Sonatype 13.07.2016, 00:00 Uhr

Software Supply Chain Bericht 2016

Neue Untersuchungen offenbaren eine massive Zunahme bei der Verwendung von Open-Source-Komponenten, persistente Fehlerquoten und mehr Akzeptanz von Supply-Chain-Prinzipien.
Sonatype, Anbieter im Bereich Software-Supply-Chain-Automatisierung, veröffentlicht jährlich einen Software-Supply-Chain-Bericht. Gerade ist die neueste Ausgabe erschienen. Basierend auf der Analyse von 31 Milliarden Download-Anforderungen von Open-Source-Software-Komponenten aus dem von Sonatype verwalteten Central Repository, bietet der Bericht einen Einblick in die Software-Supply-Chain-Praktiken von 3.000 Entwicklungsorganisationen und umfasst darüber hinaus die Software-Komponenten-Analyse von 25.000 Anwendungen. Hier die wichtigsten Ergebnisse des Berichts.
Angebot und Nachfrage waren nie größer. Die Zahl der Download-Anfragen für Open-Source-Komponenten hat sich von 17 Milliarden im Jahr 2014 auf 31 Milliarden im Jahr 2015 drastisch erhöht. Das entspricht einer Steigerung von 82 Prozent gegenüber dem Vorjahr. 10.000 neue Komponentenversionen werden täglich über die Ökosysteme für Software-Entwicklung vorgestellt.
Die Beschaffungspraktiken für Komponenten sind ineffizient und Software-Schwachstellen allgegenwärtig. Unternehmen laden jährlich mehr als 229.000 Komponenten herunter, jedoch sind im Durchschnitt nur 5.000 der Komponenten-Downloads Unikate. Open-Source-Komponenten unterscheiden sich sehr puncto Qualität. 6,1 Prozent der Downloads (1 von 16 Komponenten) bergen bekannte Sicherheitsmängel.
Organisationen haben Probleme mit angreifbaren Komponenten. Die Daten von 25.000 Anwendungen zeigen, dass 6,8 Prozent der eingesetzten Komponenten mindestens einen bekannten Sicherheitsmangel hatten. Sie offenbaren darüber hinaus, dass Downloads von qualitativ schlechten Komponenten in die Produktion gelangen. Elemente veralten und sind schnell überholt. Ältere Komponenten (> 2 Jahre), die in Applikationen eingesetzt werden, sind überproportional fehlerbehaftet. Das Vorhandensein von Schwachstellen ist bei diesen Komponenten dreimal wahrscheinlicher.
Mit Blick auf 300 Unternehmen in Deutschland: Die durchschnittliche Anzahl der jährlichen Komponenten-Downloads betrug 151,490 (im Vergleich zu 229,898 in unserer globalen Analyse von Unternehmen). Von diesen Komponenten-Downloads hatten 3,8 Prozent mindestens eine bekannte Sicherheitslücke – gegenüber 6,1 Prozent der weltweiten Downloads. Auch wenn 3,8 Prozent ein geringerer Wert ist, sind dies immer noch durchschnittlich 5.832 angreifbare Komponenten-Downloads jährlich.
Die Industrie ergreift Maßnahmen. Leistungsstarke Unternehmen, staatliche Aufsichtsbehörden und Industrieverbände befolgen die Grundsätze der Software Supply Chain Automation, um den Schutz, die Qualität und die Sicherheit von Software zu verbessern.
"Wir haben festgestellt, dass Organisationen im Bereich Software-Entwicklung erhebliche technische Schulden machen, weil sie ihre Software Supply Chain nicht effektiv verwalten, was völlig vermeidbar wäre. Die vielen Arbeitsstunden, die aufgrund von Betriebsstörungen und Sicherheitsverletzungen anfallen, könnten anderweitig viel wertschöpfender für Unternehmen und deren Kunden investiert werden", erklärt Wayne Jackson, CEO, Sonatype. "Durch unsere Untersuchung haben wir festgestellt, dass leistungsstarke Entwicklungsorganisationen die Software-Innovation, -Qualität und -Sicherheit fördern, indem sie die Grundprinzipien des Supply-Chain-Managements beherzigen. Darüber hinaus setzen sie weniger, dafür jedoch bessere Lieferanten ein, die nur die hochwertigsten Teile verwenden und die genaue Lage eines jeden Bestandteils ihrer Software erfassen. "
"Open-Source- und kommerzielle Komponenten von Drittanbietern ermöglichen Unternehmen, schnell zu liefern, weil sie insgesamt weniger Code schreiben müssen. Ähnlich wie Hersteller gelernt haben, ihre Lieferanten zu überwachen und zu verwalten, müssen die Spezialisten in der Anwendungsentwicklung und -bereitstellung lernen, dass sie die immer komplexer werdenden Lieferketten managen müssen," schrieben die Analysten Kurt Bittner, Diego Lo Giudice und Amy DeMartine in dem im März 2016 veröffentlichten Forrester Bericht mit dem Titel "Boost Application Delivery Speed And Quality With Agile DevOps Practices (Wie man mit agilen DevOps-Verfahren die Anwendungsbereitstellung beschleunigt und die Qualität verbessert). "Jede Komponente birgt sowohl Vorteile als auch Risiken. Sie müssen diese Risiken managen, indem Sie die besten Komponenten und Lieferanten auswählen und indem Sie sicherstellen, dass die Teams für die Bereitstellung ausschließlich die neueste und sicherste Version der ausgewählten Komponenten verwenden." [bl]



Das könnte Sie auch interessieren