La cantidad de alertas de seguridad que llegan a la bandeja de entrada de un desarrollador puede ser abrumadora. En GitHub, han observado cómo estas alertas de vulnerabilidad pueden resultar desalentadoras. Aunque Dependabot es eficaz para detectar problemas, sin una priorización inteligente, se corre el riesgo de perder tiempo en asuntos menores o pasar por alto problemas críticos que se ocultan entre tantas notificaciones.
Para abordar este desafío, se ha combinado la experiencia en seguridad con el flujo de trabajo del desarrollador. Se utiliza el Exploit Prediction Scoring System (EPSS) junto a las propiedades de los repositorios para transformar el caos en claridad y facilitar decisiones de priorización informadas. En el actual contexto de desarrollo de software, donde el 96% de las aplicaciones modernas depende de software de código abierto, es esencial manejar las vulnerabilidades de manera eficaz y priorizarlas adecuadamente según la arquitectura y el contexto del negocio.
Muchas organizaciones dependen de las puntuaciones de severidad del Common Vulnerability Scoring System (CVSS), pero el EPSS ofrece una perspectiva diferente al medir la probabilidad de que una vulnerabilidad sea efectivamente explotada en un periodo de 30 días. Mientras el CVSS indica la gravedad potencial del daño, el EPSS muestra la probabilidad de que alguien intente aprovechar la vulnerabilidad.
Para una priorización eficaz, se recomienda combinar las puntuaciones EPSS y CVSS, equilibrando la probabilidad de explotación con el impacto potencial. Además, se deben considerar las propiedades del repositorio, como su carácter público o privado, la manipulación de información sensible y la frecuencia de despliegue. Establecer Acuerdos de Nivel de Servicio (SLA) claros según los niveles de riesgo también ayuda a clasificar la urgencia de cada alerta.
La auto-clasificación de alertas en GitHub permite crear criterios personalizados para gestionar las alertas a gran escala, enfocando recursos donde realmente son necesarios. Una correcta priorización puede dar lugar a mejoras significativas en la gestión de la seguridad, ya que concentrarse en solo el 10% de las vulnerabilidades potencialmente explotadas podría resultar en una cobertura del 87%, reduciendo los esfuerzos de remediación en un 83%. Este enfoque no solo ahorra tiempo y recursos, sino que también mejora la comprensión entre los equipos, fomentando la confianza y la colaboración.
Para gestionar adecuadamente las alertas, es fundamental activar las actualizaciones de seguridad de Dependabot, establecer reglas de auto-clasificación y definir criterios de priorización claros. Con estos pasos, los equipos pueden reducir la sobrecarga de alertas y asegurar que sus esfuerzos estén dirigidos a mantener el código seguro y proteger eficazmente a sus clientes.
