GitHub meldet 4 Millionen Anfälligkeiten in Open-Source-Software

Die Zahl bezieht sich nur auf die Programmiersprachen JavaScript und Ruby. GitHub findet die Bugs bei der Suche nach wiederverwendetem Code in Open-Source-Repositories. Fast die Hälfte der Fehlermeldungen wird innerhalb einer Woche bearbeitet.

GitHub hat bei einer Prüfung von mehr als 500.000 auf seiner Platform gehosteten Software-Projekten mehr als 4 Millionen Anfälligkeiten gefunden. Die im November 2017 eingeleitete Prüfung umfasst bisher allerdings nur die Programmiersprachen JavaScript und Ruby – Python soll in Kürze folgen. Zudem handelt es sich ausschließlich um bereits bekannte und eigentlich gepatchte Fehler.

GitHub (Bild: GitHub)Die hohe Zahl der Anfälligkeiten ergibt sich aus der Tatsache, dass viele Open-Source-Projekte auf vorhandenen Code oder Bibliotheken zurückgreifen, ohne jedoch die Veränderungen dieser Quellen nachzuverfolgen. „Das immer mehr Entwickler vorhandenen Code übernehmen, um neue Tools zu entwickeln, macht die Verfolgung von Abhängigkeiten wie Sicherheitslücken immer schwieriger“, heißt es in einem Blogeintrag von GitHub.

Die im Vorfeld angekündigte Aktion trägt aber offenbar bereits Früchte. „Bis zum 1. Dezember wurden mehr als 450.000 gefundene Anfälligkeiten beseitigt, indem die Eigentümer die Abhängigkeiten entfernten oder auf eine sichere Version umstiegen“, ergänzte GitHub.

Inzwischen würden 30 Prozent der Fehler innerhalb der ersten sieben Tage nach ihrer Entdeckung behoben. Weitere 15 Prozent würden im selben Zeitraum verworfen. „Das bedeutet, dass fasst die Hälfte aller Meldung innerhalb einer Woche bearbeitet werden.“ Die Mehrheit der offenen oder nicht bearbeiteten Meldungen beziehe sich auf Projekte, zu denen seit mindestens 90 Tagen keine Beiträge veröffentlicht worden seien.

„Sicherheitswarnungen öffnen die Türe zu neuen Möglichkeiten, die Code-Kontrolle und –Generierung zu verbessern, indem öffentlich verfügbare Daten mit den einmaligen Daten von GitHub kombiniert werden“, erklärte GitHub. Zudem seien weitere Funktionen geplant, um Entwicklern zu helfen, ihren Code sicherer zu machen.

Tim Mackey, Technology Evangelist beim Sicherheitsanbieter Black Duck by Synopsys, lobte die Sicherheitsinitiative von GitHub. „Open Source ist allgegenwärtig und spielt eine zunehmend entscheidende Rolle im Software-Ökosystem. Also sollten alle Maßnahmen, die die Open-Source-Sicherheit stärken, begrüßt werden.“

ANZEIGE

So lassen sich Risiken bei der Planung eines SAP S/4HANA-Projektes vermeiden

Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.

Themenseiten: Anwendungsentwicklung, GitHub, Security, Sicherheit, Software

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

1 Kommentar zu GitHub meldet 4 Millionen Anfälligkeiten in Open-Source-Software

Kommentar hinzufügen
  • Am 27. März 2018 um 18:11 von Andreas

    Eine klare Aussage für Quelloffene Software. Hier zeigt sich, daß eine mögliche Untersuchung viel bringt. Proprietäre Software hat wahrscheinlich eine ähnlich hohe Fehler-Quote, aber keine Kontrollmöglichkeit von dritter Seite. Die Sicherheit basiert nur auf das Vertrauen in die Fähigkeiten und Aussagen des Herstellers.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *