In ihrer Rede auf dem Open Source Europe Summit 2019 sagte Erica Bresica, die neue COO von GitHub, dass die 1,000 größten Projekte der Plattform mehr als 75,000 Menschen hätten. Während Erica auf die Notwendigkeit einging, dieses Ökosystem in der sich verändernden geopolitischen Landschaft der Zeit zu schützen, sagte sie in einem Gespräch mit uns nach der Keynote, dass es auch Sicherheit gebe. Eine der Hauptprioritäten der Plattform.
Um ihren Standpunkt zu unterstreichen, verweist Erica auf die Grundsatzrede von Yvonne Wassenaar, CEO von Puppet, die die Ergebnisse des Snyk-Berichts „State of Open Source Security 2019“ zitierte, um den Zusammenhang zwischen Entwicklung und Sicherheit aufzuzeigen. Snyk stellte fest, dass 37 % der Entwickler während der CI-Entwicklungsphase keine Sicherheitstests durchgeführt haben. Sie erwähnen auch, dass Anwendungsschwachstellen in zwei Jahren um 88 % zugenommen haben und dass 78 % davon mit indirekten Abhängigkeiten zusammenhängen.
Kombinieren Sie dies mit dem Bericht von Forrester, dass 58 % der Unternehmen im letzten Jahr mindestens einmal einen Verstoß erlebt haben und mehr als 41 % dieser externen Verstöße eine Software-Schwachstelle ausgenutzt haben, und Sie wissen, dass wir ein Problem haben.
Sichern Sie die Open-Source-Lieferkette
Erica sagte, dass die Zahl der Beiträge zwar beeindruckend sei und den kollaborativen Charakter von Open Source widerspiegele, es aber auch wichtig sei, „darüber nachzudenken, wie die Sicherheit all das übersteht.“ Es ist wirklich ein globales und gemeinschaftliches Problem, das wir im Zusammenhang mit der Softwareentwicklung, aber auch im Bereich der Sicherheit lösen müssen. "
Es ist keine Überraschung, dass Sicherheit ein wichtiges Diskussionsthema auf GitHub ist. Die Plattform legt bereits großen Wert auf Sicherheit und unternimmt weiterhin Schritte, um Entwickler bei der Entwicklung sicherer Software zu unterstützen.
Laut Erica ist die Übernahme von Semmle nur eine von vielen Plattforminitiativen zur Sicherung der Open-Source-Lieferkette:
„Wir bringen viele wirklich coole Sicherheitssachen mit, die GitHub-Plattform, über die GitHub Universe im November sprechen wird.“