Anzeige

Open Source

Sonatype hat seinen siebten jährlichen State of the Software Supply Chain Report veröffentlicht, der ein anhaltend starkes Wachstum des Open Source-Angebots und der Dynamik der Nachfrage zeigt. Die Nachfrage nach Open Source ist im Vergleich zum Vorjahr um 73 % gestiegen.

Im Hinblick auf die Open-Source-Sicherheitsrisiken konstatiert der Bericht im Jahresvergleich einen 650-prozentigen Anstieg von Angriffen auf die Supply Chain, die auf öffentliche Upstream-Repositorys abzielten, sowie eine faszinierende Dichotomie in Bezug auf das Ausmaß bekannter Schwachstellen in populären und nicht-populären Projektversionen. Die diesjährige Forschungsarbeit stellt auch innovative empirische Metriken vor, die zur Identifizierung beispielhafter Projekte verwendet werden können, sowie datengestützte Anleitungen, die Software-Entwicklungsteams bei der Optimierung von Entscheidungen darüber helfen, wann sie auf neue Versionen von Open-Source-Bibliotheken aktualisieren und wann nicht.  Basierend auf den Antworten von 702 Software-Entwicklern zeigt die Studie eine grundlegende Diskrepanz zwischen den subjektiven Vorstellungen der Befragten über die Methoden des Software-Chain-Managements und den objektiven Ergebnissen, die anhand von 100.000 Anwendungen ermittelt wurden.

Der 2021 State of the Software Supply Chain Report von Sonatype kombiniert ein breites Spektrum an öffentlichen und proprietären Daten, um wichtige Trends in der modernen Software-Entwicklung aufzudecken.  Der diesjährige Bericht beleuchtet operative Angebots-, Nachfrage- und Sicherheitstrends im Kontext der Ökosysteme Java (Maven Central), JavaScript (npmjs), Python (PyPI) und .Net (nuget).  Darüber hinaus untersuchten die Forscher Software-Entwicklungsverfahren aus 100.000 Produktionsanwendungen und 4.000.000 Komponentenmigrationen, die von Entwicklern in den letzten 12 Monaten durchgeführt wurden.  Einige der wichtigsten Ergebnisse:

Open-Source-Angebot, -Nachfrage und -Sicherheitsdynamik:

  • Das Angebot stieg um 20%. Die vier wichtigsten Open-Source-Ökosysteme enthalten jetzt zusammen 37.451.682 verschiedene Versionen von Komponenten.
     
  • Die Nachfrage nahm um 73 % zu. Im Jahr 2021 werden Entwickler in aller Welt mehr als 2,2 Billionen Open-Source-Pakete aus den vier wichtigsten Ökosystemen herunterladen.
     
  • Die Anzahl der Angriffe ist um 650 % gestiegen. Im Jahr 2021 erlebte die Welt einen exponentiellen Anstieg von Angriffen auf die Software Supply Chain, die darauf abzielen, Schwachstellen in vorgelagerten (upstream) Open-Source-Ökosystemen auszunutzen.
     
  • Produktionsanwendungen nutzen nur 6 % aller verfügbaren Projekte. Trotz des riesigen Angebots an Open-Source-Projekten konzentriert sich die Nutzung auf eine erstaunlich kleine Anzahl populärer Projekte.
     
  • Populäre Projekte sind häufiger gefährdet. 29 % der populären Projektversionen enthalten mindestens eine bekannte Sicherheitslücke. Umgekehrt ist dies nur bei 6,5 % der weniger beliebten Projektversionen der Fall, was darauf hindeutet, dass sich Sicherheitsexperten (sowohl diejenigen, die zur IT-Sicherheit beitragen, als auch diejenigen mit kriminellen Absichten) auf die am häufigsten genutzten Projekte konzentrieren.

Empirische Metriken zur Ermittlung der besten Open-Source-Projekte:

  • Projekte mit einer schnelleren mittleren Aktualisierungszeit (MTTU) sind sicherer. Die Wahrscheinlichkeit, dass sie Schwachstellen aufweisen, ist um das 1,8-fache geringer.
     
  • Popularität ist kein guter Indikator für Sicherheit. Bei beliebten Open-Source-Projekten war die Wahrscheinlichkeit, dass sie Sicherheitslücken enthielten, um das 2,8-fache erhöht.

Die Verfahren zur Verwaltung von Abhängigkeiten variieren stark zwischen den Entwicklungsteams:

  • Software-Entwickler treffen in 69 % der Fälle suboptimale Entscheidungen bei der Aktualisierung von Drittanbieter-Abhängigkeiten. Neuere Versionen von Projekten sind im Allgemeinen besser, aber nicht immer die besten.
     
  • Kommerzielle Entwicklungsteams verwalten nur 25 % der von ihnen verwendeten Komponenten, dadurch sind die meisten ihrer Open-Source-Abhängigkeiten veraltet und anfällig für erhöhte Sicherheitsrisiken.
     
