Open Source treibt die digitale Transformation weiter voran – Software Supply Chain Report 2021 von Sonatype zeigt wichtige Trends auf
Der 2021 State of the Software Supply Chain Report von Sonatype kombiniert ein breites Spektrum an öffentlichen und proprietären Daten, um wichtige Trends in der modernen Software-Entwicklung aufzudecken. Der diesjährige Bericht beleuchtet operative Angebots-, Nachfrage- und Sicherheitstrends im Kontext der Ökosysteme Java (Maven Central), JavaScript (npmjs), Python (PyPI) und .Net (nuget). Darüber hinaus untersuchten die Forscher Software-Entwicklungsverfahren aus 100.000 Produktionsanwendungen und 4.000.000 Komponentenmigrationen, die von Entwicklern in den letzten 12 Monaten durchgeführt wurden. Einige der wichtigsten Ergebnisse:
Open-Source-Angebot, -Nachfrage und -Sicherheitsdynamik:
- Das Angebot stieg um 20%. Die vier wichtigsten Open-Source-Ökosysteme enthalten jetzt zusammen 37.451.682 verschiedene Versionen von Komponenten.
- Die Nachfrage nahm um 73 % zu. Im Jahr 2021 werden Entwickler in aller Welt mehr als 2,2 Billionen Open-Source-Pakete aus den vier wichtigsten Ökosystemen herunterladen.
- Die Anzahl der Angriffe ist um 650 % gestiegen. Im Jahr 2021 erlebte die Welt einen exponentiellen Anstieg von Angriffen auf die Software Supply Chain, die darauf abzielen, Schwachstellen in vorgelagerten (upstream) Open-Source-Ökosystemen auszunutzen.
- Produktionsanwendungen nutzen nur 6 % aller verfügbaren Projekte. Trotz des riesigen Angebots an Open-Source-Projekten konzentriert sich die Nutzung auf eine erstaunlich kleine Anzahl populärer Projekte.
- Populäre Projekte sind häufiger gefährdet. 29 % der populären Projektversionen enthalten mindestens eine bekannte Sicherheitslücke. Umgekehrt ist dies nur bei 6,5 % der weniger beliebten Projektversionen der Fall, was darauf hindeutet, dass sich Sicherheitsexperten (sowohl diejenigen, die zur IT-Sicherheit beitragen, als auch diejenigen mit kriminellen Absichten) auf die am häufigsten genutzten Projekte konzentrieren.
Empirische Metriken zur Ermittlung der besten Open-Source-Projekte:
- Projekte mit einer schnelleren mittleren Aktualisierungszeit (MTTU) sind sicherer. Die Wahrscheinlichkeit, dass sie Schwachstellen aufweisen, ist um das 1,8-fache geringer.
- Popularität ist kein guter Indikator für Sicherheit. Bei beliebten Open-Source-Projekten war die Wahrscheinlichkeit, dass sie Sicherheitslücken enthielten, um das 2,8-fache erhöht.
Die Verfahren zur Verwaltung von Abhängigkeiten variieren stark zwischen den Entwicklungsteams:
- Software-Entwickler treffen in 69 % der Fälle suboptimale Entscheidungen bei der Aktualisierung von Drittanbieter-Abhängigkeiten. Neuere Versionen von Projekten sind im Allgemeinen besser, aber nicht immer die besten.
- Kommerzielle Entwicklungsteams verwalten nur 25 % der von ihnen verwendeten Komponenten, dadurch sind die meisten ihrer Open-Source-Abhängigkeiten veraltet und anfällig für erhöhte Sicherheitsrisiken.
- Durch Automatisierung könnten Unternehmen 192.000 US-Dollar pro Jahr einsparen. Ausgestattet mit intelligenter Automatisierung würde ein mittelgroßes Unternehmen mit 20 Applikationsentwicklungsteams insgesamt 160 Entwicklertage pro Jahr einsparen.
Verfahren zum Management der Software Supply Chain: Wahrnehmung vs. Realität
- Es besteht eine Diskrepanz zwischen subjektiven Umfrageergebnissen und objektiven Daten. Die Befragten sind der Meinung, dass sie bei der Beseitigung fehlerhafter Komponenten gute Arbeit leisten, und meinen zu wissen, wo die Risiken liegen. Objektive Untersuchungen belegen jedoch, dass es den Entwicklungsteams an strukturierter Anleitung mangelt und sie häufig suboptimale Entscheidungen in Bezug auf das Software Supply Chain Management treffen.
"Der diesjährige State of the Software Supply Chain Report zeigt einmal mehr, dass Open Source sowohl ein wichtiger Antriebsfaktor für digitale Innovationen als auch ein lohnendes Ziel für Angriffe auf die Software Supply Chain ist", so Matt Howard, EVP von Sonatype. "Während die Nachfrage von Entwicklern nach Open Source weiterhin exponentiell wächst, zeigt unsere Untersuchung zum ersten Mal, wie wenig das Gesamtangebot tatsächlich genutzt wird. Außerdem wissen wir jetzt, dass beliebte Projekte unverhältnismäßig viele Schwachstellen aufweisen. Diese drastische Realität unterstreicht sowohl die große Verantwortung als auch die Chance für Entwicklungsleiter, intelligente Automatisierung zu nutzen, um die besten Open-Source-Anbieter als Standard zu verwenden und gleichzeitig den Entwicklern zu helfen, die Bibliotheken von Drittanbietern mit optimalen Versionen auf dem neuesten Stand zu halten.
Zusätzliche Ressourcen
- Lesen Sie den State of the Software Supply Chain Report 2021
- Lesen Sie den Sonatype Blog
- Erstellen Sie kostenlos eine Software Bill of Materials
- Weitere Informationen über die Software Supply Chain Automatisierungslösungen von Sonatype
Sonatype ist der führende Anbieter von entwicklerfreundlicher, umfassender Software Supply Chain-Automatisierung, die Unternehmen die volle Kontrolle über ihre Cloud-nativen Development Lifecycles bietet, einschließlich Open Source Code von Drittanbietern, First Party Source Code, Infrastructure as Code und Containerized Code. Das Unternehmen unterstützt 70 % der Fortune-100-Unternehmen und bietet kommerzielle und Open Source Tools, auf die 15 Millionen Entwickler in aller Welt vertrauen. Mit der Vision, die Art und Weise, wie die Welt innoviert, zu verändern, hilft Sonatype Unternehmen jeder Größe, qualitativ hochwertigere Software zu entwickeln, die besser auf die Unternehmensanforderungen abgestimmt, wartungsfreundlicher und sicherer ist.
Sonatype wurde von Fast Company zwei Jahre in Folge als einer der weltweit besten Arbeitsplätze für Innovatoren ausgezeichnet und in die Liste der "Deloitte Technology Fast 500 and Inc." aufgenommen.
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
PR für Sonatype
Telefon: +49 7042 1205073
E-Mail: sonatype@martinakunze.com
Lizenz-Compliance: So eliminieren Sie rechtliche Risiken schnell und sicher (Webinar | Online)
Hören Sie, wie die Fiducia & GAD IT AG das Thema Lizenz-Compliance angeht und lernen Sie Tools kennen, um die Einhaltung gesetzlicher Anforderungen zu automatisieren.
Lizenz-Compliance kann eine mühsame Aufgabe sein, die allein für das Sammeln, Überprüfen und Einhalten von Open-Source-Lizenzverpflichtungen Tausende von Stunden (und Euros) pro Jahr in Anspruch nimmt. Aber sie ist notwendig, wenn Sie saftige Geldstrafen oder schlimmer noch, das Risiko der Veröffentlichung des firmeneigenen Codes vermeiden wollen.
Stefan Thanheiser, Chapter Guide Software Asset & Lizenzmanagement bei Fiducia & GAD IT AG, erklärt in dieser Session, weshalb die Einhaltung rechtlicher Verpflichtungen so wichtig ist und so mühsam sein kann und gewährt Einblicke in die Herangehensweise der Fiducia ans Thema Lizenz-Compliance.
Im zweiten Teil präsentiert Frank Tingle (auf Englisch), wie Sonatype’s neues Advanced Legal Pack die Komplexität des Compliance-Prozesses verringern und dabei helfen kann:
- die Erfassung rechtlicher Daten zu automatisieren
- 90% der Open-Source-Verpflichtungen mit automatisierten Attributionsberichten einhalten
- Release-Zeiten durch schnellere rechtliche Prüfungen zu beschleunigen
Eventdatum: Dienstag, 13. Juli 2021 09:51 – 09:51
Eventort: Online
Firmenkontakt und Herausgeber der Eventbeschreibung:
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
Weiterführende Links
verantwortlich. Dieser ist in der Regel auch Urheber der Eventbeschreibung, sowie der angehängten
Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH
übernimmt keine Haftung für die Korrektheit oder Vollständigkeit des dargestellten Events. Auch bei
Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit.
Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung
ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem
angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen
dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet
DevSecOps Leadership Forum Online – auf Deutsch – (Webinar | Online)
Seit 2018 bringt das DevSecOps Leadership Forum weltweit Führungskräfte aus der Technologiewelt zusammen, um von renommierten IT- und Sicherheitsexperten Erfahrungen ihrer DevSecOps-Mission sowie Best Practises zu hören.
Dieses Forum ist für Fachleute aus den Bereichen Softwareentwicklung, Operations und IT-Sicherheit konzipiert. Egal, ob Sie Entwickler, Software-Architekt, Sicherheitsverantwortlicher oder CISO sind, Sie können gleichermaßen von der Veranstaltung profitieren.
Dieses Jahr freuen wir uns auf Präsentationen von Uwe Maurer, Enterprise Architect, EnBW Energie Baden-Württemberg AG und André Herchenhan, Gruppenleiter Meldewesen, Union Investment.
Melden Sie sich noch heute an. Wir freuen uns, wenn Sie am
11. Mai 2021 um 10:00 Uhr MESZ
mit dabei sind.
Eventdatum: Dienstag, 11. Mai 2021 10:00 – 12:00
Eventort: Online
Firmenkontakt und Herausgeber der Eventbeschreibung:
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
Weiterführende Links
verantwortlich. Dieser ist in der Regel auch Urheber der Eventbeschreibung, sowie der angehängten
Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH
übernimmt keine Haftung für die Korrektheit oder Vollständigkeit des dargestellten Events. Auch bei
Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit.
Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung
ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem
angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen
dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet
Podiumsdiskussion – Wie verändert sich die Rolle des Entwicklers? (Webinar | Online)
Lars Brößler, Senior Software Developer (Endress + Hauser) und Shane Close, Enterprise Account Executive (Secure Code Warrior) diskutieren mit Karin Althaus (Sonatype) die Rolle des Entwicklers damals, heute und morgen – und welche Skills es braucht, um erfolgreich zu sein und zu bleiben.
Als Software-Entwickler stehen Sie heute an vorderster Front, um Innovation voranzutreiben und gleichzeitig aber auch die Sicherheit von Anwendungen und sogar Cloud-Infrastruktur zu gewährleisten. Die Rolle des Entwicklers unterliegt deshalb einem riesigen Wandel: Neue Aufgaben und mehr Verantwortung sind dazugekommen, gut Code schreiben zu können reicht schlichtweg nicht mehr aus, um erfolgreich zu sein.
