Suchen

2019 State of the Software Supply Chain Report Best Practices von 36.000 Open-Source-Projekten

Redakteur: Stephan Augsten

Wie viel effizienter, sicherer und standardisierter arbeiten die besten Open-Source-Entwicklerteams und kommerziellen Software-Schmieden im Vergleich zum Durchschnitt? Sonatype hat im Rahmen des „State of the Software Supply Chain“-Reports eine solche Auswertung gemacht.

Firmen zum Thema

Was machen die besten Development-Teams besser als der Durchschnitt? Damit befasst sich Sonatype im Report „Stand der Software-Lieferketten 2019“.
Was machen die besten Development-Teams besser als der Durchschnitt? Damit befasst sich Sonatype im Report „Stand der Software-Lieferketten 2019“.
(Bild gemeinfrei: mcmurryjulie / Pixabay )

Im mittlerweile fünften jährlichen „State of the Software Supply Chain Report“ hat Sonatype die Best Practices aus vorbildlichen Open-Source- und kommerziellen Softwareprojekten gesammelt. Für die Open-Source-Auswertung arbeiteten die Software-Lieferketten-Experten mit Gene Kim von IT Revolution und Dr. Stephen Magill von Galois und MuseDev zusammen.

Gemeinsam mit Sonatype untersuchten und dokumentierten die Wissenschaftler objektiv die Release-Muster und Code-Hygiene-Verfahren von 36.000 Open-Source-Projektteams und 3,7 Millionen Open-Source-Releases. Die 295 besten Open-Source-Projekte wurden dann für den Vergleich zum Durchschnitt herangezogen.

Dem Bericht zufolge warteten die besten Teams mit einer um das 18-fach schnelleren Aktualisierung bestehender Abhängigkeiten auf. Bei der Behebung von Schwachstellen waren sie 3,4 Mal schneller als der Durchschnitt, bei den Komponenten-Releases immerhin noch doppelt so schnell.

Dies ist nicht nur darauf zurückzuführen, dass die „vorbildlichen“ Open-Source-Projekte sechs Mal populärer waren und um ein Drittel größere Entwicklungsteams stellten. Es bestand auch eine 4-fach höhere Wahrscheinlichkeit, von einer Open-Source-Foundation verwaltet zu werden.

Die Best Practices kommerzieller Entwickler

Die Forschungsteams untersuchten zudem 12.000 kommerzielle Entwicklungsteams und befragten mehr als 6.200 Entwickler. Hier besteht bei den besten Teams gegenüber dem Durchschnitt eine 2,6-mal geringere Wahrscheinlichkeit, dass die Aktualisierung anfälliger Komponenten als „schmerzhafter“ Eingriff erachtet wird.

Mit einer 11-mal höheren Wahrscheinlichkeit sind für das Einfügen neuer Abhängigkeiten entsprechende Prozessketten bzw. Workflows hinterlegt. Einen eigenen Prozess zur aktiven Beseitigung problematischer oder ungenutzter Abhängigkeiten findet man in den beispielhaften Teams mit einer 9,3-mal höheren, automatisierte Tools zur Verfolgung, Verwaltung und/oder Sicherstellung der Richtlinienkonformität von Abhängigkeiten mit einer 12-fache höheren Wahrscheinlichkeit.

Dr. Stephen Magill, Principal Scientist bei Galois & CEO von MuseDev, äußerte sich erfreut darüber, „dass die Projekte einen hohen Qualitätsstandard in Bezug auf die Dimensionen Teamgröße, Aktualisierungshäufigkeit, Foundation-Support und Anzahl der Abhängigkeiten beibehalten.“ Und doch zeigten sich klare Trends: Leistungsträger würden eher von der Foundations unterstützt, größere Teams leiteten in der Regel Projekte mit vielen Abhängigkeiten.

Den vollständigen 2019 State of the Software Supply Chain Report können Interessierte auf der Website des Herstellers herunterladen, weitere Ausführungen finden sich im Blog von Sonatype.

(ID:45991776)