Sonatype, der führende Anbieter von entwicklerfreundlichen Tools für die Automatisierung und Sicherheit der Software Supply Chain, hat heute seinen siebten jährlichen State of the Software Supply Chain Report veröffentlicht, der ein anhaltend starkes Wachstum des Open Source-Angebots und der Dynamik der Nachfrage zeigt. Im Hinblick auf die Open-Source-Sicherheitsrisiken konstatiert der Bericht im Jahresvergleich einen 650-prozentigen Anstieg von Angriffen auf die Supply Chain, die auf öffentliche Upstream-Repositorys abzielten, sowie eine faszinierende Dichotomie in Bezug auf das Ausmaß bekannter Schwachstellen in populären und nicht-populären Projektversionen. Die diesjährige Forschungsarbeit stellt auch innovative empirische Metriken vor, die zur Identifizierung beispielhafter Projekte verwendet werden können, sowie datengestützte Anleitungen, die Software-Entwicklungsteams bei der Optimierung von Entscheidungen darüber helfen, wann sie auf neue Versionen von Open-Source-Bibliotheken aktualisieren und wann nicht.  Basierend auf den Antworten von 702 Software-Entwicklern zeigt die Studie eine grundlegende Diskrepanz zwischen den subjektiven Vorstellungen der Befragten über die Methoden des Software-Chain-Managements und den objektiven Ergebnissen, die anhand von 100.000 Anwendungen ermittelt wurden.

Der 2021 State of the Software Supply Chain Report von Sonatype kombiniert ein breites Spektrum an öffentlichen und proprietären Daten, um wichtige Trends in der modernen Software-Entwicklung aufzudecken.  Der diesjährige Bericht beleuchtet operative Angebots-, Nachfrage- und Sicherheitstrends im Kontext der Ökosysteme Java (Maven Central), JavaScript (npmjs), Python (PyPI) und .Net (nuget).  Darüber hinaus untersuchten die Forscher Software-Entwicklungsverfahren aus 100.000 Produktionsanwendungen und 4.000.000 Komponentenmigrationen, die von Entwicklern in den letzten 12 Monaten durchgeführt wurden.  Einige der wichtigsten Ergebnisse:

Open-Source-Angebot, -Nachfrage und -Sicherheitsdynamik:

  • Das Angebot stieg um 20%. Die vier wichtigsten Open-Source-Ökosysteme enthalten jetzt zusammen 37.451.682 verschiedene Versionen von Komponenten.
  • Die Nachfrage nahm um 73 % zu. Im Jahr 2021 werden Entwickler in aller Welt mehr als 2,2 Billionen Open-Source-Pakete aus den vier wichtigsten Ökosystemen herunterladen.
  • Die Anzahl der Angriffe ist um 650 % gestiegen. Im Jahr 2021 erlebte die Welt einen exponentiellen Anstieg von Angriffen auf die Software Supply Chain, die darauf abzielen, Schwachstellen in vorgelagerten (upstream) Open-Source-Ökosystemen auszunutzen.
  • Produktionsanwendungen nutzen nur 6 % aller verfügbaren Projekte. Trotz des riesigen Angebots an Open-Source-Projekten konzentriert sich die Nutzung auf eine erstaunlich kleine Anzahl populärer Projekte.
  • Populäre Projekte sind häufiger gefährdet. 29 % der populären Projektversionen enthalten mindestens eine bekannte Sicherheitslücke. Umgekehrt ist dies nur bei 6,5 % der weniger beliebten Projektversionen der Fall, was darauf hindeutet, dass sich Sicherheitsexperten (sowohl diejenigen, die zur IT-Sicherheit beitragen, als auch diejenigen mit kriminellen Absichten) auf die am häufigsten genutzten Projekte konzentrieren.

Empirische Metriken zur Ermittlung der besten Open-Source-Projekte:

  • Projekte mit einer schnelleren mittleren Aktualisierungszeit (MTTU) sind sicherer. Die Wahrscheinlichkeit, dass sie Schwachstellen aufweisen, ist um das 1,8-fache geringer.
  • Popularität ist kein guter Indikator für Sicherheit. Bei beliebten Open-Source-Projekten war die Wahrscheinlichkeit, dass sie Sicherheitslücken enthielten, um das 2,8-fache erhöht.

