CIBERSEGURIDAD

Informe sobre el estado de la cadena de suministro de software de Sonatype 2017: las prácticas de DevOps reducen el uso de componentes defectuosos de código abierto en un 63%

Sonatype, líder en automatización de la cadena de suministro de software, anunció hoy el lanzamiento de su tercer Informe anual sobre el estado de la cadena de suministro de software. El informe de este año destaca los riesgos que acechan dentro de los componentes de software de código abierto y cuantifica los beneficios empíricos de la gestión activa de la higiene de la cadena de suministro de software.

Las organizaciones que administran activamente la calidad de los componentes de código abierto que fluyen hacia las aplicaciones de producción están obteniendo una mejora del 28 por ciento en la productividad del desarrollador, una reducción del 30 por ciento en los costos generales de desarrollo y un aumento del 48 por ciento en la calidad de las aplicaciones. Además, el análisis de más de 17.000 aplicaciones revela que las aplicaciones creadas por equipos que utilizan herramientas de gobierno automatizadas redujeron el porcentaje de componentes defectuosos en un 63%.

Por el contrario, las organizaciones que no logran administrar las cadenas de suministro de software están lanzando involuntariamente aplicaciones vulnerables a la producción, desperdiciando miles de horas en reelaboración y corrección de errores, y enfrentando una mayor responsabilidad debido a negligencia grave.

Los hallazgos clave adicionales del informe Estado de la cadena de suministro de software de 2017 incluyen:

El consumo de componentes de código abierto está creciendo a gran escala

  • Las descargas interanuales de componentes Java crecieron un 68 por ciento (52 mil millones en 2016), las descargas de JavaScript crecieron un 262 por ciento (59 mil millones en 2016) y se espera que la demanda de componentes Docker crezca un 100 por ciento (12 mil millones de descargas).
  • Frente a un suministro casi infinito de componentes de código abierto, las organizaciones de DevOps de alto funcionamiento están utilizando la automatización de máquinas para controlar la calidad de los componentes de código abierto que fluyen a través de sus cadenas de suministro de software.

Los proveedores de componentes de código abierto siguen siendo lentos para corregir las vulnerabilidades

  • Incluso cuando se conocen las vulnerabilidades, los proyectos de OSS tardan en solucionarse, si es que lo hacen. Solo el 15,8 por ciento de los proyectos de OSS solucionan activamente las vulnerabilidades, e incluso entonces el tiempo medio para la corrección fue de 233 días.
  • Esto hace que las organizaciones de DevOps tengan la responsabilidad de gobernar activamente con qué proyectos de OSS trabajan y qué componentes consumen en última instancia.

La cantidad de componentes descargados con vulnerabilidades conocidas está disminuyendo ligeramente

  • En 2016, el porcentaje de componentes Java descargados del repositorio central que contenían vulnerabilidades de seguridad conocidas cayó al 5,5 por ciento (1 de cada 18), frente al 6,1 por ciento del año anterior.
  • Aunque esta tasa de descarga de defectos está lejos de ser perfecta, existe evidencia empírica de que la higiene está comenzando a mejorar con tasas de disminución leve en cada uno de los últimos tres años.

El panorama regulatorio está cambiando rápidamente

  • El año pasado en los Estados Unidos, la Casa Blanca, cuatro agencias federales y la industria automotriz publicaron nuevas pautas para mejorar la calidad, seguridad y protección de las cadenas de suministro de software.

Cotizaciones de apoyo
Wayne Jackson, director ejecutivo de Sonatype
“Las empresas ya no están creando aplicaciones de software desde cero, las están fabricando tan rápido como pueden utilizando un suministro infinito de componentes de código abierto. Sin embargo, muchos todavía confían en prácticas de seguridad y gobernanza manuales y que consumen mucho tiempo en lugar de adoptar la automatización nativa de DevOps. Nuestra investigación continúa mostrando que los equipos de desarrollo que administran cadenas de suministro de software confiables están mejorando drásticamente la calidad y la productividad «.

Mark Driver, Felix Gaehtgens, Mark O’Neill, Gartner, informe de mayo de 2017 «Gestión de la confianza digital en el ciclo de vida del desarrollo de software»
“Para 2020, el 50% de las organizaciones habrán sufrido daños causados ​​por no gestionar la confianza en sus ciclos de vida de desarrollo de software (SDLC) o en sus socios, lo que provocará una pérdida de ingresos de más del 15%. Los líderes de aplicaciones responsables de modernizar el desarrollo de aplicaciones deben reevaluar el SDLC en forma de una cadena de suministro de software confiable, con diversos niveles de confianza «.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
Cerrar