Unsere Panelisten teilen Erfahrungen, geben Tipps und diskutieren unter anderem
- Wie Entwickler die immer neuen Aufgaben bewältigen
- Welche Skills ein guter Entwickler heute braucht und wie Sie sich diese aneignen können
- Wie Unternehmen ihre Entwickler-Teams unterstützen können.
Schließen Sie sich der Diskussion an!
Eventdatum: Dienstag, 09. März 2021 10:00 – 11:00
Eventort: Online
Firmenkontakt und Herausgeber der Eventbeschreibung:
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
Weiterführende Links
verantwortlich. Dieser ist in der Regel auch Urheber der Eventbeschreibung, sowie der angehängten
Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH
übernimmt keine Haftung für die Korrektheit oder Vollständigkeit des dargestellten Events. Auch bei
Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit.
Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung
ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem
angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen
dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet
Virtual MeetUp Summit (Webinar | Online)
IT-Fachleute und Unternehmenskunden sind herzlich eingeladen an der gemeinsamen virtuellen Auftaktveranstaltung von Sonatype und SVA am 22. Februar 2021 teilzunehmen.
Themen des Webinars:
- Warum 94% der Top-Unternehmen Nexus als SDLC-Sicherheitstool wählen
- Schnellere Abhilfe mit fachkundiger Anleitung für Entwickler
- Vermeiden Sie Fehlalarme! Nexus scannt Apps mithilfe des erweiterten binären Fingerabdrucks und kann so Umbenennungen oder geänderte Komponenten identifizieren, unabhängig davon, ob sie deklariert wurden oder nicht.
- Die Meldung von Schwachstellen und Richtlinien ist in jedem Pipeline-Lauf möglich und unerlässlich
- Eigene Richtlinien, damit es keine Entschuldigungen dafür gibt, dass Schwachstellen in Ihre Pipeline aufgenommen werden.
- Proxy für ausgehende Pakete in vielen Sprachen
- HA Artefaktspeicher
Eventdatum: Montag, 22. Februar 2021 10:30 – 11:30
Eventort: Online
Firmenkontakt und Herausgeber der Eventbeschreibung:
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
Weiterführende Links
verantwortlich. Dieser ist in der Regel auch Urheber der Eventbeschreibung, sowie der angehängten
Bild-, Ton-, Video-, Medien- und Informationsmaterialien. Die United News Network GmbH
übernimmt keine Haftung für die Korrektheit oder Vollständigkeit des dargestellten Events. Auch bei
Übertragungsfehlern oder anderen Störungen haftet sie nur im Fall von Vorsatz oder grober Fahrlässigkeit.
Die Nutzung von hier archivierten Informationen zur Eigeninformation und redaktionellen Weiterverarbeitung
ist in der Regel kostenfrei. Bitte klären Sie vor einer Weiterverwendung urheberrechtliche Fragen mit dem
angegebenen Herausgeber. Eine systematische Speicherung dieser Daten sowie die Verwendung auch von Teilen
dieses Datenbankwerks sind nur mit schriftlicher Genehmigung durch die United News Network GmbH gestattet
Sonatype kooperiert mit SVA System Vertrieb Alexander GmbH
Open-Source-Softwarekomponenten sind so verbreitet, dass 90% des Codes in den meisten modernen Anwendungen aus ihnen zusammengesetzt ist. Zu verstehen, was in einer Anwendung enthalten ist, ist entscheidend, um deren Sicherheit zu gewährleisten, weshalb Sonatype die Nexus-Plattform entwickelt hat. Sie setzt automatisch Open-Source-Governance durch und kontrolliert das Risiko in jeder Phase des Software Development Lifecycle (SDLC). Dank Nexus Intelligence, einer Lösung, die detaillierte Sicherheits-, Lizenz- und Qualitätsdaten zu Komponenten aus Dutzenden von Ökosystemen enthält, identifiziert die Sonatype Nexus Platform präzise Open-Source-Risiken und bietet fachkundige Anleitungen zur Behebung von Problemen, damit Entwickler schneller innovative Lösungen entwickeln können. Sonatype sichert den Perimeter und jede Phase des SDLC, einschließlich der Produktion, durch kontinuierliche Überwachung auf neue Risiken auf Basis der Open-Source-Richtlinien.
„Wir sind mit 23 Niederlassungen in Deutschland vertreten und erzielen optimale Lösungen für unsere Kunden, indem wir ausschließlich hochwertige IT-Produkte mit IT-Best-Practice und mehr als 20 Jahren Erfahrung kombinieren“, erklärt Stefan Gärtner, Leiter des Competence Centers CI/CD bei SVA. „Das Ziel in Zukunft schnell lieferfähig zu bleiben, führt unsere Kunden zu einer kontinuierlich steigenden Automatisierung. Sowohl die Sicherheit als auch das Application Lifecycle Management müssen diesem Anspruch gerecht werden. Die Produkte von Sonatype gepaart mit dem Know-how der SVA unterstützen unsere Kunden dabei, die Auslieferung hochwertiger Softwareprodukte zu beschleunigen und zu optimieren. Sonatype verfügt unter anderem über eine umfassende Datenbank zur Schwachstellenanalyse, Open-Source-Lizenzverpflichtungen und bietet kontinuierliche Updates zu Lizenzänderungen oder -ergänzungen, um Governance-Richtlinien zu erfüllen.“
"Sonatype kann auf Informationen zu mehr als 100 Mio. Open-Source-Komponenten zurückgreifen und ist damit besser als jeder andere in der Lage, globale Unternehmen zu schützen und Schwachstellen zu identifizieren und zu entschärfen", sagt Wai Man Yau, General Manager, International, Sonatype. "Durch unsere Partnerschaft mit der SVA System Vertrieb Alexander GmbH können wir diese Informationen noch mehr Unternehmen zur Verfügung stellen und DevSecOps und Open-Source-Governance auf dem deutschen Markt weiter ausbauen, so dass Kunden kontinuierlich automatisierte Sicherheitsfunktionen erhalten, die sie für die Entwicklung sicherer Software benötigen."
