En 2025, GitHub reportó la publicación de 4,101 avisos de seguridad revisados, marcando la cifra más baja desde 2021. Este descenso no refleja necesariamente una disminución en las vulnerabilidades informadas, sino un esfuerzo por parte de GitHub para evitar la revisión de vulnerabilidades más antiguas. Al concentrarse en las vulnerabilidades reportadas solo en el último año, GitHub revisó un 19% más de avisos que en el año anterior.
La reducción en el número total de avisos revisados se debe a que la base de datos de GitHub se está quedando sin vulnerabilidades pendientes de años anteriores, mientras el flujo de nuevos informes se mantiene estable. Desde su lanzamiento en 2019, la GitHub Advisory Database ha sido esencial para los desarrolladores de código abierto, proporcionando un listado exhaustivo de vulnerabilidades y malware que afectan a los paquetes de código abierto.
La categoría de «avisos no revisados» puede llevar a confusión, ya que muchos han sido supervisados por un curador, evaluados y considerados no aplicables a ningún paquete en un ecosistema soportado, lo que significa que nunca llegarán a ser revisados completamente.
En cuanto a las distribuciones por ecosistemas, se observó un aumento en la representación del ecosistema Go, impulsado por campañas para revisar nuevos avisos. Las vulnerabilidades más comunes fueron de tipo «Cross-Site Scripting» (CWE-79), pero también se registró un aumento en agotamiento de recursos y deserialización insegura.
Las alertas de Dependabot han mejorado, lo que ha reducido el número de notificaciones sobre vulnerabilidades antiguas. Esto podría significar que los desarrolladores están recibiendo menos alertas sobre vulnerabilidades no revisadas que afectan a paquetes soportados.
El año 2025 también destacó por un aumento del 69% en advertencias sobre malware en npm, impulsado por campañas de gran envergadura. GitHub ha lanzado alertas de Dependabot para mantener a los usuarios informados sobre versiones maliciosas conocidas de paquetes de npm.
Además, GitHub, como Autoridad de Numeración CVE (CNA), experimentó un aumento del 35% en la publicación de registros CVE respecto al año anterior. Esto se reflejó en un incremento del 20% de nuevas organizaciones que solicitaron identificaciones CVE por medio de su plataforma.
Las estadísticas de 2025 muestran un significativo avance en la seguridad del ecosistema de código abierto, representando un paso adelante en la lucha contra las vulnerabilidades de seguridad para millones de desarrolladores. La colaboración y preocupación por la seguridad continuarán siendo esenciales para enfrentar los desafíos del cambiante panorama tecnológico. Con el incremento en los CVEs y el esfuerzo por gestionar vulnerabilidades, GitHub se posiciona para liderar en la mejora de la seguridad del código abierto en el futuro.
