Sicherheitslücken in Open-Source-Software werden erst nach vier Jahren entdeckt
Quelle: Marcel – stock.adobe.com

Sicherheitslücken in Open-Source-Software werden erst nach vier Jahren entdeckt

Eine Studie von Github zeigt, dass Schwachstellen in Open-Source-Software durchschnittlich während vier Jahren unentdeckt bleiben. Einmal entdeckt, dauert es aber nur wenige Wochen bis zum Patch.
3. Dezember 2020

     

Vier Jahre dauert es durchschnittlich, bis Sicherheitslücken in Open-Source-Software entdeckt werden, wie "Zdnet.com" unter Berufung auf eine Untersuchung von Github berichtet. Sind sind erst einmal entdeckt, dauert es in der Regel allerdings nur vier Wochen, bis ein Patch für die Schwachstelle zur Verfügung steht. Weiter betont Github, dass man Open-Source-Software nicht als unsicher einschätzen darf, weil 83 Prozent der CVE-Kennungen fälschlicherweise vergeben werden und nur 17 Prozent der Sicherheitslücken gefährlich sind.


In die Studie flossen 2020 Daten von über 60 Millionen neuen Repositories und mehr als 1,9 Milliarden Codebeiträgen ein. Dabei wurden nur Daten von aktiven Projekten ausgewertet und die Studie beschränkt sich auf die sechs unterstützten Paketsysteme Composer, Maven, NPM, Nuget, Pypi und Rubygems. Mit einem Anteil von 94 Prozent sind die allermeisten erfassten Projekte auf Github von Open-Source-Komponenten abhängig, wobei es im Durchschnitt rund 700 Abhängigkeiten gibt pro Projekt. Am häufigsten finden sich solche Abhängigkeiten in Javascript (94%) und Ruby und .NET (je 90%). (abr)


Weitere Artikel zum Thema

Mängel bei Base4kids 2: Open Source ist nicht schuld, sagt CH Open

25. November 2020 - Das Stadtberner Schulinformatikprojekt Base4kids 2 ist laut dem Verein CH Open in Schieflage geraten. Schuld daran sei aber nicht die Open-Source-Software, deren Einsatz in die Kritik geraten ist.

Comodo stellt EDR-Security-Lösung als Open Source zur Verfügung

15. November 2020 - Comodo hat den Quellcode seiner Endpoint-Detection-and-Response-Lösung OpenEDR der Open-Source-Community übergeben und auf Github eingestellt.

Github führt Programmiersprachen-übergreifenden Super Linter ein

22. Juni 2020 - Github hat ein Open-Source-Tool namens Super Linter veröffentlicht, das das Testen von Code auf Fehler und Inkonsistenzen einfacher denn je machen soll.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Welche Farbe hatte Rotkäppchens Kappe?
GOLD SPONSOREN
SPONSOREN & PARTNER