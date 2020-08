Der aktuelle State of the Software Supply Chain Report gibt einen Einblick darin, wie High-Performance-Teams einerseits ihr hohes Niveau an Produktion aufrechterhalten und andererseits Sicherheitsschwachstellen effektiv entgegenwirken.

Die bereits 6. Auflage des State of the Software Supply Chain wurde veröffentlicht. Auch für das Jahr 2020 untersuchte das Unternehmen Sonatype gemeinsam mit den Forschern Gene Kim und Dr. Stephen Magill, wie in High-Performance-Teams optimales Risikomanagement Hand in Hand mit einem hohen Produktionsniveau gehen kann.

Als Grundlage der Untersuchungen wurden im Open-Source-Bereich 1,5 Billionen Download-Anfragen, 24.00 Pojekte sowie 5.600 Entwicklerteams analysiert. Letztere wurden anhand der erhobenen Daten in die folgenden Katgorien unterteilt: High-Performance, Security-First, Productivity-First und Low-Performer. Zentraler Gegenstand des Reports ist unter anderem die Frage, was High-Performer von anderen unterscheidet und wie sie ihre Ergebnisse erzielen.

State of the Software Supply Chain 2020: Die Ergebnisse

Wie unterscheiden sich leistungsstarke Teams (High Performer) von leistungsschwachen (Low Performer)? Für diese Frage wurden 24.000 Open-Source-Projekte hinsichtlich der Leistungsfähigkeit analysiert.Hier identifizieren die Autoren des Reports besonders die Verwaltung von Dependencies als einen Aspekt, so werden diese bei High-Performern im Durchschnitt bis zu 530-mal so schnell aktualisiert, woraus sich eine 174-mal geringere Wahrscheinlichkeit ergibt, dass Dependencies veraltet sind. Auch im Bereich von neuen Versionen können leistungsstarke Team eine 1,5-mal höhere Veröffentlichungsrate vorweisen und besitzen eine 2,5-mal so hohe Popularität wie Low Performer.

„Wir haben festgestellt, dass High-Performance-Teams in der Lage sind, Sicherheits- und Produktivitätsziele gleichzeitig zu erreichen“, wird Gene Kim, Mitautor des Reports zitiert. Dr. Stephen Magill ergänzt: „Es war wirklich spannend, so viele Beweise dafür zu finden, dass dieser vieldiskutierte Kompromiss zwischen Sicherheit und Produktivität in Wirklichkeit eine falsche Dichotomie ist. Mit der richtigen Kultur, den richtigen Arbeitsabläufen und den richtigen Tools können Entwicklungsteams großartige Ergebnisse in den Bereichen Sicherheit und Compliance erzielen und gleichzeitig eine erstklassige Produktivität erreichen“.

High-Performer vs. Security-First

Im direkten Vergleich zu Teams mit einem Security-First-Ansatz stellt der Report fest, dass sehr leistungsstarke Teams mit einer 56% höheren Wahrscheinlichkeit über eine zentral verwaltete CI-Infrastruktur verfügen. Weitere Aspekte, die High-Performer von anderen unterscheiden , sind der Einsatz von Software-Composition-Analyse-Tools (SCA), eine zentrale Erfassung der Software Bill of Materials für Applikationen und das Durchsetzen von Regierungs-Richtlinien innerhalb der CI.

In Bezug auf das Thema Security verzeichnet der Report allein im letzten Jahr einen Anstieg von Next-Generationen-Attacken auf Supply Supply Chains um 430%.

Der gesamte Report kann auf der offiziellen Webseite von Sonatype heruntergeladen werden.