Virtuelle Auftaktveranstaltung von Sonatype und SVA
IT-Fachleute und Unternehmenskunden sind herzlich eingeladen an der gemeinsamen virtuellen Auftaktveranstaltung von Sonatype und SVA am 22. Februar 2021 teilzunehmen. Interessenten können sich direkt über diesen Link zum Virtual MeetUp Summit – Sicherheitsaspekte in der agilen Software-Entwicklung anmelden.
Zusätzliche Ressourcen
Weitere Informationen darüber, wie Sonatype oder SVA Unternehmen helfen kann, sichere und qualitativ hochwertige Software zu entwickeln, finden Sie auf https://www.sonatype.com/nexus-lifecycle und https://www.sva.de.
Über SVA
SVA ist einer der führenden System-Integratoren Deutschlands im Bereich Datacenter-Infrastruktur. Das Unternehmen mit Hauptsitz in Wiesbaden wurde 1997 gegründet und beschäftigt mehr als 1.600 Mitarbeiter an 23 Standorten in Deutschland. Das unternehmerische Ziel der SVA ist es, hochwertige IT-Produkte der jeweiligen Hersteller mit dem Projekt-Know-how und der Flexibilität von SVA zu verknüpfen, um so optimale Lösungen für unsere Kunden zu erzielen. Weitere Informationen finden Sie unter www.sva.de
Mehr als 10 Millionen Software-Entwickler verlassen sich auf Sonatype, um schneller zu innovieren und gleichzeitig die mit Open Source verbundenen Sicherheitsrisiken zu verringern. Die Nexus-Plattform von Sonatype kombiniert tiefgreifende Komponentendaten mit einer Echtzeit-Anleitung zur Fehlerbehebung, um die Open Source-Governance in jeder Phase der modernen DevOps-Pipeline zu automatisieren und zu skalieren. Sonatype befindet sich in Privatbesitz mit Investitionen von Accel Partners, Hummer Winblad Venture Partners, Goldman Sachs und TPG. Weitere Informationen finden Sie unter www.sonatype.com.
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
PR für Sonatype
Telefon: +49 7042 1205073
E-Mail: sonatype@martinakunze.com
Eficode verstärkt Partnerschaft mit Sonatype und erweitert die marktführende Software Composition Analysis mit gehosteten Lösungen
Laut der IDG Cloud-Computing-Studie 2020, gaben 92 Prozent der Unternehmen an, dass sie sich zumindest teilweise in der Cloud bewegen, wobei das Budget für Cloud- und SaaS-Prioritäten in den nächsten 12 Monaten eher noch wachsen dürfte. Die Umfrage stellt auch fest, dass fast ein Drittel (32 Prozent) aller IT-Budgets bereits in Cloud-Angebote fließen. Dies verdeutlicht, wie das derzeitige Klima das bereits rasante Wachstum des SaaS- und Cloud-Marktes noch verstärkt hat. Für das Jahr 2021 hat sich Eficode vorgenommen, alle Kunden bei der Umstellung auf ein vollständiges DevOps-Cloud-Projekt innerhalb seiner ROOT-Plattform zu unterstützen. Unter anderem soll sichergestellt sein, dass Kunden über die erstklassigen SCA-Funktionalitäten von Sonatype und die Fähigkeit verfügen, Innovationen während des gesamten Applikationsentwicklungszyklus schneller zu entwickeln und die mit Open Source verbundenen Sicherheitsrisiken zu mindern.
"Wir wissen, wie wichtig die Anwendungssicherheit für die digitalen und DevOps-Transformationen unserer Kunden ist. Wir wissen auch, wie wichtig Open Source für diese Transformationen und eine kontinuierliche Innovation ist. Da die Ausnutzung von Software-Sicherheitslücken jedoch immer weiter zunimmt, ist es von entscheidender Bedeutung, dass Unternehmen verstehen, welche Komponenten sie verwenden und was zu tun ist, wenn eine dieser Komponenten eine Schwachstelle aufweist", so Marko Klemetti, CTO von Eficode. "Mit Sonatype können unsere Kunden schnell einen Einblick in ihren Application Technology Stack gewinnen und erhalten so einen wichtige Informationen über die Risiken und Bedrohungen, die von modernen Software-Entwicklungsverfahren ausgehen. Indem wir die Sonatype Nexus-Plattform über unseren Eficode ROOT Managed Service anbieten, sind wir in der Lage, dieses Wissen und diesen Schutz noch mehr Unternehmen in Europa zugänglich zu machen."
Das Sonatype Nexus Portfolio ist ein wesentlicher Bestandteil der Eficode ROOT DevOps Platform für die Ausführung der Software Composition Analysis in der Cloud. Es setzt automatisch die Open Source Governance durch und kontrolliert Risiken in jeder Phase des SDLC. Auf Basis von Nexus Intelligence, das detaillierte Sicherheits-, Lizenz- und Qualitätsinformationen zu mehr als 100 Millionen Open-Source-Komponenten in Dutzenden von Ökosystemen enthält, identifiziert die Plattform präzise Open-Source-Risiken, bietet fachkundige Anleitung zur Behebung von Schwachstellen und ermöglicht Entwicklern ihre Innovationen schneller umzusetzen. Durch die kontinuierliche Überwachung auf neue Risiken auf der Grundlage Ihrer Open-Source-Richtlinien sichert Nexus nicht nur den Perimeter, sondern jede Phase des SDLC, einschließlich der Produktion.
