Sonatype在七月份發(fā)布了第三份年度軟件供應(yīng)鏈狀態(tài)報告。報告指出,當(dāng)組織主動管理軟件應(yīng)用中開源組件的質(zhì)量時,能夠提升開發(fā)人員28%的生產(chǎn)力(通過減少人工治理的方式),減少30%的總體開發(fā)成本以及提升48%的應(yīng)用質(zhì)量(應(yīng)用程序漏洞被盡早移除,從而減少了在產(chǎn)品中的發(fā)生率)。分析還顯示,那些采用自動化治理工具的團(tuán)隊所開發(fā)的應(yīng)用程序?qū)⑷毕萁M件的占比降低了63%。
Derek Weeks是Sonatype的VP和DevOps倡導(dǎo)者。他告訴InfoQ:
數(shù)據(jù)來自許多不同的源頭。歷史經(jīng)驗數(shù)據(jù)從Maven Central(Java)評估得來。同時,Sonatype已經(jīng)分別為NPMJS.org(Javascript)、NuGet Gallery (.Net)和PyPi.org (Python)建立了索引庫。我們一整年都在研究并持續(xù)密切關(guān)注市場的新聞動態(tài),包括開源軟件組件、質(zhì)量、實踐和規(guī)約。
該報告還強(qiáng)調(diào)了軟件開發(fā)中開源組件的消費增長。Java組件的年度下載量同比增長了68%(2016年為520億),JavaScript下載量增長了262%(2016年為590億),而對Docker組件的需求預(yù)計在未來12個月將增長100%(即120億次下載)。
Weeks說道:
創(chuàng)新為王,速度至關(guān)重要,開源則是核心。 由于速度至關(guān)重要,不論是開發(fā)人員、CIO還是CEO都會說,如果需要花費15分鐘的事情可以用1秒鐘解決的話,有什么理由不選擇后者呢? 這解釋了為什么人們選擇從互聯(lián)網(wǎng)下載,而非從頭開始構(gòu)建。
報告指出,使用開源組件的組織面臨的挑戰(zhàn)之一是開源軟件(OSS)項目平均需要233天時間才能修復(fù)已知的漏洞。其中只有15.8%的OSS項目能夠主動修復(fù)漏洞。
Weeks說道:
大多數(shù)開源項目或許并不知道有這些漏洞。也許安全研究人員無法有效地將其發(fā)現(xiàn)與項目聯(lián)系起來。又或許沒有足夠的人來了解項目本身的安全編碼實踐,以便評估和修復(fù)漏洞。這僅僅是個人推測。
Sonatype聲稱,高功能(high-functioning)的DevOps組織正在利用機(jī)器自動化來控制流經(jīng)其軟件供應(yīng)鏈的開源組件的質(zhì)量,從而提高軟件健康度。
Weeks說道:
人們需要對軟件開發(fā)中采用的開源組件了解得一清二楚。意識改變行為。現(xiàn)在就為你的軟件列出所需組件的清單吧。一旦有了這份清單,您就可以進(jìn)行更好的評估。我們比以往更需要這種意識。如果想了解所采用的組件狀態(tài)是否良好,那么越早建立清單越好。如果您將這一信息提供給開發(fā)者的話,他們就可以在編碼周期早期做出選擇并執(zhí)行安全編碼實踐。
我們問Weeks是否存在安全技術(shù)人才短缺的問題。他說道:
既對也不對。IT行業(yè)的每一個新動向總伴有技術(shù)人才的短缺。但I(xiàn)T行業(yè)不斷發(fā)展的方式是通過尋找工具和解決方案來進(jìn)行自動化。當(dāng)我們說應(yīng)用程序缺少安全方面的技術(shù)人才的時候,無異于說我們通過手工的方式來評估應(yīng)用程序的安全性。如果將分析或安全這部分工作進(jìn)行自動化,那會怎樣呢?我們會因此在組織中更富有成效地工作。技術(shù)和自動化可以解決技能短缺的問題。我們通過創(chuàng)新來尋找出路。
查看英文原文:Active Management of Open Source Components Delivers Measurable Improvements Claims Sonatype Report
京公網(wǎng)安備 11010502049343號