En 2025, GitHub reportó la publicación de 4,101 avisos de seguridad revisados, la cifra más baja desde 2021. Este descenso no necesariamente implica una disminución en la cantidad de vulnerabilidades reportadas, sino que se debe principalmente a un notable esfuerzo por parte de GitHub para evitar la revisión de vulnerabilidades más antiguas. Al examinar solo las vulnerabilidades reportadas en el último año, se observa que GitHub en realidad revisó un 19% más de avisos en comparación con el año anterior.
La reducción en el número de avisos revisados se debe a que la base de datos de avisos de GitHub se está quedando sin vulnerabilidades no revisadas de años anteriores, mientras que el flujo de nuevas vulnerabilidades se mantiene constante. La GitHub Advisory Database, lanzada en 2019, se ha convertido en un recurso crucial para los desarrolladores de código abierto al ofrecer un listado exhaustivo de las vulnerabilidades y malware conocidos que afectan los paquetes de código abierto.
Es importante destacar que la categoría de «avisos no revisados» puede ser engañosa; muchos de estos avisos ya han sido revisados por un curador y considerados como no aplicables a ningún paquete en un ecosistema soportado, lo que significa que nunca serán completamente revisados.
En 2025, la distribución de vulnerabilidades entre diferentes ecosistemas se mantuvo en gran medida constante, con un notable aumento en la representación del ecosistema Go, gracias a campañas específicas para revisar posibles avisos no identificados anteriormente. Se observó que la clase de vulnerabilidades más típica fue la de «Cross-Site Scripting» (CWE-79), pero también se registró un aumento en los avisos de agotamiento de recursos y deserialización insegura.
Las alertas de Dependabot han estado mejorando, lo que se traduce en una reducción en el número de notificaciones sobre vulnerabilidades antiguas. Puede que los desarrolladores estén recibiendo menos alertas sobre vulnerabilidades no revisadas que afectan a paquetes soportados.
Además, el año 2025 también fue significativo para las advertencias sobre malware en npm, con un impresionante incremento del 69% en comparación con 2024, debido a campañas de malware de gran envergadura. GitHub ha introducido alertas de Dependabot que ayudan a los usuarios a estar al tanto de las versiones maliciosas conocidas de paquetes de npm.
Por otro lado, GitHub, como Autoridad de Numeración CVE (CNA), también experimentó un aumento considerable en la publicación de registros CVE, superando en un 35% los registros del año anterior. Este crecimiento se reflejó en un aumento del 20% en nuevas organizaciones que solicitaron identificaciones CVE a través de su plataforma.
Las estadísticas de 2025 indican un crecimiento significativo en la mejora de la seguridad en el ecosistema del código abierto, lo que representa un avance real para millones de desarrolladores en la lucha contra las vulnerabilidades de seguridad. La preocupación por la seguridad y la colaboración entre organizaciones seguirán siendo vitales para enfrentar los desafíos que surgen en el cambiante panorama de la tecnología. Con el aumento de la cantidad de CVEs y el esfuerzo por clasificar y gestionar vulnerabilidades, GitHub se posiciona para liderar en la mejora de la seguridad en el código abierto de cara al futuro.
vía: GitHub Security