"Eficode kennt sich im Bereich DevOps besser aus als irgendwer sonst, und wir haben immer wieder festgestellt, wie wertvoll sie als Partner sind", so Wai Man Yau, General Manager International, bei Sonatype. "Durch den Ausbau unserer Beziehung und die Bereitstellung einer Managed-Service-Lösung macht Eficode es für Unternehmen noch einfacher, auf die Open Source Intelligence und Nexus-Plattform von Sonatype zuzugreifen, um ihre Software Supply Chains zu schützen. Wir sind stolz darauf, unsere Zusammenarbeit mit Eficode fortzusetzen, um Entwicklern und Unternehmen die Informationen zur Verfügung zu stellen, die sie benötigen, um bessere Software schneller zu entwickeln und dabei gleichzeitig die Präsenz von Sonatype zu erweitern."
Eficode und Sonatype teilen sich bereits eine Vielzahl von Unternehmenskunden und haben sich für das Jahr 2021 zum Ziel gesetzt Cloud-Transformationen weiter voranzutreiben.
Zusätzliche Ressourcen
Weitere Informationen darüber, wie Eficode oder Sonatype Unternehmen helfen können, sichere und qualitativ hochwertige Software zu entwickeln, finden Sie unter https://www.sonatype.com/nexus-lifecycle und https://www.eficode.com/root-devops-platform
Über Eficode
Eficode eines der führenden DevOps-Unternehmen in Europa, das die DevOps-Bewegung vorantreibt und die Zukunft der Software-Entwicklung gemeinsam in sieben Ländern mit mehr als 300 Fachkräften gestaltet.
Eficode ROOT ist eine marktführende DevOps-Plattform, die den gesamten Software-Development Lifecycle abdeckt, vom Anforderungsmanagement bis hin zu Continuous Delivery und Analytik, wobei Werkzeuge wie Atlassian-Stack und Open-Source-Systeme wie Jenkins und Kubernetes integriert werden. Die Plattform wird als Managed Service in der Cloud angeboten.
Durch die Kombination von DevOps Know-how mit weltweit führenden Automatisierungs- und Tool-Integrationen bietet Eficode ROOT eine zentralisierte Zugriffskontrolle und Echtzeit-Transparenz von Projektstatus, Qualität und Leistung. Weitere Informationen erhalten Sie unter https://www.eficode.com/.
Sonatype ist mit mehr als 350 Mitarbeitern, über 1.200 Unternehmenskunden und dem Vertrauen von mehr als 10 Millionen Software-Entwicklern führend in der Automationstechnologie von Software-Supply-Chains. Die Nexus-Plattform von Sonatype ermöglicht es DevOps-Teams und Entwicklern, Sicherheit in jeder Phase der modernen Entwicklungspipeline automatisch zu integrieren, indem sie detaillierte Komponentendaten mit Echtzeit-Anleitungen zur Fehlerbehebung kombiniert. Für weitere Informationen besuchen Sie bitte Sonatype.com oder kontaktieren Sie uns über Facebook, Twitter, or LinkedIn.
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
PR für Sonatype
Telefon: +49 7042 1205073
E-Mail: sonatype@martinakunze.com
Sonatype veröffentlicht „2020 State of the Software Supply Chain Report“ und enthüllt neue Geschwindigkeits- und Sicherheits-Benchmarks
Im zweiten Jahr in Folge arbeitete Sonatype mit den Forschern Gene Kim von IT Revolution und Dr. Stephen Magill, CEO von MuseDev, zusammen, um zu untersuchen, wie High-Performance-Teams hervorragende Ergebnisse beim Risikomanagement erzielen und gleichzeitig ein hohes Produktivitätsniveau aufrechterhalten können.
Der Bericht analysiert über 1,5 Billionen Download-Anfragen für Open Source, 24.000 Open Source-Projekte und 5.600 Entwicklungsteams in Unternehmen. Darüber hinaus wurden im Rahmen einer eingehenden Umfrage in einer Vielzahl von Unternehmen vier Arten von Software-Entwicklungsteams mit deutlich unterschiedlichen Leistungsniveaus in Bezug auf Verfahren des Software Supply Management und der Open Source Governance identifiziert.
- High-Performance-Teams: hohe Produktivität, hervorragende Ergebnisse beim Risikomanagement
- Security-First-Teams: geringe Produktivität, überzeugende Ergebnisse beim Risikomanagement
- Productivity-First-Teams: hohe Produktivität, mangelhafte Ergebnisse beim Risikomanagement
- Low-Performer-Teams: geringe Produktivität, mangelhafte Ergebnisse beim Risikomanagement
Im Vergleich zu ihren Low-Performer-Kollegen zeichnen sich die High-Performer aus, durch:
- eine 15-mal höhere Deployment-Frequenz
- eine 26-mal schnellere Erkennung und Behebung von Sicherheitslücken in OSS-Komponenten
- einen 5,7-mal geringeren Zeitaufwand, um nach einem Teamwechsel produktiv zu sein
- eine 1,5-mal höhere Wahrscheinlichkeit, dass Mitarbeiter ihr Unternehmen als einen ausgezeichneten Arbeitsplatz empfehlen
Im Vergleich zu den Security-First-Teams lag die Wahrscheinlichkeit bei den High-Performern um
- 59 % höher, eine Software-Composition-Analysis-(SCA)-Tools einzusetzen
- 28 % höher, Governance-Richtlinien innerhalb der Continuous Integration (CI) durchzusetzen
- 56 % höher, eine zentral verwaltete CI-Infrastruktur zu haben
- 51 % höher, eine zentrale Erfassung der SBOMs (Software Bill of Materials) für Applikationen zu betreiben
"Viele haben behauptet, dass effektive Verfahren des Risikomanagements immer auf Kosten der Produktivität der Entwickler gehen, doch der diesjährige Bericht liefert starke Beweise für das Gegenteil. Schnellere Innovation und besseres Risikomanagement schließen sich nicht gegenseitig aus", erklärt Wayne Jackson, CEO von Sonatype. "High-Performance-Entwicklungsteams gewinnen an Geschwindigkeit bei gleichzeitiger Reduzierung der Sicherheitsrisiken. Neben diesen positiven Geschäftsergebnissen weisen Entwickler in High Performance-Teams ein höheres Maß an Arbeitszufriedenheit auf."
