Software Supply Chain Bericht 2016 veröffentlicht

Neue Untersuchungen von Sonatype offenbaren eine massive Zunahme bei der Verwendung von Open-Source-Komponenten, persistente Fehlerquoten und mehr Akzeptanz von Supply-Chain-Prinzipien, um die Software-Qualität und Sicherheit zu verbessern. [...]

Sonatype, ein Anbieter im Bereich Software Supply-Chain-Automatisierung, hat heute zum zweiten Mal seinen jährlichen Software Supply Chain Bericht veröffentlicht. Er basiert auf der Analyse von 31 Milliarden Download-Anforderungen von Open-Source-Software-Komponenten aus dem von Sonatype verwalteten Central Repository, und bietet einen Einblick in die Software-Supply-Chain-Praktiken von 3.000 Entwicklungsorganisationen. Darüber hinaus umfasst er die Software-Komponenten-Analyse von 25.000 Anwendungen.

Die wichtigsten Ergebnisse des Berichts:

Angebot und Nachfrage waren nie größer

  • Die Zahl der Download-Anfragen für Open-Source-Komponenten hat sich von 17 Milliarden im Jahr 2014 auf 31 Milliarden im Jahr 2015 drastisch erhöht. Das entspricht einer Steigerung von 82 Prozent gegenüber dem Vorjahr.
  • 10.000 neue Komponentenversionen werden täglich über die Ökosysteme für Software-Entwicklung vorgestellt.

Die Beschaffungspraktiken für Komponenten sind ineffizient und Software-Schwachstellen allgegenwärtig

  • Unternehmen laden weltweit jährlich mehr als 229.000 Komponenten herunter, jedoch sind im Durchschnitt nur 5.000 der Komponenten-Downloads Unikate. Mit Blick auf 500 Unternehmen in der DACH-Region ändern sich die Zahlen ein wenig: Bei ihnen betrug die durchschnittliche Anzahl der jährlichen Komponenten-Downloads 108.000.
  • Open-Source-Komponenten unterscheiden sich sehr hinsichtlich ihrer Qualität. 6,1 Prozent der weltweiten Downloads (1 von 16 Komponenten) bergen bekannte Sicherheitsmängel. Von den Downloads im DACH-Raum haben immerhin 3,9 Prozent der Komponenten-Downloads mindestens eine bekannte Sicherheitslücke. Auch wenn das ein geringerer Wert ist, sind dies immer noch durchschnittlich 4.200 angreifbare Komponenten-Downloads jährlich.

Organisationen haben Probleme mit angreifbaren Komponenten

  • Die Daten von 25.000 Anwendungen zeigen, dass 6,8 Prozent der eingesetzten Komponenten mindestens einen bekannten Sicherheitsmangel hatten. Sie offenbaren darüber hinaus, dass Downloads von qualitativ schlechten Komponenten in die Produktion gelangen.
  • Elemente veralten und sind schnell überholt. Ältere Komponenten (also älter als zwei Jahre), die in Applikationen eingesetzt werden, sind überproportional fehlerbehaftet. Das Vorhandensein von Schwachstellen ist bei diesen Komponenten dreimal wahrscheinlicher.

Die Industrie ergreift Maßnahmen

  • Leistungsstarke Unternehmen, staatliche Aufsichtsbehörden und Industrieverbände befolgen die Grundsätze der Software Supply Chain Automation, um den Schutz, die Qualität und die Sicherheit von Software zu verbessern.

„Wir haben festgestellt, dass Organisationen im Bereich Software-Entwicklung erhebliche technische Schulden machen, weil sie ihre Software Supply Chain nicht effektiv verwalten, was völlig vermeidbar wäre. Die vielen Arbeitsstunden, die aufgrund von Betriebsstörungen und Sicherheitsverletzungen anfallen, könnten anderweitig viel wertschöpfender für Unternehmen und deren Kunden investiert werden“, erklärt Wayne Jackson, CEO, Sonatype. „Durch unsere Untersuchung haben wir festgestellt, dass leistungsstarke Entwicklungsorganisationen die Software-Innovation, -Qualität und -Sicherheit fördern, indem sie die Grundprinzipien des Supply-Chain-Managements beherzigen. Darüber hinaus setzen sie weniger, dafür jedoch bessere Lieferanten ein, die nur die hochwertigsten Teile verwenden und die genaue Lage eines jeden Bestandteils ihrer Software erfassen.“

