Sonatype veröffentlicht Software Supply Chain Bericht 2016

Neue Untersuchungen offenbaren eine massive Zunahme bei der Verwendung von Open-Source-Komponenten, persistente Fehlerquoten und mehr Akzeptanz von Supply-Chain-Prinzipien, um die Software-Qualität und Sicherheit zu verbessern

Fulton, Maryland, USA , 11. Juli 2016 – Sonatype , einer der führenden Anbieter im Bereich Software Supply Chain Automatisierung, veröffentlicht heute zum zweiten Mal den jährlichen Software Supply Chain Bericht. Basierend auf der Analyse von 31 Milliarden Download-Anforderungen von Open-Source-Software-Komponenten aus dem von Sonatype verwalteten Central Repository, bietet der Bericht einen Einblick in die Software-Supply-Chain-Praktiken von 3.000 Entwicklungsorganisationen und umfasst darüber hinaus die Software-Komponenten-Analyse von 25.000 Anwendungen.

Die wichtigsten Ergebnisse des Berichts:

Angebot und Nachfrage waren nie größer
Die Zahl der Download-Anfragen für Open-Source-Komponenten hat sich von 17 Milliarden im Jahr 2014 auf 31 Milliarden im Jahr 2015 drastisch erhöht. Das entspricht einer Steigerung von 82 Prozent gegenüber dem Vorjahr.
10.000 neue Komponentenversionen werden täglich über die Ökosysteme für Software-Entwicklung vorgestellt.

Die Beschaffungspraktiken für Komponenten sind ineffizient und Software-Schwachstellen allgegenwärtig
Unternehmen laden jährlich mehr als 229.000 Komponenten herunter, jedoch sind im Durchschnitt nur 5.000 der Komponenten-Downloads Unikate.
Open-Source-Komponenten unterscheiden sich sehr puncto Qualität. 6,1 Prozent der Downloads (1 von 16 Komponenten) bergen bekannte Sicherheitsmängel.

Organisationen haben Probleme mit angreifbaren Komponenten
Die Daten von 25.000 Anwendungen zeigen, dass 6,8 Prozent der eingesetzten Komponenten mindestens einen bekannten Sicherheitsmangel hatten. Sie offenbaren darüber hinaus, dass Downloads von qualitativ schlechten Komponenten in die Produktion gelangen.
Elemente veralten und sind schnell überholt. Ältere Komponenten (> 2 Jahre), die in Applikationen eingesetzt werden, sind überproportional fehlerbehaftet. Das Vorhandensein von Schwachstellen ist bei diesen Komponenten dreimal wahrscheinlicher.

Die Industrie ergreift Maßnahmen
Leistungsstarke Unternehmen, staatliche Aufsichtsbehörden und Industrieverbände befolgen die Grundsätze der Software Supply Chain Automation, um den Schutz, die Qualität und die Sicherheit von Software zu verbessern.

„Wir haben festgestellt, dass Organisationen im Bereich Software-Entwicklung erhebliche technische Schulden machen, weil sie ihre Software Supply Chain nicht effektiv verwalten, was völlig vermeidbar wäre. Die vielen Arbeitsstunden, die aufgrund von Betriebsstörungen und Sicherheitsverletzungen anfallen, könnten anderweitig viel wertschöpfender für Unternehmen und deren Kunden investiert werden“, erklärt Wayne Jackson, CEO, Sonatype. „Durch unsere Untersuchung haben wir festgestellt, dass leistungsstarke Entwicklungsorganisationen die Software-Innovation, -Qualität und -Sicherheit fördern, indem sie die Grundprinzipien des Supply-Chain-Managements beherzigen. Darüber hinaus setzen sie weniger, dafür jedoch bessere Lieferanten ein, die nur die hochwertigsten Teile verwenden und die genaue Lage eines jeden Bestandteils ihrer Software erfassen. „

