2017 State of the Software Supply Chain Report von Sonatype DevOps macht Open-Source-Einsatz sicherer

Autor Stephan Augsten |

In der Software-Lieferkette finden sich immer häufiger Open-Source-Komponenten. DevOps-Strategien und ein aktives Management helfen dabei, defekte Komponenten besser zu erkennen, wie der jüngste Software Supply Chain Report von Sonatype unterstreicht.

Anbieter zum Thema

Der Software Supply Chain Report von Sonatype gibt unter anderem einen Überblick über den Einsatz von Open-Source-Code im Unternehmen.
Der Software Supply Chain Report von Sonatype gibt unter anderem einen Überblick über den Einsatz von Open-Source-Code im Unternehmen.
(© Sonatype)

Für den 2017 Software Supply Chain Report hat Sonatype mehr als 17.000 Applikationen analysiert. Dabei zeigte sich, dass sich die Produktivität der Entwickler bei einer aktiven Steuerung der eingesetzten Open-Source-Komponenten um 28 Prozentpunkte erhöhte. Die gesamten Entwicklungskosten ließen sich um 30 Prozent reduzieren.

Im gleichen Atemzug erhöhte sich die Qualität der Applikationen um 48 Prozent. Bei Anwendungen, deren Code-Herkunft mithilfe automatisierter Tools überwacht wurde, ging der Anteil defekter Komponenten um 63 Prozent zurück. Auch dies hat dank entfallender Nacharbeit und Bug-Fixes positive Auswirkungen auf die Produktivität.

Bei der Untersuchung hat Sonatype ein Augenmerk auf quelloffenen Code gelegt, weil der Einsatz von Open-Source-Komponenten massiv gewachsen ist: Im Verlauf des Jahres stieg die Zahl der Downloads von Java-Komponenten um 68 Prozent (52 Milliarden im Jahr 2016), JavaScript-Downloads stiegen um 262 Prozent (59 Milliarden im Jahr 2016) und die Nachfrage nach Docker-Komponenten wird voraussichtlich um 100 Prozent (12 Milliarden Downloads) wachsen.

Dies sei vor allem deshalb ein Risiko, weil die Hersteller von Open-Source-Komponenten beim Beheben von Schwachstellen langsam agierten. Nur 15,8 Prozent der Open-Source-Projekte beheben laut Sonatype aktiv Schwachstellen – und selbst dann lag die mittlere Zeit dafür bei 233 Tagen.

Allerdings scheint es so, als befassten sich die Unternehmen vermehrt mit dem Thema, denn die Anzahl der heruntergeladenen Komponenten mit bekannten Schwachstellen nahm leicht ab: Im Jahr 2016 lag der Anteil der Java-Komponenten, die aus dem Central Repository heruntergeladen wurden und bekannte Sicherheitslücken enthielten, bei 5,5 Prozent, das ist ein Rückgang von 0,6 Prozentpunkten gegenüber dem Vorjahr.

Der komplette 2017 Software Supply Chain Report ist bei Sonatype als Download kostenloser Download erhältlich.

(ID:44786057)