GitHub: Nuestro análisis de dependencia ha encontrado cuatro millones de fallos de seguridad en los repositorios públicos

GitHub dice que su análisis de seguridad de las antiguas vulnerabilidades en JavaScript y las bibliotecas de Ruby ha descubierto más de cuatro millones de errores y provocó una gran limpieza por parte de los propietarios del proyecto.

El hallazgo masivo de errores se alcanzó un mes después del lanzamiento de la iniciativa en noviembre, cuando GitHub comenzó a buscar vulnerabilidades conocidas en ciertas bibliotecas populares de código abierto y notificó a los propietarios del proyecto que deberían usar una versión actualizada.

El escaneo explora automáticamente repositorios públicos en GitHub para bibliotecas vulnerables conocidas en RubyGems para Ruby y npm para JavaScript, por lo que todavía no cubre todas las bibliotecas vulnerables posibles.

Sin embargo, GitHub planea expandir su escaneo a las dependencias de Python a finales de este año. Mientras tanto, los repositorios privados deben optar por las alertas de seguridad.

Como se demostró en la violación masiva de datos de Equifax, las bibliotecas de software de código abierto vulnerables pueden tener serias consecuencias de seguridad.

GitHub dice que encontró más de cuatro millones de vulnerabilidades en más de medio millón de repositorios y emitió alertas de seguridad a cada uno de los administradores de los proyectos en sus gráficos de dependencia y páginas de inicio del repositorio.

GitHub escanea los repositorios públicos cada vez que recibe una notificación de las vulnerabilidades recientemente anunciadas en las dependencias por las que escanea, y luego notifica a los desarrolladores en privado.

El sitio de alojamiento de código dice que para el 1 de diciembre los propietarios del proyecto habían limpiado 450,000 de los cuatro millones de vulnerabilidades encontradas por su escaneo, ya sea actualizando a una versión segura o eliminando la dependencia.

Esa cifra aún deja más de tres millones de vulnerabilidades no arregladas. Sin embargo, GitHub dice que las alertas están impulsando a los desarrolladores a resolver problemas, con alrededor del 30 por ciento de las vulnerabilidades resueltas siete días después de que GitHub envío la alerta de seguridad.

Otro 15 por ciento de las alertas se descartan, mientras que el 55 por ciento restante de las alertas corresponden a errores en repositorios que no han cambiado en los últimos 90 días.