Vier Jahre dauert es durchschnittlich, bis Sicherheitslücken in Open-Source-Software entdeckt werden, wie "Zdnet.com" unter Berufung auf eine Untersuchung von Github berichtet. Sind sind erst einmal entdeckt, dauert es in der Regel allerdings nur vier Wochen, bis ein Patch für die Schwachstelle zur Verfügung steht. Weiter betont Github, dass man Open-Source-Software nicht als unsicher einschätzen darf, weil 83 Prozent der CVE-Kennungen fälschlicherweise vergeben werden und nur 17 Prozent der Sicherheitslücken gefährlich sind.
In die Studie flossen 2020 Daten von über 60 Millionen neuen Repositories und mehr als 1,9 Milliarden Codebeiträgen ein. Dabei wurden nur Daten von aktiven Projekten ausgewertet und die Studie beschränkt sich auf die sechs unterstützten Paketsysteme Composer, Maven, NPM, Nuget, Pypi und Rubygems. Mit einem Anteil von 94 Prozent sind die allermeisten erfassten Projekte auf Github von Open-Source-Komponenten abhängig, wobei es im Durchschnitt rund 700 Abhängigkeiten gibt pro Projekt. Am häufigsten finden sich solche Abhängigkeiten in Javascript (94%) und Ruby und .NET (je 90%). (abr)
Quelle ItMagazine (https://www.itmagazine.ch/Artikel/73571/Sicherheitsluecken_in_Open-Source-Software_werden_erst_nach_vier_Jahren_entdeckt.html)