Jede Software hat Bugs, lautet eine alte Programmiererweisheit. Das gilt auch für Open-Source-Programme. Die Apache Commons Collections Deserialization Vulnerability, auch bekannt als Mad Gadget Bug, ist eine besonders schwere Sicherheitslücke in den Gadget-Klassen der Apache Commons Collections, die den Java-Unterbau für etliche Open-Source-Projekte bilden. Der Bug wurde beispielsweise im vergangenen November von einem Hacker ausgenutzt, um die Verkehrsbetriebe von San Francisco zu erpressen.
Laut einem Eintrag im Open-Source-Blog von Google entdeckte eine Mitarbeiterin des Unternehmens im vergangenen Jahr, dass zahlreiche Projekte auf GitHub diese Sicherheitslücke aufwiesen, obwohl bereits seit längerem ein Patch zur Verfügung stand. Zunächst versuchte sie, mit einem Pull Request die Verantwortlichen zum Schließen der Lücke zu bewegen, aber das scheiterte. Also schrieb ein Team bei Google eine SQL-Abfrage und durchsuchte mit Googles Data Warehouse BigQuery den gesamten auf GitHub veröffentlichten Code. Das Ergebnis waren rund 2600 Projekte, die von dem Fehler betroffen waren. Insgesamt 50 Google-Mitarbeiter investierten daraufhin die 20 % Arbeitszeit, die ihnen laut den Richtlinien des Unternehmens für eigene Projekte zustehen, in eine manuelle Korrektur des betroffenen Codes. In mehreren Monaten Arbeit sind nun sämtliche GitHub-Projekte von der Sicherheitslücke bereinigt worden.
