I sin årliga rapport om världsläget inom öppen källkod, den så kallade Octoverse Report, lyfter projektplatsen Github fram säkerhetsaspekter som ”kunde göras bättre”. Speciellt handlar det om att det tar ohemult lång tid innan sårbarheter upptäcks och korrigeras – fyra år i genomsnitt, skriver ZDNet.

Mjukvara under öppna källkodslicenser letar sig alltmer in i olika kodprojekt, även sådana med stängd källkod, vilket de flesta anser är en positiv utveckling. Samtidigt får då även buggar och sårbarheter allt större spridning. Enligt Githubs rapport har 94 procent av alla kodprojekt på Github något slags beroende av öppen kod från ett annat projekt, oftast genom importer av bibliotek. I genomsnitt har kodprojekten 700 beroenden av annan kod.

Analyserat miljontals projekt

För att nå fram till sina slutsatser har Github analyserat 56 miljoner projekt med över 60 miljoner nya projektplatser och 1,9 miljarder bidrag, plus sex av de största paketsystemen Composer, Maven, npm, NuGet, PyPi och RubyGems.

Att peka ut de värsta sårbarheterna under året är svårt eftersom det är en definitionsfråga, men Github tar upp Zerologon (CVE-2020-1472) och SMBGhost (CVE-2020-0796) som exempel. Mest spridning fick dock en bugg (CVE-2020-8203) i det extremt populära npm-paketerade biblioteket lodash med över fem miljoner beroenden.

Läs också:
Om du kör dessa kodbibliotek är du hackad
Sex av tio utvecklingsprojekt använder farliga kodbibliotek. De här ska du undvika