Software Supply Chain Bericht 2016 veröffentlicht Software Supply Chain Bericht 2016 veröffentlicht  - Computerwelt

Computerwelt: Aktuelle IT-News Österreich


11.07.2016 Rudolf Felser/pi

Software Supply Chain Bericht 2016 veröffentlicht

Neue Untersuchungen von Sonatype offenbaren eine massive Zunahme bei der Verwendung von Open-Source-Komponenten, persistente Fehlerquoten und mehr Akzeptanz von Supply-Chain-Prinzipien, um die Software-Qualität und Sicherheit zu verbessern.

Sonatype verwaltet das Central Repository

Sonatype verwaltet das Central Repository

© Rudolf Felser

Sonatype, ein Anbieter im Bereich Software Supply-Chain-Automatisierung, hat heute zum zweiten Mal seinen jährlichen Software Supply Chain Bericht veröffentlicht. Er basiert auf der Analyse von 31 Milliarden Download-Anforderungen von Open-Source-Software-Komponenten aus dem von Sonatype verwalteten Central Repository, und bietet einen Einblick in die Software-Supply-Chain-Praktiken von 3.000 Entwicklungsorganisationen. Darüber hinaus umfasst er die Software-Komponenten-Analyse von 25.000 Anwendungen.

Die wichtigsten Ergebnisse des Berichts:

Angebot und Nachfrage waren nie größer

  • Die Zahl der Download-Anfragen für Open-Source-Komponenten hat sich von 17 Milliarden im Jahr 2014 auf 31 Milliarden im Jahr 2015 drastisch erhöht. Das entspricht einer Steigerung von 82 Prozent gegenüber dem Vorjahr.
  • 10.000 neue Komponentenversionen werden täglich über die Ökosysteme für Software-Entwicklung vorgestellt.


Die Beschaffungspraktiken für Komponenten sind ineffizient und Software-Schwachstellen allgegenwärtig

  • Unternehmen laden weltweit jährlich mehr als 229.000 Komponenten herunter, jedoch sind im Durchschnitt nur 5.000 der Komponenten-Downloads Unikate. Mit Blick auf 500 Unternehmen in der DACH-Region ändern sich die Zahlen ein wenig: Bei ihnen betrug die durchschnittliche Anzahl der jährlichen Komponenten-Downloads 108.000.
  • Open-Source-Komponenten unterscheiden sich sehr hinsichtlich ihrer Qualität. 6,1 Prozent der weltweiten Downloads (1 von 16 Komponenten) bergen bekannte Sicherheitsmängel. Von den Downloads im DACH-Raum haben immerhin 3,9 Prozent der Komponenten-Downloads mindestens eine bekannte Sicherheitslücke. Auch wenn das ein geringerer Wert ist, sind dies immer noch durchschnittlich 4.200 angreifbare Komponenten-Downloads jährlich.


Organisationen haben Probleme mit angreifbaren Komponenten

  • Die Daten von 25.000 Anwendungen zeigen, dass 6,8 Prozent der eingesetzten Komponenten mindestens einen bekannten Sicherheitsmangel hatten. Sie offenbaren darüber hinaus, dass Downloads von qualitativ schlechten Komponenten in die Produktion gelangen.
  • Elemente veralten und sind schnell überholt. Ältere Komponenten (also älter als zwei Jahre), die in Applikationen eingesetzt werden, sind überproportional fehlerbehaftet. Das Vorhandensein von Schwachstellen ist bei diesen Komponenten dreimal wahrscheinlicher.


Die Industrie ergreift Maßnahmen

  • Leistungsstarke Unternehmen, staatliche Aufsichtsbehörden und Industrieverbände befolgen die Grundsätze der Software Supply Chain Automation, um den Schutz, die Qualität und die Sicherheit von Software zu verbessern.


"Wir haben festgestellt, dass Organisationen im Bereich Software-Entwicklung erhebliche technische Schulden machen, weil sie ihre Software Supply Chain nicht effektiv verwalten, was völlig vermeidbar wäre. Die vielen Arbeitsstunden, die aufgrund von Betriebsstörungen und Sicherheitsverletzungen anfallen, könnten anderweitig viel wertschöpfender für Unternehmen und deren Kunden investiert werden", erklärt Wayne Jackson, CEO, Sonatype. "Durch unsere Untersuchung haben wir festgestellt, dass leistungsstarke Entwicklungsorganisationen die Software-Innovation, -Qualität und -Sicherheit fördern, indem sie die Grundprinzipien des Supply-Chain-Managements beherzigen. Darüber hinaus setzen sie weniger, dafür jedoch bessere Lieferanten ein, die nur die hochwertigsten Teile verwenden und die genaue Lage eines jeden Bestandteils ihrer Software erfassen."

"Open-Source- und kommerzielle Komponenten von Drittanbietern ermöglichen Unternehmen, schnell zu liefern, weil sie insgesamt weniger Code schreiben müssen. Ähnlich wie Hersteller gelernt haben, ihre Lieferanten zu überwachen und zu verwalten, müssen die Spezialisten in der Anwendungsentwicklung und -bereitstellung lernen, dass sie die immer komplexer werdenden Lieferketten managen müssen", schrieben die Analysten Kurt Bittner, Diego Lo Giudice und Amy DeMartine in dem im März 2016 veröffentlichten Forrester Bericht mit dem Titel "Boost Application Delivery Speed And Quality With Agile DevOps Practices" (Wie man mit agilen DevOps-Verfahren die Anwendungsbereitstellung beschleunigt und die Qualität verbessert). "Jede Komponente birgt sowohl Vorteile als auch Risiken. Sie müssen diese Risiken managen, indem Sie die besten Komponenten und Lieferanten auswählen und indem Sie sicherstellen, dass die Teams für die Bereitstellung ausschließlich die neueste und sicherste Version der ausgewählten Komponenten verwenden." Am 13. Juli findet für Interessierte ein Webinar statt, in dem die Ergebnisse des Berichts durchgegangen werden. (pi/rnf)

Diesen Artikel

Bewertung:

Übermittlung Ihrer Stimme...
Noch nicht bewertet. Seien Sie der Erste, der diesen Artikel bewertet!
Klicken Sie auf den Bewertungsbalken, um diesen Artikel zu bewerten.
  Sponsored Links:

IT-News täglich per Newsletter

E-Mail:
Weitere CW-Newsletter

CW Premium Zugang

Whitepaper und Printausgabe lesen.  

kostenlos registrieren

Aktuelle Praxisreports

(c) FotoliaHunderte Berichte über IKT Projekte aus Österreich. Suchen Sie nach Unternehmen oder Lösungen.

Zum Thema

  • Rittal GmbH

    Rittal GmbH Netzwerk-Management, Netzkomponenten, Zugangs- und Zutrittskontrolle, Unterbrechungsfreie Stromversorgung (USV), Überwachungssysteme, Notfalls-Rechenzentren, Netzwerk- und Systemüberwachung,... mehr
  • ETC - Enterprise Training Center

    ETC - Enterprise Training Center E-Learning, Datenschutz, B2B Dienste und Lösungen, Outsourcing, IT-Personalbereitstellung, Aus- und Weiterbildung mehr
  • selectyco Media Solutions GmbH

    selectyco Media Solutions GmbH B2C Dienste und Lösungen, B2B Dienste und Lösungen mehr
  • KORAM Softwareentwicklungsgesellschaft m.b.H:

    KORAM Softwareentwicklungsgesellschaft m.b.H: Betriebsdaten- und Zeiterfassung, Kaufmännische Software (ERP), Management Informationssysteme (MIS), Bauwesen, Einzelhandel, Fertigung, Produktion und Konstruktion, Freie Berufe,... mehr

Hosted by:    Security Monitoring by: