Asegura tus flujos de trabajo en GitHub Actions con CodeQL para mayor seguridad

En los últimos meses, un significativo avance en la seguridad de los proyectos de código abierto ha tenido lugar gracias a la identificación de más de 90 vulnerabilidades en flujos de trabajo de GitHub Actions. Estos hallazgos provienen de un exhaustivo esfuerzo de investigación que ha posibilitado el desarrollo de un nuevo soporte dentro de CodeQL. Este soporte promete proteger de manera más efectiva los proyectos de los desarrolladores, facilitando la identificación y corrección de vulnerabilidades en flujos de trabajo.

Los expertos han estado publicando una serie de artículos dirigidos a mantener seguros los flujos de trabajo de GitHub Actions. A pesar de estas iniciativas, la prevalencia de vulnerabilidades sigue siendo alta debido a la falta de conciencia sobre el impacto potencial que las interacciones inseguras entre componentes pueden tener sobre un proyecto o una organización.

Para abordar esta situación, se ha implementado un soporte de CodeQL específicamente para flujos de trabajo de GitHub Actions. Este recurso permite escanear tanto flujos de trabajo existentes como nuevos, y, además, proporciona escaneo de código y Copilot Autofix de manera gratuita para los repositorios de código abierto en GitHub. De esta forma, se garantiza el acceso de todos los repositorios públicos a estas valiosas consultas, contribuyendo significativamente a la detección y remediación de vulnerabilidades.

Este avance incluye nuevas capacidades, como el seguimiento de contaminación y soporte para scripts de bash. Estas adiciones son cruciales para identificar y mitigar patrones complejos de vulnerabilidad y fuentes de datos no confiables. El seguimiento de contaminación, por ejemplo, ayuda a detectar situaciones en las que un script podría ser víctima de inyecciones de código debido a datos no confiables.

Los scripts de Bash, debido a su prevalencia en flujos de trabajo de GitHub, han sido objeto de inclusión prioritaria en las nuevas consultas de CodeQL. El análisis minucioso de cómo los datos contaminados fluyen a través de estos scripts es esencial para prevenir potenciales vulnerabilidades.

Además de estos esfuerzos, el análisis detallado de acciones de terceros ha permitido identificar miles de recipientes vulnerables, con la creación de 18 nuevas consultas diseñadas para ir más allá de las simples inyecciones de código, considerando también riesgos como la exposición excesiva de secretos o la inyección de variables de entorno.

Las pruebas realizadas en numerosos proyectos de código abierto han confirmado la eficacia y precisión de estas consultas. Esto ha permitido remediar vulnerabilidades en organizaciones de alto perfil, incluyendo a Microsoft, GitHub, Adobe y Apache.

Con estas herramientas y técnicas de vanguardia, la comunidad de desarrollo tiene ahora una potente arma para fortalecer la seguridad de sus flujos de trabajo en GitHub, contribuyendo así a prevenir ataques en la cadena de suministro de software de código abierto. Los desarrolladores interesados pueden comenzar a habilitar este análisis en sus configuraciones para disfrutar de estas innovadoras capacidades de protección.