En el mundo de la seguridad informática, la colaboración y las herramientas de código abierto son cruciales para proteger el software que utilizamos a diario. El GitHub Security Lab lo sabe bien y, desde su fundación en 2019, ha apostado por la seguridad impulsada por la comunidad. Ahora, dan un paso más allá con la inteligencia artificial.
Taskflow Agent: El Nuevo Framework Open Source
GitHub Security Lab ha lanzado Taskflow Agent, un framework experimental de código abierto diseñado para facilitar la investigación de seguridad. Este framework se basa en la idea de que, al compartir el conocimiento sobre cómo encontrar vulnerabilidades, la comunidad puede eliminar los fallos de software mucho más rápidamente.
¿Qué lo hace especial? La clave está en el uso de la IA para codificar, compartir y escalar el conocimiento de seguridad. Esto permite construir y compartir nuevas herramientas de seguridad de forma más sencilla. Además, Taskflow Agent se integra con herramientas existentes como CodeQL mediante el protocolo Model Context Protocol (MCP).
Primeros Pasos con Taskflow Agent
Si quieres probar Taskflow Agent, aquí tienes los pasos básicos para empezar:
- Crear un token de acceso personal (PAT): Necesitarás un token con permisos para acceder a los modelos de GitHub.
- Añadir secretos a tu Codespace: Guarda tu PAT como un secreto en tu Codespace para mayor seguridad.
- Iniciar un Codespace: Abre un Codespace en el repositorio
GitHubSecurityLab/seclab-taskflows. - Ejecutar un Taskflow: Usa un comando de una línea para ejecutar un análisis de vulnerabilidades.
Por ejemplo, para ejecutar el demo de análisis de variantes, puedes usar este comando:
python -m seclab_taskflow_agent -t seclab_taskflows.taskflows.audit.ghsa_variant_analysis_demo -g repo=github/cmark-gfm -g ghsa=GHSA-c944-cv5f-hpvrEste demo descarga y analiza un aviso de seguridad de un repositorio (en el ejemplo, GHSA-c944-cv5f-hpvr de cmark-gfm), identifica el archivo de código fuente que causó la vulnerabilidad y lo audita en busca de otros errores similares.
Otras Formas de Ejecutar Taskflow Agent
Aunque se recomienda usar un Codespace por su facilidad y seguridad, también puedes ejecutar Taskflow Agent de otras maneras:
- En un terminal Linux: Puedes instalar y ejecutar el demo localmente con unos pocos comandos.
- En Docker: Existe una imagen de Docker con herramientas preinstaladas como CodeQL.
¿Qué es un Taskflow?
Un Taskflow es un archivo YAML que contiene una lista de tareas que el framework debe ejecutar. Piensa en ello como un flujo de trabajo automatizado para analizar vulnerabilidades.
La estructura de un Taskflow es similar a la de un workflow de GitHub Actions: tiene una cabecera y un cuerpo con una serie de tareas. Cada tarea especifica una “personalidad” (como un asistente) y utiliza “toolboxes” para realizar acciones. Por ejemplo, la toolbox gh_file_viewer permite descargar archivos de código fuente de GitHub.
Los Taskflows pueden usar variables globales y comunicarse entre tareas mediante toolboxes, como la toolbox memcache que actúa como un almacén de clave-valor.
Colaboración con la Comunidad
GitHub Security Lab anima a la comunidad a publicar sus propios Taskflows. Para facilitar la colaboración, han creado dos repositorios que se publican como paquetes en PyPI:
- seclab-taskflow-agent: La implementación del framework Taskflow.
- seclab-taskflows: Un conjunto de Taskflows creados por el equipo de GitHub Security Lab.
La idea es separar el “motor” (seclab-taskflow-agent) de los Taskflows que lo utilizan (seclab-taskflows). Esto permite que cualquiera pueda crear su propio paquete de Taskflows y compartirlo con la comunidad.
Un Proyecto con Visión
El objetivo principal de Taskflow Agent es fomentar la seguridad impulsada por la comunidad. GitHub Security Lab quiere que la gente pueda ver cómo funcionan los Taskflows, crear los suyos propios y compartirlos. Además, buscan crear una herramienta que sea fácil de modificar y que les sirva para la experimentación rápida en su trabajo de investigación.
Conclusión
Taskflow Agent es una propuesta interesante para impulsar la seguridad del software mediante la colaboración y la automatización. Si te interesa la seguridad informática y la inteligencia artificial, te animamos a probarlo y a contribuir a la comunidad.
Fuente: GitHub Blog
Leave a Comment