Report: Open Source immer beliebter und dank DevOps risikoärmer

18.07.2017

Während quelloffene Software immer populärer wird, stagniert ihr Sicherheitsniveau. Deshalb rät die dritte Auflage des "State of the Software Supply Chain Report" von Sonatype, Open-Source-Software-Projekte aktiv zu steuern.

Laut des "2017 State of the Software Supply Chain Report" von Sonatype wächst der Konsum von Open-Source-Komponenten massiv. So sollen im Verlauf dieses Jahres beispielsweise die Zahl der Downloads von Java-Komponenten um voraussichtlich 68 Prozent (52 Milliarden im Jahr 2016) steigen und gleichzeitig die Anzahl der Downloads von JavaScript gar um 262 Prozent (59 Milliarden im Jahr 2016) und von Docker-Komponenten um 100 Prozent (12 Milliarden Downloads) wachsen.

Demgegenüber konstatiert der Bericht des US-Anbieters im Bereich Software Supply Chain Automation Security-Probleme durch eine andauernde Trägheit der Open-Source-Hersteller beim Beheben von Schwachstellen in ihrer Software. So bearbeiten laut des Reportes, der eine breite Palette öffentlicher und proprietärer Daten mit kompetenter Forschung und Analyse verbindet, lediglich 15,8 Prozent der OSS-Projekte überhaupt aktiv Schwachstellen und selbst dann liegt die mittlere Zeit dafür bei stolzen 233 Tagen.

Auch den Rat von Sonatype an Unternehmen, deshalb aktiv zu steuern, welche Komponenten aus welchen Open-Source-Software-Projekten sie letztlich einsetzen, untermauert der Hersteller mit Zahlen. So steigern Organisationen, die dies tun, die Qualität der Applikationen um 48 und die Produktivität der Entwickler um 28 Prozent und würden ihre Gesamtentwicklungskosten um 30 Prozent senken. Darüber hinaus habe die Analyse der insgesamt herangezogenen mehr als 17.000 Applikationen einen Rückgang des Anteiles defekter Komponenten um 63 Prozent für Anwendungen ergeben, welche von Teams erstellt werden, die automatisierte Governance-Tools nutzen.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Angriffe auf Open-Source-Projekte nehmen zu

Laut Untersuchungen der Firma Sonatype gab es in den letzten Monaten einen hohen Anstieg an Supply-Chain-Angriffen auf Open-Source-Softwareprojekte. Dem Bericht zufolge wurde in der Zeit zwischen Juli 2019 und Mai 2020 eine Anzahl von 929 Attacken verzeichnet. Im Vergleich dazu soll es in den vier Jahren zwischen Februar 2015 und Juni 2019 nur 216 solcher Angriffe gegeben haben.

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2020