Загрузка с открытым исходным кодом в 2020 году достигнет 1,5 трлн, что является рекордным показателем. В то же время число кибератак, активно нацеленных на проекты с открытым исходным кодом, увеличилось на 430%. Как предприятия реагируют на поток уязвимостей и что влияет на их успех?
За ответами мы обратились к шестому ежегодному отчету Sonatype о состоянии цепочки поставок программного обеспечения, который опирается на общедоступные и частные базы данных, а также данные опросов, предлагает уникальную информацию о состоянии безопасности с открытым исходным кодом и о том, как распространение открытого исходного кода поставило под угрозу глобальную цепочку поставок.
Основными выводами доклада являются:
Удаленная работа не замедляет разработку программного обеспечения: несмотря на глобальные последствия COVID-19, в 2020 году ожидается 1,5 триллиона загрузок компонентов и контейнеров с открытым исходным кодом.
При создании приложений команды разработчиков используют в среднем 135 программных компонентов, из которых 90% имеют открытый исходный код – рекордный показатель.
Открытый исходный код все чаще становится мишенью: в глобальном масштабе 2019 год привел к увеличению на 430% числа кибератак следующего поколения, активно нацеленных на проекты программного обеспечения с открытым исходным кодом.
Распространение открытого исходного кода поставило под угрозу глобальную цепочку поставок. Задача борьбы с уязвимостями ОС ложится на инженеров-программистов, которые теперь сталкиваются с гораздо более тяжелым бременем.
Чтобы пролить свет на то, как команды разработчиков корпоративного программного обеспечения используют компоненты с открытым исходным кодом, а также на результаты управления производительностью и рисками, которых они достигают, исследовательская группа Sonatype с открытым исходным кодом и безопасностью сотрудничала с доктором Стивеном Магиллом и Джином Кимом, чтобы изучить, как высокоэффективные команды успешно демонстрируют превосходные результаты управления рисками при сохранении высокого уровня производительности.
Их выводы суммируются следующим образом::
[в то время как] противники ускоряются, быстрее лучше для проектов с открытым исходным кодом, и производительность не должна достигаться ценой снижения безопасности на предприятии.
Ответы 679 человек из самых разных отраслевых вертикалей, включая банковское дело, розничную торговлю, здравоохранение и правительство, на опрос с 41 вопросом были проанализированы с помощью кластерного анализа.
Это выявило четыре различные группы:
⊲ Высокие показатели: высокая производительность, отличные результаты управления рисками (N=151)
⊲ Низкие показатели: низкая производительность, плохие результаты управления рисками (N=107)
⊲ Безопасность прежде всего: низкая производительность, отличные результаты управления рисками (N=167)
⊲ Производительность во-первых: высокая производительность, плохие результаты управления рисками (N=103)
В отчете представлены результаты, свидетельствующие о том, что высокие показатели значительно превосходят низкие показатели в области доставки программного обеспечения и безопасности — они чаще развертываются, быстрее обнаруживают и устраняют уязвимые компоненты OSS, быстрее переводят разработчиков в новые команды и быстрее утверждают новые компоненты OSS для использования. В качестве заключительного бонуса разработчики в высокопроизводительных командах демонстрируют более высокий уровень удовлетворенности работой.