รายงานจาก GitHub ชี้ช่องโหว่บนโอเพ่นซอร์สมีอายุเฉลี่ยถึง 4 ปีก่อนถูกเปิดเผย

GitHub ได้ออกรายงานประจำปีหรือ Octoverse ซึ่งเป็นการสรุปผลงานของโปรเจ็คโอเพ่นซอร์สในรอบปี ในมุมของ Security พบว่าโปรเจ็คโอเพ่นซอร์สมีช่องโหว่ที่ไม่ถูกค้นพบถึง 4 ปีกว่าจะถูกเปิดเผย

สถิติที่น่าสนใจของปี 2020 มีดังนี้

• GitHub มีนักพัฒนาถึง 56 ล้านราย มี Repository ใหม่ถูกสร้างขึ้นกว่า 60 ล้านครั้ง และมีการ Contribute ถึง 1,900 ล้านครั้ง
• มีการสำรวจสถานะของเรื่อง Security ทั่วไปในโปรเจ็คโอเพ่นซอร์สย้อนหลังไป 2 ปี โดยเลือกเฉพาะแพลตฟอร์มต่างๆ ที่ GitHub รองรับเช่น Composer, Maven, npm, NuGet, PyPi และ RubyGems
• 94% ของโปรเจ็คหรือเกือบ 700 dependency เป็น JavaScript และ Ruby กว่า 94% และ .NET รองลงมาที่ 90% 
• กว่าโอเพ่นซอร์สจะค้นพบช่องโหว่ที่มีอยู่ก็ใช้เวลาเฉลี่ยนนานถึง 4 ปี แต่การแก้ไขก็ใช้เวลาไม่เกินเดือนเดียวเท่านั้น นอกจากนี้ 83% มักเป็นแค่ข้อผิดพลาด มีเพียง 17% ที่เป็นอันตรายและมักจะจำกัดอยู่แค่ในแพ็กเกจร้างหรือคนใช้ไม่เยอะ
• ช่องโหว่ที่ร้ายแรงที่สุดของโปรเจ็คบน GitHub ซึ่งหากนับจำนวนผู้ใช้ที่ได้รับผลกระทบมากสุดของปีนี้คือ CVE-2020-8203 ใน Lodash เพราะเป็น npm ที่มีการนำไปใช้ต่อหลายล้านครั้ง

อย่างไรก็ดีด้วยปริมาณอันมหาศาล บอกได้เลยว่าองค์กรหรือซอฟต์แวร์ที่เราใช้อยู่อาจไม่พ้นการมีโอเพ่นซอร์สอยู่ส่วนใดส่วนหนึ่ง ดังนั้นการติดตามและอัปเดตปัญหาช่องโหว่ในส่วนที่เกี่ยวข้องเป็นเรื่องสำคัญ ซึ่ง GitHub เตรียมที่จะออกการแจ้งเตือนด้าน Security แก่ Repository ที่ยังเคลื่อนไหวอยู่ในปีถัดไปให้ได้กว่า 59%

ที่มา : https://www.zdnet.com/article/open-source-software-security-vulnerabilities-exist-for-over-four-years-before-detection-study/