Neue Untersuchungen von Sonatype offenbaren eine massive Zunahme bei der Verwendung von Open-Source-Komponenten, persistente Fehlerquoten und mehr Akzeptanz von Supply-Chain-Prinzipien, um die Software-Qualität und Sicherheit zu verbessern. [...]
Sonatype, ein Anbieter im Bereich Software Supply-Chain-Automatisierung, hat heute zum zweiten Mal seinen jährlichen Software Supply Chain Bericht veröffentlicht. Er basiert auf der Analyse von 31 Milliarden Download-Anforderungen von Open-Source-Software-Komponenten aus dem von Sonatype verwalteten Central Repository, und bietet einen Einblick in die Software-Supply-Chain-Praktiken von 3.000 Entwicklungsorganisationen. Darüber hinaus umfasst er die Software-Komponenten-Analyse von 25.000 Anwendungen.
Die wichtigsten Ergebnisse des Berichts:
Angebot und Nachfrage waren nie größer
- Die Zahl der Download-Anfragen für Open-Source-Komponenten hat sich von 17 Milliarden im Jahr 2014 auf 31 Milliarden im Jahr 2015 drastisch erhöht. Das entspricht einer Steigerung von 82 Prozent gegenüber dem Vorjahr.
- 10.000 neue Komponentenversionen werden täglich über die Ökosysteme für Software-Entwicklung vorgestellt.
Die Beschaffungspraktiken für Komponenten sind ineffizient und Software-Schwachstellen allgegenwärtig
- Unternehmen laden weltweit jährlich mehr als 229.000 Komponenten herunter, jedoch sind im Durchschnitt nur 5.000 der Komponenten-Downloads Unikate. Mit Blick auf 500 Unternehmen in der DACH-Region ändern sich die Zahlen ein wenig: Bei ihnen betrug die durchschnittliche Anzahl der jährlichen Komponenten-Downloads 108.000.
- Open-Source-Komponenten unterscheiden sich sehr hinsichtlich ihrer Qualität. 6,1 Prozent der weltweiten Downloads (1 von 16 Komponenten) bergen bekannte Sicherheitsmängel. Von den Downloads im DACH-Raum haben immerhin 3,9 Prozent der Komponenten-Downloads mindestens eine bekannte Sicherheitslücke. Auch wenn das ein geringerer Wert ist, sind dies immer noch durchschnittlich 4.200 angreifbare Komponenten-Downloads jährlich.
Organisationen haben Probleme mit angreifbaren Komponenten
- Die Daten von 25.000 Anwendungen zeigen, dass 6,8 Prozent der eingesetzten Komponenten mindestens einen bekannten Sicherheitsmangel hatten. Sie offenbaren darüber hinaus, dass Downloads von qualitativ schlechten Komponenten in die Produktion gelangen.
- Elemente veralten und sind schnell überholt. Ältere Komponenten (also älter als zwei Jahre), die in Applikationen eingesetzt werden, sind überproportional fehlerbehaftet. Das Vorhandensein von Schwachstellen ist bei diesen Komponenten dreimal wahrscheinlicher.
Die Industrie ergreift Maßnahmen
- Leistungsstarke Unternehmen, staatliche Aufsichtsbehörden und Industrieverbände befolgen die Grundsätze der Software Supply Chain Automation, um den Schutz, die Qualität und die Sicherheit von Software zu verbessern.
„Wir haben festgestellt, dass Organisationen im Bereich Software-Entwicklung erhebliche technische Schulden machen, weil sie ihre Software Supply Chain nicht effektiv verwalten, was völlig vermeidbar wäre. Die vielen Arbeitsstunden, die aufgrund von Betriebsstörungen und Sicherheitsverletzungen anfallen, könnten anderweitig viel wertschöpfender für Unternehmen und deren Kunden investiert werden“, erklärt Wayne Jackson, CEO, Sonatype. „Durch unsere Untersuchung haben wir festgestellt, dass leistungsstarke Entwicklungsorganisationen die Software-Innovation, -Qualität und -Sicherheit fördern, indem sie die Grundprinzipien des Supply-Chain-Managements beherzigen. Darüber hinaus setzen sie weniger, dafür jedoch bessere Lieferanten ein, die nur die hochwertigsten Teile verwenden und die genaue Lage eines jeden Bestandteils ihrer Software erfassen.“
„Open-Source- und kommerzielle Komponenten von Drittanbietern ermöglichen Unternehmen, schnell zu liefern, weil sie insgesamt weniger Code schreiben müssen. Ähnlich wie Hersteller gelernt haben, ihre Lieferanten zu überwachen und zu verwalten, müssen die Spezialisten in der Anwendungsentwicklung und -bereitstellung lernen, dass sie die immer komplexer werdenden Lieferketten managen müssen“, schrieben die Analysten Kurt Bittner, Diego Lo Giudice und Amy DeMartine in dem im März 2016 veröffentlichten Forrester Bericht mit dem Titel „Boost Application Delivery Speed And Quality With Agile DevOps Practices“ (Wie man mit agilen DevOps-Verfahren die Anwendungsbereitstellung beschleunigt und die Qualität verbessert). „Jede Komponente birgt sowohl Vorteile als auch Risiken. Sie müssen diese Risiken managen, indem Sie die besten Komponenten und Lieferanten auswählen und indem Sie sicherstellen, dass die Teams für die Bereitstellung ausschließlich die neueste und sicherste Version der ausgewählten Komponenten verwenden.“ Am 13. Juli findet für Interessierte ein Webinar statt, in dem die Ergebnisse des Berichts durchgegangen werden. (pi/rnf)
Be the first to comment