2017 State of the Software Supply Chain Report von Sonatype

DevOps macht Open-Source-Einsatz sicherer

| Redakteur: Stephan Augsten

Der Software Supply Chain Report von Sonatype gibt unter anderem einen Überblick über den Einsatz von Open-Source-Code im Unternehmen.
Bildergalerie: 1 Bild
Der Software Supply Chain Report von Sonatype gibt unter anderem einen Überblick über den Einsatz von Open-Source-Code im Unternehmen. (© Sonatype)

In der Software-Lieferkette finden sich immer häufiger Open-Source-Komponenten. DevOps-Strategien und ein aktives Management helfen dabei, defekte Komponenten besser zu erkennen, wie der jüngste Software Supply Chain Report von Sonatype unterstreicht.

Für den 2017 Software Supply Chain Report hat Sonatype mehr als 17.000 Applikationen analysiert. Dabei zeigte sich, dass sich die Produktivität der Entwickler bei einer aktiven Steuerung der eingesetzten Open-Source-Komponenten um 28 Prozentpunkte erhöhte. Die gesamten Entwicklungskosten ließen sich um 30 Prozent reduzieren.

Im gleichen Atemzug erhöhte sich die Qualität der Applikationen um 48 Prozent. Bei Anwendungen, deren Code-Herkunft mithilfe automatisierter Tools überwacht wurde, ging der Anteil defekter Komponenten um 63 Prozent zurück. Auch dies hat dank entfallender Nacharbeit und Bug-Fixes positive Auswirkungen auf die Produktivität.

Bei der Untersuchung hat Sonatype ein Augenmerk auf quelloffenen Code gelegt, weil der Einsatz von Open-Source-Komponenten massiv gewachsen ist: Im Verlauf des Jahres stieg die Zahl der Downloads von Java-Komponenten um 68 Prozent (52 Milliarden im Jahr 2016), JavaScript-Downloads stiegen um 262 Prozent (59 Milliarden im Jahr 2016) und die Nachfrage nach Docker-Komponenten wird voraussichtlich um 100 Prozent (12 Milliarden Downloads) wachsen.

Dies sei vor allem deshalb ein Risiko, weil die Hersteller von Open-Source-Komponenten beim Beheben von Schwachstellen langsam agierten. Nur 15,8 Prozent der Open-Source-Projekte beheben laut Sonatype aktiv Schwachstellen – und selbst dann lag die mittlere Zeit dafür bei 233 Tagen.

Allerdings scheint es so, als befassten sich die Unternehmen vermehrt mit dem Thema, denn die Anzahl der heruntergeladenen Komponenten mit bekannten Schwachstellen nahm leicht ab: Im Jahr 2016 lag der Anteil der Java-Komponenten, die aus dem Central Repository heruntergeladen wurden und bekannte Sicherheitslücken enthielten, bei 5,5 Prozent, das ist ein Rückgang von 0,6 Prozentpunkten gegenüber dem Vorjahr.

Der komplette 2017 Software Supply Chain Report ist bei Sonatype als Download kostenloser Download erhältlich.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 44786057 / Quellcode-Management)