GitHub lanza un análisis de las relaciones entre desarrolladores e investigadores de seguridad

Las relaciones entre desarrolladores e investigadores de seguridad son fundamentales, pero no es ningún secreto que a menudo son complicadas.

GitHub anunció por primera vez que estaba expandiendo su investigación para comprender mejor la relación entre los desarrolladores y las comunidades de investigación de seguridad en diciembre de 2020. La compañía ahora ha publicado su primer análisis basado en los hallazgos iniciales.

Para su análisis de debut, Github se centró en el proceso de divulgación de vulnerabilidades, del cual actualmente no existe un estándar para toda la industria. GitHub señala cómo entidades como Project Zero de Google, GitHub Security Lab, Snyk, HackerOne y VuSec tienen su propio proceso de divulgación único. GitHub cree que una mayor comprensión de la relación entre las partes interesadas podría disminuir el impacto de esta falta de uniformidad de procesos.

Antes de profundizar en los hallazgos, vale la pena señalar que GitHub deja en claro que este informe proviene principalmente de la perspectiva de los mantenedores. La compañía dice que planea incluir más información desde la perspectiva de los investigadores de seguridad a finales de este año.

En general, los mantenedores que participaron en la encuesta (realizada a través de sesiones de entrevistas remotas entre noviembre de 2020 y marzo de 2022) tuvieron poco o ningún compromiso con la comunidad de investigación de seguridad más allá del proceso de divulgación de vulnerabilidades.

Para aumentar la participación, parece que la comunidad de investigación de seguridad tiene trabajo que hacer. Muchos mantenedores informaron que no encuentran la comunidad de investigación de seguridad particularmente acogedora. Sin embargo, los mantenedores todavía están abiertos a aprender algunos conocimientos básicos de investigación de seguridad.

“Todo el mundo tiene diferentes prioridades … crea conflicto. Si todos comprenden las prioridades de los demás, (entonces) normalmente se pueden tomar decisiones y comprender las compensaciones ", explicó un mantenedor. "Todos están al menos menos descontentos con el resultado".

“La seguridad no funciona a menos que todos estén a bordo (y) alineados con esas prioridades. Todos los involucrados deben comprender que la seguridad es importante ".

Es comprensible que los mantenedores sientan una variedad de emociones cuando se informa de una vulnerabilidad, incluida la ansiedad y el estrés.

“Mi respuesta emocional inicial es 'Oh no, ¿qué tan mal está ahora?' Nunca es divertido estar en el lado receptor. Depende de la gravedad del impacto ”, dijo otro mantenedor. “¿Debo dejar mi trabajo profesional para arreglarlo? Si (es) lo suficientemente crítico, a veces hago eso ".

Los mantenedores aprecian la retroalimentación constructiva a través de canales privados. Por lo general, no esperan consejos de remediación, pero los aprecian cuando se los ofrecen. Si la retroalimentación es negativa o un ataque personal, los mantenedores tienden a ignorarla.

Los participantes a menudo se sentían capaces de abordar las vulnerabilidades con la ventana común de corrección de divulgación coordinada de 90 días.

(Foto de Bernard Hermant en Unsplash)

¿Quiere aprender sobre DevOps de parte de los líderes en el espacio? Consulte la Cumbre DevOps-as-a-Service, que tendrá lugar el 1 de febrero de 2022, donde los asistentes conocerán los beneficios de crear colaboración y asociaciones en la entrega.
Etiquetas: análisis, ciberseguridad, Desarrolladores, divulgación, destacado, github, piratería, infosec, investigación, investigadores, seguridad, vulnerabilidad