Der 2021 State of the Software Supply Chain Report von Sonatype kombiniert ein breites Spektrum an öffentlichen und proprietären Daten, um wichtige Trends in der modernen Software-Entwicklung aufzudecken. Der diesjährige Bericht beleuchtet operative Angebots-, Nachfrage- und Sicherheitstrends im Kontext der Ökosysteme Java (Maven Central), JavaScript (npmjs), Python (PyPI) und .Net (nuget). Darüber hinaus untersuchten die Forscher Software-Entwicklungsverfahren aus 100.000 Produktionsanwendungen und 4.000.000 Komponentenmigrationen, die von Entwicklern in den letzten 12 Monaten durchgeführt wurden. Einige der wichtigsten Ergebnisse:
Open-Source-Angebot, -Nachfrage und -Sicherheitsdynamik:
- Das Angebot stieg um 20%. Die vier wichtigsten Open-Source-Ökosysteme enthalten jetzt zusammen 37.451.682 verschiedene Versionen von Komponenten.
- Die Nachfrage nahm um 73 % zu. Im Jahr 2021 werden Entwickler in aller Welt mehr als 2,2 Billionen Open-Source-Pakete aus den vier wichtigsten Ökosystemen herunterladen.
- Die Anzahl der Angriffe ist um 650 % gestiegen. Im Jahr 2021 erlebte die Welt einen exponentiellen Anstieg von Angriffen auf die Software Supply Chain, die darauf abzielen, Schwachstellen in vorgelagerten (upstream) Open-Source-Ökosystemen auszunutzen.
- Produktionsanwendungen nutzen nur 6 % aller verfügbaren Projekte. Trotz des riesigen Angebots an Open-Source-Projekten konzentriert sich die Nutzung auf eine erstaunlich kleine Anzahl populärer Projekte.
- Populäre Projekte sind häufiger gefährdet. 29 % der populären Projektversionen enthalten mindestens eine bekannte Sicherheitslücke. Umgekehrt ist dies nur bei 6,5 % der weniger beliebten Projektversionen der Fall, was darauf hindeutet, dass sich Sicherheitsexperten (sowohl diejenigen, die zur IT-Sicherheit beitragen, als auch diejenigen mit kriminellen Absichten) auf die am häufigsten genutzten Projekte konzentrieren.
Empirische Metriken zur Ermittlung der besten Open-Source-Projekte:
- Projekte mit einer schnelleren mittleren Aktualisierungszeit (MTTU) sind sicherer. Die Wahrscheinlichkeit, dass sie Schwachstellen aufweisen, ist um das 1,8-fache geringer.
- Popularität ist kein guter Indikator für Sicherheit. Bei beliebten Open-Source-Projekten war die Wahrscheinlichkeit, dass sie Sicherheitslücken enthielten, um das 2,8-fache erhöht.
Die Verfahren zur Verwaltung von Abhängigkeiten variieren stark zwischen den Entwicklungsteams:
- Software-Entwickler treffen in 69 % der Fälle suboptimale Entscheidungen bei der Aktualisierung von Drittanbieter-Abhängigkeiten. Neuere Versionen von Projekten sind im Allgemeinen besser, aber nicht immer die besten.
- Kommerzielle Entwicklungsteams verwalten nur 25 % der von ihnen verwendeten Komponenten, dadurch sind die meisten ihrer Open-Source-Abhängigkeiten veraltet und anfällig für erhöhte Sicherheitsrisiken.
- Durch Automatisierung könnten Unternehmen 192.000 US-Dollar pro Jahr einsparen. Ausgestattet mit intelligenter Automatisierung würde ein mittelgroßes Unternehmen mit 20 Applikationsentwicklungsteams insgesamt 160 Entwicklertage pro Jahr einsparen.
Verfahren zum Management der Software Supply Chain: Wahrnehmung vs. Realität
- Es besteht eine Diskrepanz zwischen subjektiven Umfrageergebnissen und objektiven Daten. Die Befragten sind der Meinung, dass sie bei der Beseitigung fehlerhafter Komponenten gute Arbeit leisten, und meinen zu wissen, wo die Risiken liegen. Objektive Untersuchungen belegen jedoch, dass es den Entwicklungsteams an strukturierter Anleitung mangelt und sie häufig suboptimale Entscheidungen in Bezug auf das Software Supply Chain Management treffen.
"Der diesjährige State of the Software Supply Chain Report zeigt einmal mehr, dass Open Source sowohl ein wichtiger Antriebsfaktor für digitale Innovationen als auch ein lohnendes Ziel für Angriffe auf die Software Supply Chain ist", so Matt Howard, EVP von Sonatype. "Während die Nachfrage von Entwicklern nach Open Source weiterhin exponentiell wächst, zeigt unsere Untersuchung zum ersten Mal, wie wenig das Gesamtangebot tatsächlich genutzt wird. Außerdem wissen wir jetzt, dass beliebte Projekte unverhältnismäßig viele Schwachstellen aufweisen. Diese drastische Realität unterstreicht sowohl die große Verantwortung als auch die Chance für Entwicklungsleiter, intelligente Automatisierung zu nutzen, um die besten Open-Source-Anbieter als Standard zu verwenden und gleichzeitig den Entwicklern zu helfen, die Bibliotheken von Drittanbietern mit optimalen Versionen auf dem neuesten Stand zu halten.
Zusätzliche Ressourcen
- Lesen Sie den State of the Software Supply Chain Report 2021
- Lesen Sie den Sonatype Blog
- Erstellen Sie kostenlos eine Software Bill of Materials
- Weitere Informationen über die Software Supply Chain Automatisierungslösungen von Sonatype
Sonatype ist der führende Anbieter von entwicklerfreundlicher, umfassender Software Supply Chain-Automatisierung, die Unternehmen die volle Kontrolle über ihre Cloud-nativen Development Lifecycles bietet, einschließlich Open Source Code von Drittanbietern, First Party Source Code, Infrastructure as Code und Containerized Code. Das Unternehmen unterstützt 70 % der Fortune-100-Unternehmen und bietet kommerzielle und Open Source Tools, auf die 15 Millionen Entwickler in aller Welt vertrauen. Mit der Vision, die Art und Weise, wie die Welt innoviert, zu verändern, hilft Sonatype Unternehmen jeder Größe, qualitativ hochwertigere Software zu entwickeln, die besser auf die Unternehmensanforderungen abgestimmt, wartungsfreundlicher und sicherer ist.
Sonatype wurde von Fast Company zwei Jahre in Folge als einer der weltweit besten Arbeitsplätze für Innovatoren ausgezeichnet und in die Liste der "Deloitte Technology Fast 500 and Inc." aufgenommen.
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
PR für Sonatype
Telefon: +49 7042 1205073
E-Mail: sonatype@martinakunze.com