Der Bericht analysiert außerdem 24.000 Open-Source-Projekte, um die Methoden der leistungsfähigsten Lieferanten zu ermitteln, die Komponenten in Software-Lieferketten einspeisen. Die Forscher konnten in vorbildlichen OSS-Projekten Folgendes nachweisen:
- eine 530-mal schnellere mittlere Zeit zur Aktualisierung (MTTU) von Abhängigkeiten
- 1,5-mal häufigere Versions-Veröffentlichungen
- eine 2,5-mal höhere Popularität
- eine 173-mal geringere Wahrscheinlichkeit, dass mindestens eine Abhängigkeit veraltet ist
"Wir haben festgestellt, dass High-Performance-Teams in der Lage sind, Sicherheits- und Produktivitätsziele gleichzeitig zu erreichen", sagte Gene Kim, DevOps-Forscher und Autor des WSJ-Bestsellers ‚The Unicorn Project‘. "Es ist wirklich sehr beeindruckend, ein genaueres Verständnis über die Prinzipien und Verfahren, wie diese Ziele erreicht werden, sowie die messbaren Ergebnisse zu gewinnen".
"Es war wirklich spannend, so viele Beweise dafür zu finden, dass dieser vieldiskutierte Kompromiss zwischen Sicherheit und Produktivität in Wirklichkeit eine falsche Dichotomie ist. Mit der richtigen Kultur, den richtigen Arbeitsabläufen und den richtigen Tools können Entwicklungsteams großartige Ergebnisse in den Bereichen Sicherheit und Compliance erzielen und gleichzeitig eine erstklassige Produktivität erreichen", so Dr. Stephen Magill, Principal Scientist bei Galois & CEO von MuseDev.
Die Studie enthüllt auch neue Meilensteine bei der Entwicklung von Open-Source-Software, hinsichtlich der Aktivitäten von Kontrahenten und den Einfluss der Regierung:
- 430 % Anstieg der Next-Generation-Attacken auf Software-Supply-Chains im vergangenen Jahr (Seite 6)
- pro Unternehmen durchschnittlich 373.000 Downloads von Open-Source-Komponenten, von denen 8,3 % als gefährdet bekannt waren (Seite 32)
- Initiativen der US-amerikanischen, britischen und australischen Behörden, die die Software Supply Chains schützen und die Grundlagen von Open-Source untermauern sollen (Seite 34)
Über den State of the Software Supply Chain Report
Der „2020 State of the Software Suppy Chain Report“ verbindet eine breite Palette öffentlicher und proprietärer Daten mit Expertenforschung und -analyse, um beispielhafte Verfahren der Softwareentwicklung zu identifizieren. Im sechsten Jahr seines Bestehens ist der Bericht die am längsten laufende Forschungsarbeit über die Entwicklung von Open-Source-Software und Verfahren zur Anwendungssicherheit ihrer Art.
Zusätzliche Ressourcen
- Lesen Sie den 2020 State of the Software Supply Chain Report
- Lesen Sie den Sonatype Blog
- Erstellen Sie kostenlos eine Software Bill of Materials
- Erfahren Sie mehr über die Software Supply Chain Automatisierungslösungen von Sonatype
Sonatype ist mit mehr als 350 Mitarbeitern, über 1.000 Unternehmenskunden und mehr als 10 Millionen Software-Entwicklern führend in der Automatisierungstechnologie für Software Supply Chains. Die Nexus-Plattform von Sonatype ermöglicht DevOps-Teams und Entwicklern die automatische Integration von Sicherheit in jeder Phase der modernen Entwicklungs-Pipeline durch die Kombination umfassender Komponentendaten mit einer Echtzeit-Anleitung zur Fehlerbehebung. Weitere Informationen erhalten Sie unter Sonatype.com oder über Facebook, Twitter oder LinkedIn.
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
PR für Sonatype
Telefon: +49 7042 1205073
E-Mail: mail@martinakunze.com
Ausgereifte DevSecOps-Verfahren sorgen für zufriedene Entwickler und sichereren Code
Die Umfrage verdeutlicht, dass sich die Entwicklungsgeschwindigkeit beschleunigt: 55 % der Befragten stellen mindestens einmal pro Woche Code für die Produktion bereit, im Vergleich zu 47 % der Befragten im Jahr 2019. Die Ergebnisse zeigen auch, dass Entwicklungsteams, die durch ausgereifte DevOps-Verfahren unterstützt werden, mit größerer Wahrscheinlichkeit automatisierte Sicherheits-Tools in ihren Development-Lifecycle integrieren. Die beliebtesten automatisierten Sicherheitsinvestitionen sind Web Application Firewalls (59 %), Open Source Governance (44 %) und Intrusion Detection (42 %).
