Thought Leadership
Die Rekordzahl an gemeldeten Schwachstellen überlastet die GitHub Advisory Database. Bearbeitungszeiten verlängern sich um mehrere Wochen.
Die Entwicklerplattform GitHub verzeichnet einen historischen Höchststand bei der Meldung von Sicherheitslücken. Im Mai 2026 veröffentlichte die GitHub Advisory Database 1.560 überprüfte Sicherheitsmeldungen, was mehr als dem Fünffachen des üblichen monatlichen Volumens entspricht. Im Zeitraum von März bis Mai 2026 traf GitHub monatlich mehr als 6.000 Entscheidungen über solche Meldungen. Dieser Anstieg führt zu erheblichen Verzögerungen bei der Bearbeitung und Veröffentlichung von Sicherheitsupdates.
Ursachen für das gestiegene Meldeaufkommen bei GitHub
Der Zuwachs an Berichten wird einer gestiegenen Transparenz im Software-Ökosystem zugeschrieben. Immer mehr Repositories aktivieren Funktionen für eine verantwortungsvolle Offenlegung von Sicherheitslücken. Mittlerweile nutzen mehr als 1,7 Millionen Repositories die Option zur privaten Meldung von Schwachstellen. Zudem melden Sicherheitsforscher Fehler häufiger, während Software-Entwickler vermehrt Korrekturen und Dokumentationen bereitstellen.
Verzögerungen bei der Überprüfung gefährden die Sicherheit
Die hohe Anzahl an Meldungen beeinträchtigt die Bearbeitungsgeschwindigkeit der Plattform. Madison Ficorilli, Sicherheitsmanagerin bei GitHub, erklärte die Situation:
„Seit Mitte April haben wir aufgrund dieses Anstiegs unsere internen Ziele für Veröffentlichungen nicht durchgehend erreicht. Die Bearbeitungszeiten verlängerten sich zunächst auf etwa eine Woche, dann für einen erheblichen Teil auf mehrere Wochen.“
Madison Ficorilli, Sicherheitsmanagerin bei GitHub
Durch die verlängerten Prüfprozesse vergrößert sich der Zeitraum, in dem bekannte Sicherheitslücken ungepatcht bleiben und ausgenutzt werden können. Um den Durchsatz zu erhöhen, arbeitet GitHub an der Automatisierung von Prozessen und entwickelt KI-gestützte Werkzeuge für die Sicherheitsforschung.
Optimierung von Meldungen zur schnelleren Bearbeitung
Nutzer und Forscher können dazu beitragen, den Veröffentlichungsprozess zu beschleunigen. Eine vollständige Dokumentation der Schwachstelle verkürzt die Prüfzeit. Ein korrekter Bericht sollte folgende Elemente enthalten:
- Vollständige Daten wie die betroffenen Versionsbereiche
- Die genaue Ursache des Fehlers
- Eine eindeutige Anleitung zur Reproduktion des Problems
Darüber hinaus sollten Kennungen für Common Vulnerabilities and Exposures (CVE) nur dann beantragt werden, wenn eine konkrete Veröffentlichung geplant ist. Ficorilli wies darauf hin: „Wenn Anfragen gestellt werden, ohne dass eine Veröffentlichung geplant ist, kann dies Zeit und Aufmerksamkeit von Meldungen ablenken, die sich aktiv auf die Veröffentlichung zubewegen.“
Die engere Abstimmung zwischen Forschenden und Software-Entwicklern bei der Definition betroffener Pakete sowie die Einreichung von Pull Requests zur Advisory Database unterstützen die Entlastung des Systems ebenfalls. Laut Ficorilli stellt das Wachstum dennoch eine positive Entwicklung dar: „Der Anstieg der Schwachstellenmeldungen spiegelt echten Fortschritt wider. Es werden mehr Probleme als je zuvor gefunden, behoben und offengelegt,“
(red)
