En los últimos meses, el Laboratorio de Seguridad de GitHub ha lanzado con éxito el «Agente de Tarea de Seguridad», un innovador conjunto de flujos de tareas de auditoría diseñados para detectar vulnerabilidades de seguridad en aplicaciones web. Esta tecnología ha demostrado ser extremadamente efectiva, identificando varias vulnerabilidades críticas en proyectos de código abierto.

Para los investigadores de seguridad, este avance significa una optimización del tiempo, permitiéndoles centrarse en la verificación manual y preparación de informes. El grado de severidad de las vulnerabilidades identificadas ha sido significativo, con muchas relacionadas con problemas de autorización y divulgación de información, que pueden permitir accesos no autorizados a datos privados.

Hasta ahora, se han reportado más de 80 vulnerabilidades, con alrededor de 20 ya divulgadas oficialmente. La actualización constante de estas divulgaciones se gestiona a través de una página de asesorías, manteniendo informada a la comunidad. Entre los hallazgos se encuentran accesos a información personal en carritos de compra y fallos de autenticación en aplicaciones de chat.

El marco creado por GitHub, al ser de código abierto, fomenta el intercambio de conocimiento dentro de la comunidad de seguridad. Esto permite que más equipos adopten y contribuyan al desarrollo de estos flujos de trabajo, acelerando la identificación y resolución de vulnerabilidades de manera colaborativa.

Los flujos de tareas, definidos en archivos YAML, proponen un diseño pensado para reducir los falsos positivos. Comienzan con un modelado de amenazas, sugieren posibles vulnerabilidades y concluyen con una auditoría profunda de los problemas identificados. Este enfoque no solo mejora la detección de amenazas, sino que también optimiza todo el proceso de auditoría, reduciendo errores.

Con esta tecnología, el Laboratorio de Seguridad de GitHub busca fortalecer la seguridad del software de código abierto, ofreciendo un entorno más seguro para desarrolladores y usuarios.