  • Durch Automatisierung könnten Unternehmen 192.000 US-Dollar pro Jahr einsparen. Ausgestattet mit intelligenter Automatisierung würde ein mittelgroßes Unternehmen mit 20 Applikationsentwicklungsteams insgesamt 160 Entwicklertage pro Jahr einsparen.

Verfahren zum Management der Software Supply Chain:  Wahrnehmung vs. Realität

  • Es besteht eine Diskrepanz zwischen subjektiven Umfrageergebnissen und objektiven Daten. Die Befragten sind der Meinung, dass sie bei der Beseitigung fehlerhafter Komponenten gute Arbeit leisten, und meinen zu wissen, wo die Risiken liegen. Objektive Untersuchungen belegen jedoch, dass es den Entwicklungsteams an strukturierter Anleitung mangelt und sie häufig suboptimale Entscheidungen in Bezug auf das Software Supply Chain Management treffen.

"Der diesjährige State of the Software Supply Chain Report zeigt einmal mehr, dass Open Source sowohl ein wichtiger Antriebsfaktor für digitale Innovationen als auch ein lohnendes Ziel für Angriffe auf die Software Supply Chain ist", so Matt Howard, EVP von Sonatype.

"Während die Nachfrage von Entwicklern nach Open Source weiterhin exponentiell wächst, zeigt unsere Untersuchung zum ersten Mal, wie wenig das Gesamtangebot tatsächlich genutzt wird.  Außerdem wissen wir jetzt, dass beliebte Projekte unverhältnismäßig viele Schwachstellen aufweisen. Diese drastische Realität unterstreicht sowohl die große Verantwortung als auch die Chance für Entwicklungsleiter, intelligente Automatisierung zu nutzen, um die besten Open-Source-Anbieter als Standard zu verwenden und gleichzeitig den Entwicklern zu helfen, die Bibliotheken von Drittanbietern mit optimalen Versionen auf dem neuesten Stand zu halten.

www.sonatype.com
 


Artikel zu diesem Thema

Open Source
Sep 13, 2021

Die meisten Unternehmen setzen auf Open Source

Ob Datenbank-Programme, Schreib- oder Grafik-Anwendungen, Web-Dienste oder das…
Open Source
Jul 11, 2021

80 Prozent der verwendeten Open-Source-Bibliotheken werden nie aktualisiert

Der neue „State of Software Security (SoSS) v11: Open Source Edition“ Report von Veracode…
Cyber Attack Warning
Aug 20, 2020

Zunahme von Next-Generation Open-Source-Cyber-Angriffen

Sonatype, das Unternehmen, das DevOps durch Open Source Governance und Software Supply…

Weitere Artikel

Open Source

Die Open-Source-Revolution ist in den Fachabteilungen angekommen

Viele IT- und Entwicklungsabteilungen in Unternehmen haben die Fesseln von Closed Source inzwischen abgeworfen und setzen auf quelloffene Software. Schließlich müssen sie im Zuge der Digitalen Transformation sich schnell ändernde IT-Anforderungen umsetzen und…
Dokumentenmanagement

5 Ansatzpunkte, die ein DMS in der Logistikbranche abdecken sollte

Digitalisierung ja – aber wie packen wir es an? Diese Frage treibt viele Verantwortliche für Prozessmanagement und in der Unternehmensführung um. Der «Digital Office Index» der Bitkom zeigte deutlich, dass der deutsche Mittelstand beim Thema Digitalisierung…
Remote Monitoring

IT optimieren mit Remote Monitoring und Management

Schon mal von RMM gehört? Noch nicht? Dann wird es Zeit, denn mit Remote Monitoring und Management können kleine und mittelständische Unternehmen in der IT-Verwaltung massiv entlastet werden – zudem wird ihre Infrastruktur stabiler und ausfallsicherer. Wir…
Geschäftsmann

Mein Companion, der Business Messenger

Bei aller Agilität, die New Work ermöglicht: Je mehr Nachrichten und unterschiedlichste Kommunikationstools eingesetzt werden, umso komplizierter wird der schnelle und mühelose Austausch unter Kollegen. Höchste Zeit, die interne Kommunikation in der New Work…
IT Helpdesk

Was sind Service-Level im Support-Bereich?

IT-Systeme unterstützen Unternehmen in allen Branchen und über die unterschiedlichsten Anwendungsbereiche. Sie haben in der Landwirtschaft genauso ihren Platz wie in Industrieunternehmen, Anwaltskanzleien oder stationären Geschäften mit oder ohne Onlineshop.
Low-Code

Auch mit Low-Code entwickeln?

Low-Code, das visuelle Programmieren von Unternehmenssoftware, ist in aller Munde. Zdenek Prochazka, Head of Rapid Application Development bei Schwarz IT, spricht mit uns über seine Erfahrungen mit Low-Code.

Anzeige

Jetzt die smarten News aus der IT-Welt abonnieren! 💌

Mit Klick auf den Button "Zum Newsletter anmelden" stimme ich der Datenschutzerklärung zu.