Github-Report zur Sicherheit von Open-Source-Software

Als Teil seines "The 2020 State of Octovers"-Reports hat die inzwischen zu Microsoft gehörende Versionsverwaltungsplattform Github auch einen Blick auf die Sicherheit von Open-Sorce-Software geworfen.

Als Teil seines “The 2020 State of Octovers”-Reports hat die inzwischen zu Microsoft gehörende Versionsverwaltungsplattform Github auch einen Blick auf die Sicherheit von Open-Sorce-Software geworfen.

Es sei inzwischen kaum mehr möglich, ein Szenario zu finden, indem die Daten nicht wenigstens eine pen-ource-Komponente durchlaufen, heißt es im Bericht von Github. Open-Source sei damit an den kritischen Schaltstellen der globalen Wirtschaftssysteme zu finden und entsprechend wichtig sei die Sicherheit dieser Software.

Als weltweit größte Plattform für Open-Source-Anwendungen seien die Analysen von Github prädestiniert, um wichtige Trends der Open-Source-Security zu ermitteln, teilt Github im Report mit. Für den Report kamen Daten aus dem Zeitraum von Oktober 2019 bis September 2020 zum Einsatz. Als Vergleich dient der nämliche Zeitraum von 2018 bis 2019. 45.000 Repositories seien eingeflossen. Die müssten vier Kriterien erfüllen, indem sie eines der sechs unterstützten Paket-Ökosysteme nutzen, im Report-Zeitraum monatlich mindest einen Beitrag verzeichnen, den Dependency Graph aktiviert haben und weder Fork noch als „spammy“bekannt seien oder einem Github-Mitarbeiter gehören. Zu den Package-Sytemen zählen Composer, Maven, npm, NuGet, PyPI und RubyGems. Sie repräsentieren die Sprachen PHP, Java, JavaScript, .NET, Python und Ruby.

Zu den Erkenntnissen zähle, dass die häufigste Nutzung von Open-Source-Dependencies in JavaScript (94 Prozent) vorkommen, gefolgt von Ruby (90 Prozent) und .NET (90 Prozent). Zudem entstehen die meisten Sicherheitslücken durch Fehler beim Programmieren und nicht durch gezielte Angriffe. Letzteres belege die Analyse von 521 Advisories, von denen nur 17 Prozent auf böswillige Eingriffe zurückzuführen seien, etwa durch Versuche, Backdoors zu installieren.

Der Report steht online zur Verfügung.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben