CISO de GitHub , analiza cómo GitHub integra seguridad en cada aspecto de su plataforma para proteger a millones de desarrolladores y repositorios, garantizando que siga siendo una plataforma confiable para crear software seguro.
GitHub desempeña un papel central en el ecosistema de desarrollo de software. ¿Cómo se aborda la seguridad a escala de millones de usuarios y repositorios?
La seguridad está integrada en todo lo que hacemos en GitHub, desde garantizar la salud y la seguridad de nuestra plataforma y nuestro negocio hasta nuestra comunidad en general. Sabiendo que la seguridad del software comienza con el desarrollador, hemos implementado la autenticación de dos factores para todos los usuarios que contribuyen con código en GitHub como parte de un esfuerzo en toda la plataforma para proteger el ecosistema de software mediante la mejora de la seguridad de las cuentas.
A través de GitHub Advanced Security, GitHub ofrece a nuestros clientes funciones de análisis estático, escaneo de secretos y análisis de composición de software impulsadas por IA, lo que garantiza que los equipos que desarrollan en GitHub puedan ayudar a entregar software seguro desde el principio. También ofrecemos estas herramientas de forma gratuita para los encargados del mantenimiento de código abierto , ya que las vulnerabilidades en el código abierto pueden tener un efecto dominó global en los millones de personas y servicios que dependen de él.
En definitiva, es fundamental que GitHub siga siendo la plataforma más fiable para que los desarrolladores creen y estamos muy comprometidos a garantizar que siga siendo así. Contamos con equipos dedicados a detectar, analizar y eliminar contenido y cuentas que infrinjan nuestras políticas sobre el uso malintencionado de la plataforma.
¿Cómo se garantiza la alineación entre la hoja de ruta del producto de GitHub y los objetivos de seguridad?
En GitHub, priorizamos la seguridad en todo lo que hacemos. Trabajamos en estrecha colaboración con nuestros equipos de ingeniería y productos para garantizar que la seguridad esté integrada en todo el proceso de desarrollo, desde el diseño hasta la implementación. Nuestra filosofía de seguridad por diseño significa que la seguridad no es una idea de último momento, sino una parte fundamental de nuestra hoja de ruta de productos. Entendemos que nuestros clientes y la comunidad de código abierto confían en nosotros para brindar una plataforma segura, y nos tomamos esa responsabilidad en serio. Al asociarnos con nuestros equipos y tener la seguridad como prioridad, nos aseguramos de que nuestra hoja de ruta de productos se alinee con nuestros objetivos de seguridad y satisfaga las necesidades de nuestros clientes.
¿Cómo colabora GitHub con la comunidad de código abierto para mejorar la seguridad del software?
Gran parte del mundo funciona con software de código abierto, y protegerlo requiere un esfuerzo comunitario entre organizaciones del sector público y privado en apoyo y en colaboración con la comunidad de código abierto, muchas de las cuales a menudo son voluntarios.
GitHub tiene un papel fundamental dentro del ecosistema de código abierto y desde hace mucho tiempo invierte en programación, herramientas, capacitación e infraestructura que impulsan a la comunidad de código abierto . Por ejemplo, GitHub es miembro fundador de la Open Source Security Foundation, el GitHub Security Lab comparte regularmente investigaciones sobre vulnerabilidades de código abierto con más de 700 CVE acreditados a nuestros investigadores, y la GitHub Advisory Database ofrece una herramienta gratuita y abierta para que la comunidad aprenda y contribuya con información sobre vulnerabilidades de seguridad que afectan al software de código abierto.
Más recientemente, también presentamos el Fondo de Código Abierto Seguro de GitHub , un programa diseñado para mejorar financiera y programáticamente la seguridad y la sostenibilidad de los proyectos de código abierto. Lanzado con una suma inicial de $1,25 millones con socios como American Express, 1Password, Stripe y otros, el fondo ofrece apoyo financiero además de un programa de tutoría de tres semanas, lo que permite a los encargados del mantenimiento mejorar la seguridad de sus proyectos y fomentar un ecosistema de código abierto más resistente.
¿Cómo se garantiza la transparencia y la confianza al gestionar las vulnerabilidades reportadas en GitHub?
Cada vez más, las organizaciones se inclinan por la transparencia como un medio para fortalecer la confianza en torno a su negocio, y esto no es diferente en GitHub. Interactuamos regularmente con la comunidad de investigación de seguridad a través de nuestro programa de recompensas por errores, investigando los problemas informados para asegurarnos de seguir mejorando la seguridad de GitHub y nuestros productos. GitHub también sigue siendo un emisor independiente de CVE y publicamos periódicamente CVE para vulnerabilidades que afectan a nuestra plataforma para garantizar que los clientes sigan aprovechando las versiones seguras de las funciones a medida que las lanzamos.
Los clientes también pueden obtener más información sobre cómo construimos nuestros productos de manera responsable a través del Centro de confianza de GitHub.
¿Cuáles son sus principales prioridades para la estrategia de seguridad de GitHub en los próximos 12 a 18 meses?
La seguridad es algo que nunca se da por hecho: mantener la confianza de nuestros clientes sigue siendo una prioridad máxima y nuestro equipo está muy comprometido tanto con la seguridad de la plataforma como con ayudar a los desarrolladores a crear software seguro. Esto incluye mejoras continuas para garantizar que nuestra plataforma siga estando disponible, accesible y segura, además de seguir mostrando innovaciones como Copilot Autofix que ayudan a los equipos de desarrolladores y seguridad a priorizar y orquestar la corrección de vulnerabilidades a una escala sin precedentes.
A medida que continuamos brindando más experiencias nativas de IA en la plataforma, nuestro enfoque sigue siendo garantizar que los principios de seguridad por diseño y seguridad predeterminada estén integrados en cada producto para que los clientes puedan usar GitHub con confianza de una manera que minimice su riesgo de seguridad.
Fuente y redacción: helpnetsecurity.com
