Leur détection peut prendre plus de quatre ans en moyenne, révèle un rapport de recherches de GitHub résumé par ZDNet. Un correctif est alors généralement disponible en un peu plus d'un mois, ce qui, selon le service, « indique des opportunités claires pour améliorer la détection des vulnérabilités ».

Au cours de l'année 2020, GitHub a dénombré plus de 56 millions de développeurs sur la plate-forme, avec plus de 60 millions de nouveaux dépôts créés - et plus de 1,9 milliard de contributions ajoutées - au cours de l'année. 

GitHub a lancé une analyse approfondie de l'état de la sécurité open source, comparant les informations recueillies à partir des fonctionnalités de sécurité des dépendances de l'organisation et des six gestionnaires de paquets (Composer, Maven, npm, NuGet, PyPi et RubyGems) du 1er octobre 2019 au 30 septembre 2020 et du 1er octobre 2018 au 30 septembre 2019.

Par rapport à 2019, GitHub a constaté que 94% des projets reposent désormais sur des composants open source, avec près de 700 dépendances en moyenne. Le plus souvent, les dépendances open source se trouvent dans JavaScript - 94%- ainsi que Ruby et .NET, à 90%, respectivement. 

Si 83% des alertes CVE émises par GitHub ont été causées par des erreurs humaines, 17% des vulnérabilités sont considérées comme malveillantes - comme les portes dérobées -, n'ayant déclenché que 0,2% des alertes, car elles se trouvent le plus souvent dans des packages abandonnés ou rarement utilisés. 

Selon GitHub, 59% des référentiels actifs sur la plateforme recevront une alerte de sécurité dans l'année à venir. En 2020, Ruby et JavaScript ont été les plus susceptibles de recevoir une alerte.