Csak ámítás, hogy a nyílt forráskódú szoftverekben nincs bug

A sebezhetőségeket a felfedezésük után viszont viszonylag gyorsan befoltozzák.

A GitHub a nyílt forráskódú programokat kritikus infrastruktúráknak tekinti. A platform egy olyan vizsgálatot végzett, amelynek keretében arra volt kíváncsi, hogy a nyílt forráskódú programokban lévő hiányosságok meddig maradnak felfedezetlenek. Kiderült, hogy ez az idő általában négy év, ráadásul a regisztrált biztonsági hibáknak csak a 17 százalékát szokták veszélyesnek minősíteni.

A GitHub összesen több mint 60 millió új adattár több mint 1,9 milliárd kódbejegyzését vizsgálta meg. Az oldal rámutatott, hogy nagyon nehéz olyan helyzetet találni, amikor az adatok nem továbbítódnak legalább egy nyílt forráskódú rendszeren keresztül. Számos szolgáltatás és technológia van a bankrendszerektől az egészségügyig, amelyekre a felhasználók rá vannak utalva és ezek a megoldások szintén rá vannak utalva a nyílt forráskódú szoftverekre. Ezek az infrastruktúrák állnak a globális ipar jelentős részének a hátterében, ezért egyáltalán nem mindegy, hogy mennyire biztonságosak.

A GitHub csak aktív projektek információit értékelte ki és csak hat rendszert (Composer, Maven, NPM, NuGet, PyPi, RubyGems) vett figyelembe. A portálon lévő projektek 94 százaléka függ a nyílt forráskódú elemektől, programonként átlagosan közel 700 elem függ azoktól. A legtöbb függőség a JavaScript (94 százalék), valamint a Ruby és a .NET (egyaránt 90 százalék) esetében merült fel.

Ami mindenképpen pozitívum, hogy a felfedezett sebezhetőségeket viszonylag gyorsan, általában 4 hét alatt befoltozzák. Mindenesetre a platform felszólította a fejlesztőket, a projektfelelősöket és a felhasználókat, hogy automatikusan és időben értesítsék az érintetteket a felfedezett hiányosságokról, hogy így lehessen gyorsabban orvosolni azokat.