Sonatype veröffentlicht ?2020 State of the Software Supply Chain Report? und enthüllt neue Geschwindigkeits- und Sicherheits-Benchmarks
Studie zeigt, dass High-Performance-Entwicklungsteams 15-mal häufiger neue Versionen veröffentlichen und Open-Source-Schwachstellen 26-mal schneller beheben
(PresseBox) - Sonatype, das Unternehmen, das DevOps durch Open Source Governance und Software Supply Chain Automatisierung skaliert, veröffentlicht heute seinen sechsten jährlichen State of the Software Supply Chain Report.
Im zweiten Jahr in Folge arbeitete Sonatype mit den Forschern Gene Kim von IT Revolution und Dr. Stephen Magill, CEO von MuseDev, zusammen, um zu untersuchen, wie High-Performance-Teams hervorragende Ergebnisse beim Risikomanagement erzielen und gleichzeitig ein hohes Produktivitätsniveau aufrechterhalten können.
Der Bericht analysiert über 1,5 Billionen Download-Anfragen für Open Source, 24.000 Open Source-Projekte und 5.600 Entwicklungsteams in Unternehmen. Darüber hinaus wurden im Rahmen einer eingehenden Umfrage in einer Vielzahl von Unternehmen vier Arten von Software-Entwicklungsteams mit deutlich unterschiedlichen Leistungsniveaus in Bezug auf Verfahren des Software Supply Management und der Open Source Governance identifiziert.
High-Performance-Teams: hohe Produktivität, hervorragende Ergebnisse beim Risikomanagement
Security-First-Teams: geringe Produktivität, überzeugende Ergebnisse beim Risikomanagement
Productivity-First-Teams: hohe Produktivität, mangelhafte Ergebnisse beim Risikomanagement
Low-Performer-Teams: geringe Produktivität, mangelhafte Ergebnisse beim Risikomanagement
Im Vergleich zu ihren Low-Performer-Kollegen zeichnen sich die High-Performer aus, durch:
eine 15-mal höhere Deployment-Frequenz
eine 26-mal schnellere Erkennung und Behebung von Sicherheitslücken in OSS-Komponenten
einen 5,7-mal geringeren Zeitaufwand, um nach einem Teamwechsel produktiv zu sein
eine 1,5-mal höhere Wahrscheinlichkeit, dass Mitarbeiter ihr Unternehmen als einen ausgezeichneten Arbeitsplatz empfehlen
Im Vergleich zu den Security-First-Teams lag die Wahrscheinlichkeit bei den High-Performern um
59 % höher, eine Software-Composition-Analysis-(SCA)-Tools einzusetzen
28 % höher, Governance-Richtlinien innerhalb der Continuous Integration (CI) durchzusetzen
56 % höher, eine zentral verwaltete CI-Infrastruktur zu haben
51 % höher, eine zentrale Erfassung der SBOMs (Software Bill of Materials) für Applikationen zu betreiben
"Viele haben behauptet, dass effektive Verfahren des Risikomanagements immer auf Kosten der Produktivität der Entwickler gehen, doch der diesjährige Bericht liefert starke Beweise für das Gegenteil. Schnellere Innovation und besseres Risikomanagement schließen sich nicht gegenseitig aus", erklärt Wayne Jackson, CEO von Sonatype. "High-Performance-Entwicklungsteams gewinnen an Geschwindigkeit bei gleichzeitiger Reduzierung der Sicherheitsrisiken. Neben diesen positiven Geschäftsergebnissen weisen Entwickler in High Performance-Teams ein höheres Maß an Arbeitszufriedenheit auf."
Der Bericht analysiert außerdem 24.000 Open-Source-Projekte, um die Methoden der leistungsfähigsten Lieferanten zu ermitteln, die Komponenten in Software-Lieferketten einspeisen. Die Forscher konnten in vorbildlichen OSS-Projekten Folgendes nachweisen:
eine 530-mal schnellere mittlere Zeit zur Aktualisierung (MTTU) von Abhängigkeiten
1,5-mal häufigere Versions-Veröffentlichungen
eine 2,5-mal höhere Popularität
eine 173-mal geringere Wahrscheinlichkeit, dass mindestens eine Abhängigkeit veraltet ist
"Wir haben festgestellt, dass High-Performance-Teams in der Lage sind, Sicherheits- und Produktivitätsziele gleichzeitig zu erreichen", sagte Gene Kim, DevOps-Forscher und Autor des WSJ-Bestsellers ''The Unicorn Project''. "Es ist wirklich sehr beeindruckend, ein genaueres Verständnis über die Prinzipien und Verfahren, wie diese Ziele erreicht werden, sowie die messbaren Ergebnisse zu gewinnen".
