Desde su creación en 2019, GitHub Security Lab ha centrado sus esfuerzos en fomentar la seguridad digital mediante la colaboración comunitaria. A lo largo de seis años, esta iniciativa ha defendido la filosofía de que la mejor manera de mejorar la seguridad del software es a través del intercambio de conocimientos y el uso de software de código abierto, permitiendo a todos auditar el código y reportar cualquier vulnerabilidad identificada.
Hoy, gracias a los avances en inteligencia artificial, se presenta una nueva oportunidad para llevar la seguridad comunitaria a un nivel superior. El uso del lenguaje natural para codificar y compartir conocimientos de seguridad se está convirtiendo en un facilitador clave para la creación y diseminación de nuevas herramientas de seguridad. A través del Protocolo de Contexto de Modelo (MCP), existe la capacidad de aprovechar y potenciar herramientas de seguridad existentes, como CodeQL.
La colaboración de la comunidad puede acelerar significativamente la detección y eliminación de vulnerabilidades al permitir que más personas compartan sus metodologías para identificarlas. Con este propósito, el equipo de GitHub ha lanzado un marco experimental llamado GitHub Security Lab Taskflow Agent. Después de pruebas internas, este marco ahora está disponible para los participantes del GitHub Secure Open Source Fund.
El uso del seclab-taskflow-agent es sencillo y se efectúa en pocos pasos: crear un token de acceso personal, añadir secretos de codespace, iniciar un codespace y ejecutar una tarea con un único comando. Sin embargo, es importante considerar que el uso de esta demo podría consumir parte del token de cuota, lo que puede llevar a alcanzar límites, especialmente para quienes tienen una cuenta gratuita de GitHub.
El proceso inicia en la página de configuración de desarrolladores de GitHub. Aquí, se crea un token de acceso personal al que se le otorgan permisos específicos. Este token se guarda como un «secreto de codespace» para garantizar su disponibilidad como variable de entorno al iniciar el mismo. Con el codespace en funcionamiento, los usuarios podrán ejecutar un análisis con un simple comando en el terminal, permitiéndoles auditar archivos de código en busca de vulnerabilidades.
Para aquellos que prefieren otros métodos, es posible ejecutar el marco en un terminal de Linux o mediante Docker, según las instrucciones específicas de cada uno. Los taskflows, estructurados en archivos YAML con una lista de tareas, son esenciales en este proceso, ya que configuran el flujo de trabajo que se seguirá.
El modelo de colaboración está diseñado para que cualquier miembro de la comunidad publique su propia colección de taskflows, promoviendo así la creación compartida de herramientas. GitHub apoya esta iniciativa publicando sus repositorios como paquetes en el ecosistema de Python, separando la infraestructura de las suites de taskflows que la utilizan.
El objetivo de este proyecto es fomentar la seguridad impulsada por la comunidad y crear herramientas que su equipo pueda utilizar en investigaciones. Al compartir conocimientos sobre la identificación de vulnerabilidades, se espera eliminar estas amenazas de manera más rápida y efectiva. Los taskflows prometen ser una herramienta clave para alcanzar este objetivo.