Teams, die ausgereifte DevOps-Methoden anwenden, weisen – im Vergleich zu ihren Kollegen aus Teams mit weniger ausgereiften Verfahren – eine 1,6-mal höhere Arbeitszufriedenheit auf. Darüber hinaus investieren die Teams mit ausgereiften DevOps-Verfahren mit 2,2-facher Wahrscheinlichkeit in die Container-Sicherheit, mit 2,1-facher Wahrscheinlichkeit in Sicherheitstests für die dynamische Analyse und mit 1,9-facher Wahrscheinlichkeit in die Software-Composition-Analyse.
"Die Transformationen von DevSecOps erweisen sich als entscheidend – nicht nur für die Verbesserung der Produktivität und der Anwendungssicherheit, sondern auch um die Zufriedenheit der Entwickler zu gewährleisten", sagte Derek Weeks, Vice President bei Sonatype. "Dieses Jahr integrieren und automatisieren ausgereifte DevOps-Teams Sicherheitswerkzeuge fast zweimal häufiger als weniger reife Teams. Wir haben auch festgestellt, dass Entwickler in ausgereiften DevOps-Teams 1,6-mal häufiger ihre Arbeitgeber auf dem heutigen engen Arbeitsmarkt empfehlen und 1,3-mal häufiger ihre Arbeit bewältigen."
Weitere Erkenntnisse des Berichts:
- Ausgereifte DevOps-Teams sind in Bezug auf Sicherheitsverletzungen besser informiert: 28 % der ausgereiften Organisationen wissen von einer auf Open-Source-Komponenten zurückzuführende Sicherheitslücke in den letzten 12 Monaten, verglichen mit nur 19 % der Befragten mit wenig ausgereiften DevOps-Praktiken. Wenngleich Sicherheitsverletzungen bei ausgereiften DevOps-Verfahren tendenziell schwerer wiegen, weisen Branchenvertreter auf die kulturellen Vorteile hin, die eine offene Kommunikation belohnen, neue Informationen begrüßen und eine engere Zusammenarbeit zwischen Entwickler- und Sicherheitsteams fördern.
- Zufriedene Entwickler legen mehr Wert auf Sicherheit: Wenn es um die Code-Qualität geht vernachlässigen zufriedene Entwickler die Sicherheit 3,6-mal weniger und befolgen 1,3-mal häufiger die Open-Source-Richtlinien. Außerdem setzen sie mit einer 2,3-mal höheren Wahrscheinlichkeit automatisierte Sicherheitswerkzeuge ein. Entwickler, die mit ausgereiften DevOps-Verfahren arbeiten, haben 1, 5-mal mehr Freude an ihrer Arbeit und empfehlen ihren Arbeitgeber 1,6-mal häufiger an potenzielle Bewerber weiter.
- Tools und Weiterbildung zeigen eine starke Korrelation mit der Begeisterung für DevOps: Zufriedenere Entwickler sind 1,3-mal häufiger über Sicherheitsprobleme durch ihre integrierten Tools informiert als ihre weniger zufriedenen Kollegen. Darüber hinaus profitieren zufriedenere Entwickler von den verbesserten Tools und einer engen Zusammenarbeit mit Sicherheitsteams, indem sie sich 3,8-mal weniger auf Gerüchte verlassen, wenn es um Sicherheitsbenachrichtigungen geht. Entwickler, die eine Schulung zur sicheren Programmierung erhalten, haben außerdem 5-mal mehr Freude an ihrer Arbeit.
Der vollständige Bericht mit diesen und weiteren Ergebnissen ist hier verfügbar.
Über die DevSecOps Community Survey
Die DevSecOps Community Survey 2020 basiert auf den Angaben von 5.045 Software-Experten aus aller Welt und bietet einen Einblick in deren Einstellung in Bezug auf die besten DevOps-Methoden und die sich verändernde Rolle der Anwendungssicherheit. Die hier berichteten Ergebnisse beruhen auf den Rückmeldungen zu 34 Fragen, die unserer DevOps-Community von Sonatype und etlichen Unterstützern gestellt wurden, darunter All Day DevOps, Carnegie Mellon’s Software Engineering Institute, CloudBees, DevOps.com, DevOps Institute, DevSecOps Days, NowSecure, Security Boulevard und Verica. Die Fehlerquote der Umfrage beträgt ± 1,226 Prozentpunkte bei einem Konfidenzniveau von 95%.
Sonatype ist mit mehr als 350 Mitarbeitern, über 1.000 Unternehmenskunden und mehr als 10 Millionen Software-Entwicklern führend in der Automatisierungstechnologie für Software Supply Chains. Die Nexus-Plattform von Sonatype ermöglicht DevOps-Teams und Entwicklern die automatische Integration von Sicherheit in jeder Phase der modernen Entwicklungs-Pipeline durch die Kombination umfassender Komponentendaten mit einer Echtzeit-Anleitung zur Fehlerbehebung. Weitere Informationen erhalten Sie unter Sonatype.com oder über Facebook, Twitter oder LinkedIn.
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
PR für Sonatype
Telefon: +49 (7042) 1205073
E-Mail: mail@martinakunze.com
State of the Software Supply Chain Report 2019 zeigt Best Practices von 36.000 Open-Source-Software-Entwicklungsteams auf
Im Rahmen des Jahresberichts, der dieses Jahr sein 5-jähriges Bestehen feiert, arbeitete Sonatype mit Gene Kim von IT Revolution und Dr. Stephen Magill von Galois und MuseDev zusammen. Gemeinsam mit Sonatype untersuchten und dokumentierten die Wissenschaftler objektiv die Release-Muster und Hygieneverfahren im Zusammenhang mit Cyber-Sicherheit in 36.000 Open-Source-Projektteams und 3,7 Millionen Open-Source-Releases. Der diesjährige Bericht enthält die 295 besten Open-Source-Projekte, die die folgenden Attribute aufweisen:
- eine um das 18-fache schnellere Aktualisierung von Abhängigkeiten
- 6,8-mal besser bei der Freigabe von Komponenten, bei denen alle Abhängigkeiten auf dem neuesten Stand sind
- 3,4-mal schneller bei der Behebung von Schwachstellen
- 6-mal populärer
- 2-mal häufigere Komponenten-Releases
- 33 % größere Entwicklungsteams
- 4-fach höhere Wahrscheinlichkeit, dass sie von Open-Source-Foundations verwaltet werden als von kommerziellen Betreuern
Die Forschungsteams untersuchten auch 12.000 kommerzielle Entwicklungsteams und befragten mehr als 6.200 Entwickler. Ihre Ergebnisse zeigen, dass bei beispielhaften Entwicklungsteams
- eine um 2,6-mal geringere Wahrscheinlichkeit besteht, dass die Aktualisierung anfälliger Komponenten als "schmerzhaft" erachtet wird.
