Banyak kerentanan keamanan membutuhkan waktu yang sangat lama untuk diungkapkan sepenuhnya, membuat bisnis dan pengguna sama-sama berisiko terkena serangan lebih lanjut, ungkap penelitian baru.
Dengan lebih dari 56 juta pengembang, GitHub (terbuka di tab baru) adalah platform terbesar di dunia untuk pengembang sumber terbuka, dan sebagai bagian dari survei Octoverse tahunannya, platform ini menemukan bahwa kerentanan biasanya tidak terdeteksi selama sekitar 218 minggu.
Itu hanya lebih dari empat tahun, dan meskipun kedengarannya banyak, GitHub menunjuk ke laporan RAND (terbuka di tab baru) pada kerentanan zero-day, yang menemukan bahwa eksploit bertahan selama lima tahun sebelum ditemukan dan diungkapkan secara publik, tidak pernah terdengar.
Komunitas open source ditempatkan dengan lebih baik, karena GitHub menemukan bahwa lebih dari 80% CVE yang mengirimkan peringatan untuk “disebabkan oleh kesalahan daripada niat jahat”. Meski begitu, laporan GitHub menunjukkan bahwa setelah kerentanan teridentifikasi, tidak butuh waktu lama bagi komunitas untuk merilis perbaikan.
Mengamankan rantai pasokan
GitHub sangat vokal dalam mengamankan rantai pasokan sumber terbuka, mencatat bahwa, “94% proyek bergantung pada komponen sumber terbuka, dengan hampir 700 ketergantungan…jadi ketika ada masalah dengan keamanan dalam rantai pasokan, Anda melihat Efek riak.”
Platform telah meluncurkan alat pemindaian keamanan (terbuka di tab baru) dan juga merupakan bagian dari kolektif industri baru (terbuka di tab baru) untuk membantu mengurangi risiko keamanan yang melekat pada gaya pengembangan open source.
Ini menegaskan kembali posisinya dalam laporan Octoverse dengan mengatakan bahwa temuan keamanan “menyoroti peluang untuk meningkatkan deteksi kerentanan dalam komunitas keamanan. Kuncinya adalah memanfaatkan alat peringatan dan penambalan otomatis untuk mengamankan perangkat lunak Anda dengan cepat.”
Oktover adalah survei tahunan yang dilakukan GitHub di antara banyak proyek dan pengembangnya dalam upaya untuk mendapatkan denyut nadi komunitas. Selain keamanan, laporan ini juga melihat produktivitas pengembang, dan bagaimana pola kolaborasi dan pengembangan terbentuk sehubungan dengan pandemi global.