Diperlukan rata-rata lebih dari empat tahun untuk menemukan kerentanan dalam perangkat lunak open source, area dalam komunitas keamanan yang perlu ditangani, kata para peneliti.
Menurut laporan State of the Octoverse tahunan GitHub, yang diterbitkan pada hari Rabu, ketergantungan pada proyek open source, komponen, dan library lebih umum dari sebelumnya.
Selama tahun 2020, GitHub menghitung lebih dari 56 juta pengembang di platform, dengan lebih dari 60 juta repositori baru sedang dibuat – dan lebih dari 1,9 miliar kontribusi ditambahkan – sepanjang tahun.
Dibandingkan dengan 2019, GitHub menemukan bahwa 94% proyek sekarang mengandalkan komponen open source, dengan rata-rata hampir 700 dependensi.
Rata-rata, kerentanan bisa tidak terdeteksi selama lebih dari empat tahun dalam proyek open source sebelum pengungkapan. Perbaikan kemudian biasanya tersedia hanya dalam waktu sebulan, yang menurut GitHub “menunjukkan peluang yang jelas untuk meningkatkan deteksi kerentanan”.
Namun, mayoritas bug dalam perangkat lunak open source tidak berbahaya. Sebaliknya, 83% dari peringatan CVE yang dikeluarkan oleh GitHub disebabkan oleh kesalahan dan human error – meskipun pelaku ancaman masih dapat memanfaatkannya untuk tujuan jahat.
Secara total, 17% kerentanan dianggap berbahaya – seperti varian backdoor – tetapi ini hanya memicu 0,2% peringatan, karena paling sering ditemukan dalam paket yang ditinggalkan atau jarang digunakan.
Menurut GitHub, 59% repositori aktif di platform akan menerima peringatan keamanan di tahun mendatang. Selama tahun 2020, Ruby dan JavaScript adalah yang paling mungkin menerima peringatan.
Sumber: ZDNet