State of the Software Supply Chain Report 2019 zeigt Best Practices von 36.000 Open-Source-Software-Entwicklungsteams auf

DevOps Enterprise Summit – 25. Juni 2019 — Sonatype veröffentlicht heute seinen fünften jährlichen "State of the Software Supply Chain Report". Der diesjährige Bericht enthüllt die Best Practices aus beispielhaften Open-Source-Software-Projekten und kommerziellen Anwendungsentwicklungsteams. Wie in den vergangenen Jahren wurde auch das schnell wachsende Angebot und der anhaltend exponentielle Anstieg des Verbrauchs von Open-Source-Komponenten untersucht.

Im Rahmen des Jahresberichts, der dieses Jahr sein 5-jähriges Bestehen feiert, arbeitete Sonatype mit Gene Kim von IT Revolution und Dr. Stephen Magill von Galois und MuseDev zusammen. Gemeinsam mit Sonatype untersuchten und dokumentierten die Wissenschaftler objektiv die Release-Muster und Hygieneverfahren im Zusammenhang mit Cyber-Sicherheit in 36.000 Open-Source-Projektteams und 3,7 Millionen Open-Source-Releases.  Der diesjährige Bericht enthält die 295 besten Open-Source-Projekte, die die folgenden Attribute aufweisen:

  • eine um das 18-fache schnellere Aktualisierung von Abhängigkeiten
  • 6,8-mal besser bei der Freigabe von Komponenten, bei denen alle Abhängigkeiten auf dem neuesten Stand sind
  • 3,4-mal schneller bei der Behebung von Schwachstellen
  • 6-mal populärer
  • 2-mal häufigere Komponenten-Releases
  • 33 % größere Entwicklungsteams
  • 4-fach höhere Wahrscheinlichkeit, dass sie von Open-Source-Foundations verwaltet werden als von kommerziellen Betreuern

Die Forschungsteams untersuchten auch 12.000 kommerzielle Entwicklungsteams und befragten mehr als 6.200 Entwickler. Ihre Ergebnisse zeigen, dass bei beispielhaften Entwicklungsteams

  • eine um 2,6-mal geringere Wahrscheinlichkeit besteht, dass die Aktualisierung anfälliger Komponenten als "schmerzhaft" erachtet wird.
  • es 11-mal wahrscheinlicher ist, dass ein Prozess verwendet wird, um eine neue Abhängigkeit hinzuzufügen (z. B. bewerten, genehmigen, standardisieren, etc.).
  • eine 9,3-mal höhere Wahrscheinlichkeit besteht, dass es einen Prozess zur aktiven Beseitigung problematischer oder ungenutzter Abhängigkeiten gibt.
  • die Wahrscheinlichkeit, dass automatisierte Tools zur Verfolgung, Verwaltung und/oder Sicherstellung der Richtlinienkonformität von Abhängigkeiten im Einsatz sind, um das 12-fache höher ist.
  • es 6,2-mal wahrscheinlicher ist, dass die neueste Version (oder die neueste Version – N) aller ihrer Abhängigkeiten verwendet wird.

"Wir haben Unternehmen schon lange geraten, sich auf die wenigsten Open-Source-Komponentenlieferanten mit den besten Referenzen zu verlassen, um die hochwertigste und risikoärmste Software zu entwickeln", erklärt Wayne Jackson, CEO von Sonatype. "Für Unternehmen, die ihre Software Supply Chain durch bessere Lieferantenauswahl, Komponentenauswahl und Automatisierung unter Kontrolle haben, sind die im diesjährigen Bericht genannten Erfolge beeindruckend.  Die Verwendung bekannter gefährdeter Komponenten wurde um 55 % reduziert."

"Es war ein Privileg, Teil dieser Forschungsarbeit zu sein, um den Zustand und die Nutzungsgepflogenheiten des Open-Source-Komponenten-Ökosystems besser zu verstehen, und dabei alle im Central Repository gespeicherten Java-Artefakte studieren zu können, das einige von uns als "Maven Central" kennen", erklärt Gene Kim, Autor, Wissenschaftler und Gründer von IT Revolution. "Es war unglaublich zu erkunden, wie beispielhafte Teams bessere Ergebnisse erzielen (Qualität, Sicherheit, Popularität) und welche Faktoren, wie Teamgröße, Release-Frequenz, Anzahl der Abhängigkeiten, ihre Strategie zur Aktualisierung, unter anderem damit zusammenhängen."

"Für mich war in dieser Studie besonders interessant, sowohl die allgemeinen Trends als auch die Ausreißer zu sehen.  Es ist erfreulich zu beobachten, dass die Projekte einen hohen Qualitätsstandard in Bezug auf die Dimensionen Teamgröße, Aktualisierungshäufigkeit, Foundation-Support und Anzahl der Abhängigkeiten beibehalten.  Und doch gibt es klare Trends. Leistungsträger werden eher von Foundations unterstützt. Projekte mit vielen Abhängigkeiten werden in der Regel von größeren Teams geleitet", sagt Dr. Stephen Magill, Principal Scientist bei Galois & CEO von MuseDev.

Über den State of the Software Supply Chain Report

Der State of the Software Supply Chain Report 2019 mischt eine breite Palette öffentlicher und geschützter Daten mit Expertenforschung und -analyse, um vorbildliche Software-Entwicklungspraktiken zu identifizieren. Der diesjährige Bericht wurde in Zusammenarbeit mit Gene Kim von IT Revolution und Dr. Stephen Magill von Galois und CEO von MuseDev erstellt. Die Ergebnisse des Berichts stammen aus der Analyse von 36.000 Open-Source-Projektteams, 3,7 Millionen Open-Source-Releases, 12.000 kommerziellen Entwicklungsteams und zwei Umfragen mit einer Gesamtbeteiligung von über 6.200 Entwicklern.  

Zusätzliche Ressourcen

 

Über SONATYPE Inc.

Mehr als 10 Millionen Software-Entwickler verlassen sich auf Sonatype, um schneller zu innovieren und gleichzeitig die mit Open Source verbundenen Sicherheitsrisiken zu minimieren. Die Nexus-Plattform von Sonatype kombiniert detaillierte Komponenteninformationen mit Echtzeit-Anleitungen zur Fehlerbehebung, um Open-Source-Governance in jeder Phase der modernen DevOps-Pipeline zu automatisieren und zu skalieren. Sonatype ist in Privatbesitz mit Beteiligungen von TPG, Goldman Sachs, Accel Partners und Hummer Winblad Venture Partners. Erfahren Sie mehr unter www.sonatype.com

Firmenkontakt und Herausgeber der Meldung:

SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com

Ansprechpartner:
Martina Kunze
PR für Sonatype
Telefon: +49 (7042) 1205073
E-Mail: mail@martinakunze.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel