Sonatype hat seinen siebten jährlichen State of the Software Supply Chain Report veröffentlicht, der ein anhaltend starkes Wachstum des Open Source-Angebots und der Dynamik der Nachfrage zeigt. Die Nachfrage nach Open Source ist im Vergleich zum Vorjahr um 73 % gestiegen.
Im Hinblick auf die Open-Source-Sicherheitsrisiken konstatiert der Bericht im Jahresvergleich einen 650-prozentigen Anstieg von Angriffen auf die Supply Chain, die auf öffentliche Upstream-Repositorys abzielten, sowie eine faszinierende Dichotomie in Bezug auf das Ausmaß bekannter Schwachstellen in populären und nicht-populären Projektversionen. Die diesjährige Forschungsarbeit stellt auch innovative empirische Metriken vor, die zur Identifizierung beispielhafter Projekte verwendet werden können, sowie datengestützte Anleitungen, die Software-Entwicklungsteams bei der Optimierung von Entscheidungen darüber helfen, wann sie auf neue Versionen von Open-Source-Bibliotheken aktualisieren und wann nicht. Basierend auf den Antworten von 702 Software-Entwicklern zeigt die Studie eine grundlegende Diskrepanz zwischen den subjektiven Vorstellungen der Befragten über die Methoden des Software-Chain-Managements und den objektiven Ergebnissen, die anhand von 100.000 Anwendungen ermittelt wurden.
Der 2021 State of the Software Supply Chain Report von Sonatype kombiniert ein breites Spektrum an öffentlichen und proprietären Daten, um wichtige Trends in der modernen Software-Entwicklung aufzudecken. Der diesjährige Bericht beleuchtet operative Angebots-, Nachfrage- und Sicherheitstrends im Kontext der Ökosysteme Java (Maven Central), JavaScript (npmjs), Python (PyPI) und .Net (nuget). Darüber hinaus untersuchten die Forscher Software-Entwicklungsverfahren aus 100.000 Produktionsanwendungen und 4.000.000 Komponentenmigrationen, die von Entwicklern in den letzten 12 Monaten durchgeführt wurden. Einige der wichtigsten Ergebnisse:
Open-Source-Angebot, -Nachfrage und -Sicherheitsdynamik:
- Das Angebot stieg um 20%. Die vier wichtigsten Open-Source-Ökosysteme enthalten jetzt zusammen 37.451.682 verschiedene Versionen von Komponenten.
- Die Nachfrage nahm um 73 % zu. Im Jahr 2021 werden Entwickler in aller Welt mehr als 2,2 Billionen Open-Source-Pakete aus den vier wichtigsten Ökosystemen herunterladen.
- Die Anzahl der Angriffe ist um 650 % gestiegen. Im Jahr 2021 erlebte die Welt einen exponentiellen Anstieg von Angriffen auf die Software Supply Chain, die darauf abzielen, Schwachstellen in vorgelagerten (upstream) Open-Source-Ökosystemen auszunutzen.
- Produktionsanwendungen nutzen nur 6 % aller verfügbaren Projekte. Trotz des riesigen Angebots an Open-Source-Projekten konzentriert sich die Nutzung auf eine erstaunlich kleine Anzahl populärer Projekte.
- Populäre Projekte sind häufiger gefährdet. 29 % der populären Projektversionen enthalten mindestens eine bekannte Sicherheitslücke. Umgekehrt ist dies nur bei 6,5 % der weniger beliebten Projektversionen der Fall, was darauf hindeutet, dass sich Sicherheitsexperten (sowohl diejenigen, die zur IT-Sicherheit beitragen, als auch diejenigen mit kriminellen Absichten) auf die am häufigsten genutzten Projekte konzentrieren.
Empirische Metriken zur Ermittlung der besten Open-Source-Projekte:
- Projekte mit einer schnelleren mittleren Aktualisierungszeit (MTTU) sind sicherer. Die Wahrscheinlichkeit, dass sie Schwachstellen aufweisen, ist um das 1,8-fache geringer.
- Popularität ist kein guter Indikator für Sicherheit. Bei beliebten Open-Source-Projekten war die Wahrscheinlichkeit, dass sie Sicherheitslücken enthielten, um das 2,8-fache erhöht.
Die Verfahren zur Verwaltung von Abhängigkeiten variieren stark zwischen den Entwicklungsteams:
- Software-Entwickler treffen in 69 % der Fälle suboptimale Entscheidungen bei der Aktualisierung von Drittanbieter-Abhängigkeiten. Neuere Versionen von Projekten sind im Allgemeinen besser, aber nicht immer die besten.
- Kommerzielle Entwicklungsteams verwalten nur 25 % der von ihnen verwendeten Komponenten, dadurch sind die meisten ihrer Open-Source-Abhängigkeiten veraltet und anfällig für erhöhte Sicherheitsrisiken.
- Durch Automatisierung könnten Unternehmen 192.000 US-Dollar pro Jahr einsparen. Ausgestattet mit intelligenter Automatisierung würde ein mittelgroßes Unternehmen mit 20 Applikationsentwicklungsteams insgesamt 160 Entwicklertage pro Jahr einsparen.
Verfahren zum Management der Software Supply Chain: Wahrnehmung vs. Realität
- Es besteht eine Diskrepanz zwischen subjektiven Umfrageergebnissen und objektiven Daten. Die Befragten sind der Meinung, dass sie bei der Beseitigung fehlerhafter Komponenten gute Arbeit leisten, und meinen zu wissen, wo die Risiken liegen. Objektive Untersuchungen belegen jedoch, dass es den Entwicklungsteams an strukturierter Anleitung mangelt und sie häufig suboptimale Entscheidungen in Bezug auf das Software Supply Chain Management treffen.
„Der diesjährige State of the Software Supply Chain Report zeigt einmal mehr, dass Open Source sowohl ein wichtiger Antriebsfaktor für digitale Innovationen als auch ein lohnendes Ziel für Angriffe auf die Software Supply Chain ist“, so Matt Howard, EVP von Sonatype.
„Während die Nachfrage von Entwicklern nach Open Source weiterhin exponentiell wächst, zeigt unsere Untersuchung zum ersten Mal, wie wenig das Gesamtangebot tatsächlich genutzt wird. Außerdem wissen wir jetzt, dass beliebte Projekte unverhältnismäßig viele Schwachstellen aufweisen. Diese drastische Realität unterstreicht sowohl die große Verantwortung als auch die Chance für Entwicklungsleiter, intelligente Automatisierung zu nutzen, um die besten Open-Source-Anbieter als Standard zu verwenden und gleichzeitig den Entwicklern zu helfen, die Bibliotheken von Drittanbietern mit optimalen Versionen auf dem neuesten Stand zu halten.
www.sonatype.com