GitHub meldet 4 Millionen Anfälligkeiten in Open-Source-Software

GitHub hat bei einer Prüfung von mehr als 500.000 auf seiner Platform gehosteten Software-Projekten mehr als 4 Millionen Anfälligkeiten gefunden. Die im November 2017 eingeleitete Prüfung umfasst bisher allerdings nur die Programmiersprachen JavaScript und Ruby – Python soll in Kürze folgen. Zudem handelt es sich ausschließlich um bereits bekannte und eigentlich gepatchte Fehler.

Die hohe Zahl der Anfälligkeiten ergibt sich aus der Tatsache, dass viele Open-Source-Projekte auf vorhandenen Code oder Bibliotheken zurückgreifen, ohne jedoch die Veränderungen dieser Quellen nachzuverfolgen. „Das immer mehr Entwickler vorhandenen Code übernehmen, um neue Tools zu entwickeln, macht die Verfolgung von Abhängigkeiten wie Sicherheitslücken immer schwieriger“, heißt es in einem Blogeintrag von GitHub.

Die im Vorfeld angekündigte Aktion trägt aber offenbar bereits Früchte. „Bis zum 1. Dezember wurden mehr als 450.000 gefundene Anfälligkeiten beseitigt, indem die Eigentümer die Abhängigkeiten entfernten oder auf eine sichere Version umstiegen“, ergänzte GitHub.

Inzwischen würden 30 Prozent der Fehler innerhalb der ersten sieben Tage nach ihrer Entdeckung behoben. Weitere 15 Prozent würden im selben Zeitraum verworfen. „Das bedeutet, dass fasst die Hälfte aller Meldung innerhalb einer Woche bearbeitet werden.“ Die Mehrheit der offenen oder nicht bearbeiteten Meldungen beziehe sich auf Projekte, zu denen seit mindestens 90 Tagen keine Beiträge veröffentlicht worden seien.

„Sicherheitswarnungen öffnen die Türe zu neuen Möglichkeiten, die Code-Kontrolle und –Generierung zu verbessern, indem öffentlich verfügbare Daten mit den einmaligen Daten von GitHub kombiniert werden“, erklärte GitHub. Zudem seien weitere Funktionen geplant, um Entwicklern zu helfen, ihren Code sicherer zu machen.

Tim Mackey, Technology Evangelist beim Sicherheitsanbieter Black Duck by Synopsys, lobte die Sicherheitsinitiative von GitHub. „Open Source ist allgegenwärtig und spielt eine zunehmend entscheidende Rolle im Software-Ökosystem. Also sollten alle Maßnahmen, die die Open-Source-Sicherheit stärken, begrüßt werden.“