Pode levar quatro anos para que vulnerabilidades em software de código aberto sejam detectadas

Pode levar quatro anos para que vulnerabilidades em software de código aberto sejam detectadas

Pesquisadores dizem que pode levar em média mais de quatro anos para que as vulnerabilidades em software de código aberto sejam detectadas. De acordo com um relatório do GitHub, a dependência de projetos, componentes e bibliotecas de código aberto é mais comum do que nunca.

Ao longo de 2020, o GitHub contabilizou mais de 56 milhões de desenvolvedores na plataforma, com mais de 60 milhões de novos repositórios sendo criados; e mais de 1,9 bilhão de contribuições adicionadas.

Vulnerabilidades em software de código aberto

O GitHub diz:

Você teria dificuldade em encontrar um cenário onde seus dados não passassem por pelo menos um componente de código aberto. Muitos dos serviços e tecnologias em que todos confiamos, de bancos a saúde, também contam com software de código aberto. Os artefatos do código aberto servem como infraestrutura crítica para grande parte da economia global, tornando a segurança do software de código aberto uma missão crítica para o mundo.

GitHub contabilizou mais de 56 milhões de desenvolvedores na plataforma, com mais de 60 milhões de novos repositórios. Imagem: GitHub.

Em comparação com 2019, o GitHub descobriu que 94% dos projetos agora dependem de componentes de código aberto, com cerca de 700 dependências em média. Mais frequentemente, as dependências de código aberto são encontradas em JavaScript (94%), bem como em Ruby e .NET (90%, respectivamente).

Em média, as vulnerabilidades podem não ser detectadas por mais de quatro anos em projetos de código aberto antes da divulgação. Uma correção geralmente fica disponível em pouco mais de um mês.

No entanto, a maioria dos bugs no software de código aberto não é maliciosa. Em vez disso, 83% dos alertas CVE emitidos pelo GitHub foram causados por erros humanos.

De acordo com o GitHub, 59% dos repositórios ativos na plataforma receberão um alerta de segurança no próximo ano. Ao longo de 2020, Ruby e JavaScript foram os mais prováveis de receber um alerta.

A comunidade de código aberto agora desempenha um papel fundamental no desenvolvimento de software, mas como em qualquer outro setor, vulnerabilidades existirão.

O código aberto é uma infraestrutura crítica e todos devemos contribuir para a segurança do software de código aberto.

ZDNET

Acesse a versão completa
Sair da versão mobile