Die Verfahren zur Verwaltung von Abhängigkeiten variieren stark zwischen den Entwicklungsteams:

  • Software-Entwickler treffen in 69 % der Fälle suboptimale Entscheidungen bei der Aktualisierung von Drittanbieter-Abhängigkeiten. Neuere Versionen von Projekten sind im Allgemeinen besser, aber nicht immer die besten.
  • Kommerzielle Entwicklungsteams verwalten nur 25 % der von ihnen verwendeten Komponenten, dadurch sind die meisten ihrer Open-Source-Abhängigkeiten veraltet und anfällig für erhöhte Sicherheitsrisiken.
  • Durch Automatisierung könnten Unternehmen 192.000 US-Dollar pro Jahr einsparen. Ausgestattet mit intelligenter Automatisierung würde ein mittelgroßes Unternehmen mit 20 Applikationsentwicklungsteams insgesamt 160 Entwicklertage pro Jahr einsparen.

Verfahren zum Management der Software Supply Chain:  Wahrnehmung vs. Realität

  • Es besteht eine Diskrepanz zwischen subjektiven Umfrageergebnissen und objektiven Daten. Die Befragten sind der Meinung, dass sie bei der Beseitigung fehlerhafter Komponenten gute Arbeit leisten, und meinen zu wissen, wo die Risiken liegen. Objektive Untersuchungen belegen jedoch, dass es den Entwicklungsteams an strukturierter Anleitung mangelt und sie häufig suboptimale Entscheidungen in Bezug auf das Software Supply Chain Management treffen.

"Der diesjährige State of the Software Supply Chain Report zeigt einmal mehr, dass Open Source sowohl ein wichtiger Antriebsfaktor für digitale Innovationen als auch ein lohnendes Ziel für Angriffe auf die Software Supply Chain ist", so Matt Howard, EVP von Sonatype. "Während die Nachfrage von Entwicklern nach Open Source weiterhin exponentiell wächst, zeigt unsere Untersuchung zum ersten Mal, wie wenig das Gesamtangebot tatsächlich genutzt wird.  Außerdem wissen wir jetzt, dass beliebte Projekte unverhältnismäßig viele Schwachstellen aufweisen. Diese drastische Realität unterstreicht sowohl die große Verantwortung als auch die Chance für Entwicklungsleiter, intelligente Automatisierung zu nutzen, um die besten Open-Source-Anbieter als Standard zu verwenden und gleichzeitig den Entwicklern zu helfen, die Bibliotheken von Drittanbietern mit optimalen Versionen auf dem neuesten Stand zu halten.

Zusätzliche Ressourcen

Über SONATYPE Inc.

Sonatype ist der führende Anbieter von entwicklerfreundlicher, umfassender Software Supply Chain-Automatisierung, die Unternehmen die volle Kontrolle über ihre Cloud-nativen Development Lifecycles bietet, einschließlich Open Source Code von Drittanbietern, First Party Source Code, Infrastructure as Code und Containerized Code. Das Unternehmen unterstützt 70 % der Fortune-100-Unternehmen und bietet kommerzielle und Open Source Tools, auf die 15 Millionen Entwickler in aller Welt vertrauen. Mit der Vision, die Art und Weise, wie die Welt innoviert, zu verändern, hilft Sonatype Unternehmen jeder Größe, qualitativ hochwertigere Software zu entwickeln, die besser auf die Unternehmensanforderungen abgestimmt, wartungsfreundlicher und sicherer ist.

Sonatype wurde von Fast Company zwei Jahre in Folge als einer der weltweit besten Arbeitsplätze für Innovatoren ausgezeichnet und in die Liste der "Deloitte Technology Fast 500 and Inc." aufgenommen.

Firmenkontakt und Herausgeber der Meldung:

SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com

Ansprechpartner:
Martina Kunze
PR für Sonatype
Telefon: +49 7042 1205073
E-Mail: sonatype@martinakunze.com
Für die oben stehende Pressemitteilung ist allein der jeweils angegebene Herausgeber (siehe Firmenkontakt oben) verantwortlich. Dieser ist in der Regel auch Urheber des Pressetextes, sowie der angehängten Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH übernimmt keine Haftung für die Korrektheit oder Vollständigkeit der dargestellten Meldung. Auch bei Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit. Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet.

counterpixel