GitHub ได้ออกรายงานประจำปีหรือ Octoverse ซึ่งเป็นการสรุปผลงานของโปรเจ็คโอเพ่นซอร์สในรอบปี ในมุมของ Security พบว่าโปรเจ็คโอเพ่นซอร์สมีช่องโหว่ที่ไม่ถูกค้นพบถึง 4 ปีกว่าจะถูกเปิดเผย
สถิติที่น่าสนใจของปี 2020 มีดังนี้
- GitHub มีนักพัฒนาถึง 56 ล้านราย มี Repository ใหม่ถูกสร้างขึ้นกว่า 60 ล้านครั้ง และมีการ Contribute ถึง 1,900 ล้านครั้ง
- มีการสำรวจสถานะของเรื่อง Security ทั่วไปในโปรเจ็คโอเพ่นซอร์สย้อนหลังไป 2 ปี โดยเลือกเฉพาะแพลตฟอร์มต่างๆ ที่ GitHub รองรับเช่น Composer, Maven, npm, NuGet, PyPi และ RubyGems
- 94% ของโปรเจ็คหรือเกือบ 700 dependency เป็น JavaScript และ Ruby กว่า 94% และ .NET รองลงมาที่ 90%
- กว่าโอเพ่นซอร์สจะค้นพบช่องโหว่ที่มีอยู่ก็ใช้เวลาเฉลี่ยนนานถึง 4 ปี แต่การแก้ไขก็ใช้เวลาไม่เกินเดือนเดียวเท่านั้น นอกจากนี้ 83% มักเป็นแค่ข้อผิดพลาด มีเพียง 17% ที่เป็นอันตรายและมักจะจำกัดอยู่แค่ในแพ็กเกจร้างหรือคนใช้ไม่เยอะ
- ช่องโหว่ที่ร้ายแรงที่สุดของโปรเจ็คบน GitHub ซึ่งหากนับจำนวนผู้ใช้ที่ได้รับผลกระทบมากสุดของปีนี้คือ CVE-2020-8203 ใน Lodash เพราะเป็น npm ที่มีการนำไปใช้ต่อหลายล้านครั้ง
อย่างไรก็ดีด้วยปริมาณอันมหาศาล บอกได้เลยว่าองค์กรหรือซอฟต์แวร์ที่เราใช้อยู่อาจไม่พ้นการมีโอเพ่นซอร์สอยู่ส่วนใดส่วนหนึ่ง ดังนั้นการติดตามและอัปเดตปัญหาช่องโหว่ในส่วนที่เกี่ยวข้องเป็นเรื่องสำคัญ ซึ่ง GitHub เตรียมที่จะออกการแจ้งเตือนด้าน Security แก่ Repository ที่ยังเคลื่อนไหวอยู่ในปีถัดไปให้ได้กว่า 59%