image

GitHub vindt 4 miljoen kwetsbaarheden in softwareprojecten

donderdag 22 maart 2018, 16:56 door Redactie, 7 reacties

Het ontwikkelplatform GitHub heeft de afgelopen maanden in meer dan 500.000 softwareprojecten ruim 4 miljoen kwetsbaarheden ontdekt. GitHub besloot in november om gebruikers te gaan waarschuwen als ze binnen hun project met software werken die bekende kwetsbaarheden bevat.

Het kan dan bijvoorbeeld gaan om softwarebibliotheken of opensourceprogramma's waar het project gebruik van maakt. Meer dan 75 procent van de GitHub-projecten heeft dergelijke "dependencies". De waarschuwingen laten ontwikkelaars weten waar de kwetsbaarheid zich bevindt, wat die precies inhoudt en wat een mogelijke oplossing is. Bij publieke repositories staan de waarschuwingen automatisch ingeschakeld.

Op 1 december, twee weken na de lancering, waren meer dan 450.000 kwetsbaarheden opgelost door de beheerders van de softwareprojecten. Dit werd gedaan door het verwijderen van de kwetsbare onderdelen of het overstappen naar een veilige versie. Sindsdien werd 30 procent van de kwetsbaarheden die GitHub ontdekte binnen zeven dag door de beheerder verholpen, terwijl 15 procent van de waarschuwingen in deze periode werd afgehandeld.

"Dat houdt in dat bijna de helft van alle meldingen binnen een week wordt opgepakt", aldus GitHub. Van de resterende waarschuwingen die niet worden opgelost of opgepakt is de meerderheid van softwareprojecten die de laatste 90 dagen niet zijn bijgewerkt. "In andere woorden, voor bijna alle softwareprojecten met recente bijdragen zien we dat beheerders kwetsbaarheden binnen zeven dagen patchen", zo stelt het platform.

Reacties (7)
22-03-2018, 20:04 door Anoniem
Ze hebben dus zelf niets ontdekt, ze hebben gekeken of projecten gebruikmaakten van software waarin problemen reeds bekend waren. Dus een "fix" kan zo simpel zijn als een afhankelijkheid in je project naar een nieuwe versie te verzetten. Daarnaast zit github vol met "geforkte" projecten, dus een enkel probleem kan makkelijk tien keer geteld worden. Dus de cijfertjes zijn een beetje indrukwekkender dan dat ze verdienen.
22-03-2018, 21:06 door karma4
Door Anoniem: Ze hebben dus zelf niets ontdekt, ze hebben gekeken of projecten gebruikmaakten van software waarin problemen reeds bekend waren. Dus een "fix" kan zo simpel zijn als een afhankelijkheid in je project naar een nieuwe versie te verzetten. Daarnaast zit github vol met "geforkte" projecten, dus een enkel probleem kan makkelijk tien keer geteld worden. Dus de cijfertjes zijn een beetje indrukwekkender dan dat ze verdienen.
Aangezien ze zelf niets ontdekt hebben maar enkel een zoekalgoritme losgelaten hebben op bekende codeerfouten moet je er nog veel meer verwachten die niet bekend zijn. 8 fouten in softwareprojecten is onverklaarbaar weinig 1% of een promille aan codeerfouten op softwareregels wordt vaak al als goed gezien.
23-03-2018, 09:03 door Krakatau - Bijgewerkt: 23-03-2018, 09:38
Door karma4:
Door Anoniem: Ze hebben dus zelf niets ontdekt, ze hebben gekeken of projecten gebruikmaakten van software waarin problemen reeds bekend waren. Dus een "fix" kan zo simpel zijn als een afhankelijkheid in je project naar een nieuwe versie te verzetten. Daarnaast zit github vol met "geforkte" projecten, dus een enkel probleem kan makkelijk tien keer geteld worden. Dus de cijfertjes zijn een beetje indrukwekkender dan dat ze verdienen.
Aangezien ze zelf niets ontdekt hebben maar enkel een zoekalgoritme losgelaten hebben op bekende codeerfouten moet je er nog veel meer verwachten die niet bekend zijn. 8 fouten in softwareprojecten is onverklaarbaar weinig 1% of een promille aan codeerfouten op softwareregels wordt vaak al als goed gezien.