- es 11-mal wahrscheinlicher ist, dass ein Prozess verwendet wird, um eine neue Abhängigkeit hinzuzufügen (z. B. bewerten, genehmigen, standardisieren, etc.).
- eine 9,3-mal höhere Wahrscheinlichkeit besteht, dass es einen Prozess zur aktiven Beseitigung problematischer oder ungenutzter Abhängigkeiten gibt.
- die Wahrscheinlichkeit, dass automatisierte Tools zur Verfolgung, Verwaltung und/oder Sicherstellung der Richtlinienkonformität von Abhängigkeiten im Einsatz sind, um das 12-fache höher ist.
- es 6,2-mal wahrscheinlicher ist, dass die neueste Version (oder die neueste Version – N) aller ihrer Abhängigkeiten verwendet wird.
"Wir haben Unternehmen schon lange geraten, sich auf die wenigsten Open-Source-Komponentenlieferanten mit den besten Referenzen zu verlassen, um die hochwertigste und risikoärmste Software zu entwickeln", erklärt Wayne Jackson, CEO von Sonatype. "Für Unternehmen, die ihre Software Supply Chain durch bessere Lieferantenauswahl, Komponentenauswahl und Automatisierung unter Kontrolle haben, sind die im diesjährigen Bericht genannten Erfolge beeindruckend. Die Verwendung bekannter gefährdeter Komponenten wurde um 55 % reduziert."
"Es war ein Privileg, Teil dieser Forschungsarbeit zu sein, um den Zustand und die Nutzungsgepflogenheiten des Open-Source-Komponenten-Ökosystems besser zu verstehen, und dabei alle im Central Repository gespeicherten Java-Artefakte studieren zu können, das einige von uns als "Maven Central" kennen", erklärt Gene Kim, Autor, Wissenschaftler und Gründer von IT Revolution. "Es war unglaublich zu erkunden, wie beispielhafte Teams bessere Ergebnisse erzielen (Qualität, Sicherheit, Popularität) und welche Faktoren, wie Teamgröße, Release-Frequenz, Anzahl der Abhängigkeiten, ihre Strategie zur Aktualisierung, unter anderem damit zusammenhängen."
"Für mich war in dieser Studie besonders interessant, sowohl die allgemeinen Trends als auch die Ausreißer zu sehen. Es ist erfreulich zu beobachten, dass die Projekte einen hohen Qualitätsstandard in Bezug auf die Dimensionen Teamgröße, Aktualisierungshäufigkeit, Foundation-Support und Anzahl der Abhängigkeiten beibehalten. Und doch gibt es klare Trends. Leistungsträger werden eher von Foundations unterstützt. Projekte mit vielen Abhängigkeiten werden in der Regel von größeren Teams geleitet", sagt Dr. Stephen Magill, Principal Scientist bei Galois & CEO von MuseDev.
Über den State of the Software Supply Chain Report
Der State of the Software Supply Chain Report 2019 mischt eine breite Palette öffentlicher und geschützter Daten mit Expertenforschung und -analyse, um vorbildliche Software-Entwicklungspraktiken zu identifizieren. Der diesjährige Bericht wurde in Zusammenarbeit mit Gene Kim von IT Revolution und Dr. Stephen Magill von Galois und CEO von MuseDev erstellt. Die Ergebnisse des Berichts stammen aus der Analyse von 36.000 Open-Source-Projektteams, 3,7 Millionen Open-Source-Releases, 12.000 kommerziellen Entwicklungsteams und zwei Umfragen mit einer Gesamtbeteiligung von über 6.200 Entwicklern.
Zusätzliche Ressourcen
- Lesen Sie den State of the Software Supply Chain Report 2019. (deutsche Version)
- Lesen Sie unseren Blog.
- Erstellen Sie kostenlos eine Software Bill of Materials.
- Erfahren Sie mehr über die Sonatype Automatisierungslösungen für die Software Supply Chain.
Mehr als 10 Millionen Software-Entwickler verlassen sich auf Sonatype, um schneller zu innovieren und gleichzeitig die mit Open Source verbundenen Sicherheitsrisiken zu minimieren. Die Nexus-Plattform von Sonatype kombiniert detaillierte Komponenteninformationen mit Echtzeit-Anleitungen zur Fehlerbehebung, um Open-Source-Governance in jeder Phase der modernen DevOps-Pipeline zu automatisieren und zu skalieren. Sonatype ist in Privatbesitz mit Beteiligungen von TPG, Goldman Sachs, Accel Partners und Hummer Winblad Venture Partners. Erfahren Sie mehr unter www.sonatype.com
SONATYPE Inc.
8161 Maple Lawn Blvd STE 250
USA20759 Fulton
Telefon: +1 (301) 684-8080
https://www.sonatype.com
PR für Sonatype
Telefon: +49 (7042) 1205073
E-Mail: mail@martinakunze.com