"Es war wirklich spannend, so viele Beweise dafür zu finden, dass dieser vieldiskutierte Kompromiss zwischen Sicherheit und Produktivität in Wirklichkeit eine falsche Dichotomie ist. Mit der richtigen Kultur, den richtigen Arbeitsabläufen und den richtigen Tools können Entwicklungsteams großartige Ergebnisse in den Bereichen Sicherheit und Compliance erzielen und gleichzeitig eine erstklassige Produktivität erreichen", so Dr. Stephen Magill, Principal Scientist bei Galois & CEO von MuseDev.
Die Studie enthüllt auch neue Meilensteine bei der Entwicklung von Open-Source-Software, hinsichtlich der Aktivitäten von Kontrahenten und den Einfluss der Regierung:
430 % Anstieg der Next-Generation-Attacken auf Software-Supply-Chains im vergangenen Jahr (Seite 6)
pro Unternehmen durchschnittlich 373.000 Downloads von Open-Source-Komponenten, von denen 8,3 % als gefährdet bekannt waren (Seite 32)
Initiativen der US-amerikanischen, britischen und australischen Behörden, die die Software Supply Chains schützen und die Grundlagen von Open-Source untermauern sollen (Seite 34)
Über den State of the Software Supply Chain Report
Der ?2020 State of the Software Suppy Chain Report? verbindet eine breite Palette öffentlicher und proprietärer Daten mit Expertenforschung und -analyse, um beispielhafte Verfahren der Softwareentwicklung zu identifizieren. Im sechsten Jahr seines Bestehens ist der Bericht die am längsten laufende Forschungsarbeit über die Entwicklung von Open-Source-Software und Verfahren zur Anwendungssicherheit ihrer Art.
Zusätzliche Ressourcen
Lesen Sie den 2020 State of the Software Supply Chain Report
Lesen Sie den Sonatype Blog
Erstellen Sie kostenlos eine Software Bill of Materials
Erfahren Sie mehr über die Software Supply Chain Automatisierungslösungen von Sonatype
Sonatype ist mit mehr als 350 Mitarbeitern, über 1.000 Unternehmenskunden und mehr als 10 Millionen Software-Entwicklern führend in der Automatisierungstechnologie für Software Supply Chains. Die Nexus-Plattform von Sonatype ermöglicht DevOps-Teams und Entwicklern die automatische Integration von Sicherheit in jeder Phase der modernen Entwicklungs-Pipeline durch die Kombination umfassender Komponentendaten mit einer Echtzeit-Anleitung zur Fehlerbehebung. Weitere Informationen erhalten Sie unter Sonatype.com oder über Facebook, Twitter oder LinkedIn.
Themen in diesem Fachartikel:
Unternehmensinformation / Kurzprofil:
Sonatype ist mit mehr als 350 Mitarbeitern,über 1.000 Unternehmenskunden und mehr als 10 Millionen Software-Entwicklern führend in der Automatisierungstechnologie für Software Supply Chains. Die Nexus-Plattform von Sonatype ermöglicht DevOps-Teams und Entwicklern die automatische Integration von Sicherheit in jeder Phase der modernen Entwicklungs-Pipeline durch die Kombination umfassender Komponentendaten mit einer Echtzeit-Anleitung zur Fehlerbehebung. Weitere Informationen erhalten Sie unter Sonatype.com oder über Facebook, Twitter oder LinkedIn.
Datum: 12.08.2020 - 15:00 Uhr
Sprache: Deutsch
News-ID 1836697
Anzahl Zeichen: 0
Kontakt-Informationen:
Ansprechpartner:
Stadt:
Fulton
Telefon:
Kategorie:
Softwareindustrie
Anmerkungen:
Dieser Fachartikel wurde bisher 122 mal aufgerufen.
Der Fachartikel mit dem Titel:
"Sonatype veröffentlicht ?2020 State of the Software Supply Chain Report? und enthüllt neue Geschwindigkeits- und Sicherheits-Benchmarks
"
steht unter der journalistisch-redaktionellen Verantwortung von
SONATYPE Inc. (Nachricht senden)
Beachten Sie bitte die weiteren Informationen zum Haftungsauschluß (gemäß TMG - TeleMedianGesetz) und dem Datenschutz (gemäß der DSGVO).