„Open-Source- und kommerzielle Komponenten von Drittanbietern ermöglichen Unternehmen, schnell zu liefern, weil sie insgesamt weniger Code schreiben müssen. Ähnlich wie Hersteller gelernt haben, ihre Lieferanten zu überwachen und zu verwalten, müssen die Spezialisten in der Anwendungsentwicklung und -bereitstellung lernen, dass sie die immer komplexer werdenden Lieferketten managen müssen,“ schrieben die Analysten Kurt Bittner, Diego Lo Giudice und Amy DeMartine in dem im März 2016 veröffentlichten Forrester Bericht mit dem Titel „Boost Application Delivery Speed And Quality With Agile DevOps Practices (Wie man mit agilen DevOps-Verfahren die Anwendungsbereitstellung beschleunigt und die Qualität verbessert). „Jede Komponente birgt sowohl Vorteile als auch Risiken. Sie müssen diese Risiken managen, indem Sie die besten Komponenten und Lieferanten auswählen und indem Sie sicherstellen, dass die Teams für die Bereitstellung ausschließlich die neueste und sicherste Version der ausgewählten Komponenten verwenden.“

Zusätzliche Ressourcen
Lesen Sie den Software Supply Chain Lagebericht 2016 .
Hier können Sie die Infografik zur Lage der Software Supply Chain ansehen und herunterladen.
Nehmen Sie am 13. Juli an unserem Webinar teil, um die Ergebnisse des Berichts durchzugehen.
Generieren Sie eine kostenlose Software-Materialliste .
Erfahren Sie mehr über die Sonatype Software Supply Chain Automatisierungslösungen .
Folgen Sie Sonatype auf Twitter: @sonatype .

Über Sonatype
Im vergangenen Jahr haben Entwickler 31 Milliarden Komponenten aus dem zentralen Repository angefordert, um Software-Anwendungen herzustellen, die die Welt regieren. Darüber hinaus nutzen Unternehmen die Sonatype Nexus-Lösungen mit mehr als 100.000 Installationen weltweit, um wiederverwendbare Komponenten zu verwalten und die Qualität, die Geschwindigkeit und die Sicherheit ihrer Software Supply Chains zu verbessern. Sonatype ist im Privatbesitz unter Kapitalbeteiligung von New Enterprise Associates (NEA), Accel Partners, Hummer Winblad Venture Partners, Morgenthaler Ventures, Bay Partners und Goldman Sachs. Weitere Informationen finden Sie auf www.sonatype.com

Pressekontakt:
Martina Kunze
EinUndZwanzigNullZwei für Sonatype
mk@einundzwanzignullzwei.de
+49 (0) 7042 1205073

Im vergangenen Jahr haben Entwickler 31 Milliarden Komponenten aus dem zentralen Repository angefordert, um Software-Anwendungen herzustellen, die die Welt regieren. Darüber hinaus nutzen Unternehmen die Sonatype Nexus-Lösungen mit mehr als 100.000 Installationen weltweit, um wiederverwendbare Komponenten zu verwalten und die Qualität, die Geschwindigkeit und die Sicherheit ihrer Software Supply Chains zu verbessern. Sonatype ist im Privatbesitz unter Kapitalbeteiligung von New Enterprise Associates (NEA), Accel Partners, Hummer Winblad Venture Partners, Morgenthaler Ventures, Bay Partners und Goldman Sachs. Weitere Informationen finden Sie auf www.sonatype.com

Firmenkontakt
Sonatype, Inc.
Jessica Dodson
8161 Maple Lawn Blvd STE 250
20759 Fulton, MD
+1 877 866 2836
info@sonatype.com
http://www.sonatype.com

Pressekontakt
EinUndZwanzigNullZwei für Sonatype, Inc.
Martina Kunze
Amselweg 3
75428 Illingen
+49 (0) 7042 1205073
mk@einundzwanzignullzwei.de
http://www.einundzwanzignullzwei.de