de la seguridad y flujos de trabajo de los desarrolladores para mostrar cómo utilizamos el Exploit Prediction Scoring System (EPSS) y las propiedades de los repositorios para transformar el caos en claridad, facilitando decisiones de priorización informadas.
En el actual contexto de desarrollo de software, crear aplicaciones ya no se trata solo de escribir código, sino de ensamblarlas a partir de múltiples paquetes de código abierto. Un sorprendente 96% de las aplicaciones modernas depende del software de código abierto, convirtiéndolas en un blanco fácil para los actores maliciosos. Los desarrolladores se enfrentan a innumerables vulnerabilidades reportadas anualmente y es crucial no solo saber cómo abordarlas, sino también priorizarlas inteligentemente según la arquitectura de la aplicación y el contexto del negocio.
En cuanto a la priorización, muchas organizaciones solo confían en las puntuaciones de severidad como las del Common Vulnerability Scoring System (CVSS). Sin embargo, no todas las vulnerabilidades etiquetadas como «críticas» tienen la misma probabilidad de ser explotadas. Aquí es donde entra el EPSS, una herramienta que mide la probabilidad de que una vulnerabilidad sea explotada en el mundo real dentro de un periodo de 30 días. En términos simples, mientras el CVSS indica el daño potencial, el EPSS señala la probabilidad de que alguien intente explotar esa vulnerabilidad.
Para una priorización eficaz, es recomendable combinar las puntuaciones EPSS y CVSS, equilibrando la probabilidad de explotación con el impacto potencial. También es esencial usar las propiedades del repositorio para una priorización contextual, considerando si un repositorio es público o privado, si maneja información sensible y la frecuencia de despliegue. Asimismo, establecer Acuerdos de Nivel de Servicio (SLA) claros basados en niveles de riesgo ayuda a clasificar la urgencia de cada alerta.
Las reglas de auto-clasificación de GitHub permiten gestionar alertas de seguridad mediante la creación de criterios personalizados basados en diversos factores. Esto posibilita manejar alertas a gran escala y enfocar recursos donde realmente se necesitan.
Cuando una organización prioriza correctamente, puede mejorar significativamente su gestión de seguridad. Estudios muestran que concentrarse en solo el 10% de las vulnerabilidades potencialmente explotadas puede cubrir el 87% de ellas, reduciendo los esfuerzos de remediación en un 83%. Este enfoque no solo ahorra tiempo y recursos, sino que también genera una comprensión más clara entre los equipos sobre las decisiones de seguridad, fomentando la confianza y la colaboración.
Para gestionar adecuadamente las alertas, es fundamental activar las actualizaciones de seguridad de Dependabot, establecer reglas de auto-clasificación y definir criterios de priorización claros. Con estos pasos, los equipos pueden no solo reducir la sobrecarga de alertas, sino también asegurar que sus esfuerzos estén dirigidos a proteger el código y, consecuentemente, a sus clientes de manera efectiva.