„Open-Source- und kommerzielle Komponenten von Drittanbietern ermöglichen Unternehmen, schnell zu liefern, weil sie insgesamt weniger Code schreiben müssen. Ähnlich wie Hersteller gelernt haben, ihre Lieferanten zu überwachen und zu verwalten, müssen die Spezialisten in der Anwendungsentwicklung und -bereitstellung lernen, dass sie die immer komplexer werdenden Lieferketten managen müssen“, schrieben die Analysten Kurt Bittner, Diego Lo Giudice und Amy DeMartine in dem im März 2016 veröffentlichten Forrester Bericht mit dem Titel „Boost Application Delivery Speed And Quality With Agile DevOps Practices“ (Wie man mit agilen DevOps-Verfahren die Anwendungsbereitstellung beschleunigt und die Qualität verbessert). „Jede Komponente birgt sowohl Vorteile als auch Risiken. Sie müssen diese Risiken managen, indem Sie die besten Komponenten und Lieferanten auswählen und indem Sie sicherstellen, dass die Teams für die Bereitstellung ausschließlich die neueste und sicherste Version der ausgewählten Komponenten verwenden.“ Am 13. Juli findet für Interessierte ein Webinar statt, in dem die Ergebnisse des Berichts durchgegangen werden. (pi/rnf)


Mehr Artikel

Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien. (c) WeinwurmFotografie
Interview

IT-Berufe im Fokus: Innovative Lösungen gegen den Fachkräftemangel

Angesichts des anhaltenden IT-Fachkräftemangels ist schnelles Handeln gefordert. Die Fachgruppe IT der UBIT Wien setzt in einer Kampagne genau hier an: Mit einem breiten Ansatz soll das vielfältige Berufsbild attraktiver gemacht und innovative Ausbildungswege aufgezeigt werden. IT WELT.at hat dazu mit Rüdiger Linhart, Vorsitzender der Berufsgruppe IT der Fachgruppe UBIT Wien, ein Interview geführt. […]

News

ISO/IEC 27001 erhöht Informationssicherheit bei 81 Prozent der zertifizierten Unternehmen

Eine Umfrage unter 200 Personen verschiedener Branchen und Unternehmensgrößen in Österreich hat erstmals abgefragt, inwiefern der internationale Standard für Informationssicherheits-Managementsysteme (ISO/IEC 27001) bei der Bewältigung von Security-Problemen in der Praxis unterstützt. Ergebnis: Rund 81 Prozent der zertifizierten Unternehmen gaben an, dass sich durch die ISO/IEC 27001 die Informationssicherheit in ihrem Unternehmen erhöht hat. […]

News

Public Key Infrastructure: Best Practices für einen erfolgreichen Zertifikats-Widerruf

Um die Sicherheit ihrer Public Key Infrastructure (PKI) aufrecht zu erhalten, müssen PKI-Teams, sobald bei einer Zertifizierungsstelle eine Sicherheitslücke entdeckt worden ist, sämtliche betroffenen Zertifikate widerrufen. Ein wichtiger Vorgang, der zwar nicht regelmäßig, aber doch so häufig auftritt, dass es sich lohnt, PKI-Teams einige Best Practices für einen effektiven und effizienten Zertifikatswiderruf an die Hand zu geben. […]

News

UBIT Security-Talk: Cyberkriminalität wächst unaufhaltsam

Jedes Unternehmen, das IT-Systeme nutzt, ist potenziell gefährdet Opfer von Cyberkriminalität zu werden, denn die Bedrohung und die Anzahl der Hackerangriffe in Österreich nimmt stetig zu. Die Experts Group IT-Security der Wirtschaftskammer Salzburg lädt am 11. November 2024 zum „UBIT Security-Talk Cyber Defense“ ein, um Unternehmen in Salzburg zu unterstützen, sich besser gegen diese Bedrohungen zu wappnen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*