En los últimos meses, se ha llevado a cabo un importante esfuerzo de investigación que ha permitido asegurar más de 75 flujos de trabajo de GitHub Actions en proyectos de código abierto, revelando más de 90 vulnerabilidades distintas. Este meticuloso trabajo ha culminado en la implementación de un nuevo soporte para flujos de trabajo en CodeQL, una herramienta que permitirá a los desarrolladores mejorar la protección de sus proyectos.
A través de una serie de artículos dedicados a la seguridad de los flujos de trabajo de GitHub Actions, se han explorado las vulnerabilidades más comunes y se han planteado estrategias para su resolución. Sin embargo, pese a estas advertencias, los problemas de seguridad persisten. La mayoría de las vulnerabilidades se originan en la falta de comprensión acerca de cómo interactúan diversos componentes, así como el impacto potencial en las organizaciones o repositorios afectados.
Para combatir la introducción de vulnerabilidades y facilitar la identificación y corrección de las ya existentes, se ha incorporado soporte de CodeQL específicamente para GitHub Actions. Este novedoso paquete permite escanear tanto flujos de trabajo nuevos como existentes. Resulta especialmente beneficioso que esta herramienta, junto con Copilot Autofix, sea gratuita para los repositorios de código abierto, brindando a todos los repositorios públicos de GitHub acceso a estas avanzadas consultas de seguridad.
En este contexto, se han añadido nuevas funciones a CodeQL, tales como el seguimiento de contaminación (taint tracking) y soporte específico para scripts de Bash. Esto permite detectar patrones complejos de vulnerabilidad y localizar fuentes de datos no confiables. Por ejemplo, el seguimiento de contaminación es esencial para identificar situaciones donde datos no confiables se insertan en scripts, lo que puede derivar en inyecciones de código.
Los scripts de Bash, que son predominantemente comunes en los flujos de trabajo de GitHub, ahora están más seguros gracias a las nuevas capacidades de CodeQL. La identificación de datos potencialmente dañinos y su flujo a través de scripts es fundamental para evitar vulnerabilidades críticas.
A través del análisis exhaustivo de acciones de terceros, se han identificado 62 fuentes, 129 resúmenes y 2199 recipientes de posibles vulnerabilidades. En consecuencia, se han desarrollado 18 nuevas consultas que van más allá de las preocupaciones sobre inyecciones de código, abordando también problemas como la exposición excesiva de secretos y la inyección de variables de entorno.
Recientemente, miles de proyectos de código abierto han sido sometidos a pruebas para validar la eficacia y el rendimiento de estas nuevas consultas. Los resultados han sido positivos, permitiendo identificar y reportar vulnerabilidades en organizaciones clave como Microsoft, GitHub, Adobe y Apache.
Con estas innovadoras herramientas y técnicas, se espera que los desarrolladores puedan mejorar la protección de sus flujos de trabajo en GitHub, reduciendo así el riesgo de ataques en la cadena de suministro del software de código abierto. Los repositorios que deseen beneficiarse de estas funcionalidades de seguridad mejoradas pueden activar el análisis de acciones en sus configuraciones para comenzar a utilizar estas valiosas capacidades.