Het gaat helemaal niet over codeerfouten in GitHub projecten. Het gaat over dependencies naar softwarebibliotheken waarvan bekend is dat ze kwetsbaarheden bevatten.

Dat software fouten bevat is een open deur. Mensen maken immers fouten. Kijk maar naar de hoeveelheid spelfouten die sommige mensen in een miniem stukje tekst weten te persen.

En sommige mensen gaan nog verder en controleren hun feiten niet voordat ze dingen opschrijven. Zoals stellen dat 1% een 'promille' is. Ze zouden beter moeten weten (pro=per; mille=1000) [1], maar ja, beetje dom hè... Dat geeft te denken over andere uitspraken die dit soort mensen doen. Maar ja, ook dat is ondertussen een open deur [2].

[1] https://nl.m.wikipedia.org/wiki/Promille
[2] https://www.security.nl/posting/555153#posting555203
23-03-2018, 09:35 door Anoniem
Door Krakatau:
Door karma4:
Door Anoniem: Ze hebben dus zelf niets ontdekt, ze hebben gekeken of projecten gebruikmaakten van software waarin problemen reeds bekend waren. Dus een "fix" kan zo simpel zijn als een afhankelijkheid in je project naar een nieuwe versie te verzetten. Daarnaast zit github vol met "geforkte" projecten, dus een enkel probleem kan makkelijk tien keer geteld worden. Dus de cijfertjes zijn een beetje indrukwekkender dan dat ze verdienen.
Aangezien ze zelf niets ontdekt hebben maar enkel een zoekalgoritme losgelaten hebben op bekende codeerfouten moet je er nog veel meer verwachten die niet bekend zijn. 8 fouten in softwareprojecten is onverklaarbaar weinig 1% of een promille aan codeerfouten op softwareregels wordt vaak al als goed gezien.

Het gaat helemaal niet over codeerfouten in GitHub projecten. Het gaat over dependencies naar softwarebibliotheken waarvan bekend is dat ze kwetsbaarheden bevatten.

Dat software fouten bevat is een open deur. Mensen maken immers fouten. Kijk maar naar de hoeveelheid spelfouten die sommige mensen in een miniem stukje tekst weten te persen.

En sommige mensen gaan nog verder en controleren hun feiten niet voordat ze dingen opschrijven. Zoals stellen dat 1% een 'promille' is. Ze zouden beter moeten weten (pro=per; mille=1000) maar ja, beetje dom hè... Dat geeft te denken over andere uitspraken die dit soort mensen doen. Maar ja, ook dat is een open deur.

https://nl.m.wikipedia.org/wiki/Promille

Los van de rest van zijn inhoud, er wordt door niemand gesteld dat 1% gelijk staat aan een promille. Kinderachtige gedoe.
23-03-2018, 10:15 door Krakatau
Door Anoniem:
Door Krakatau:
Door karma4: 8 fouten in softwareprojecten is onverklaarbaar weinig 1% of een promille aan codeerfouten op softwareregels wordt vaak al als goed gezien.
En sommige mensen gaan nog verder en controleren hun feiten niet voordat ze dingen opschrijven. Zoals stellen dat 1% een 'promille' is. Ze zouden beter moeten weten (pro=per; mille=1000) maar ja, beetje dom hè... Dat geeft te denken over andere uitspraken die dit soort mensen doen. Maar ja, ook dat is een open deur.

https://nl.m.wikipedia.org/wiki/Promille

Los van de rest van zijn inhoud, er wordt door niemand gesteld dat 1% gelijk staat aan een promille. Kinderachtige [sic!] gedoe.

1% of een promille aan codeerfouten...
23-03-2018, 10:44 door Anoniem
Niettemin een initatief wat ik toejuich los van de cijfers.
24-03-2018, 16:42 door Krakatau
Door Anoniem: Niettemin een initatief wat ik toejuich los van de cijfers.

Zeker!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.