Was die besten OS-Entwickler­teams auszeichnet

Für einen Report wurden insgesamt 36'000 Open-Source-Projektteams und 3,7 Millionen Open-Source-Releases analysiert.
 
Eine Reihe von Faktoren zeichne die erfolgreicheren Open-Source- (OS)-Teams aus, so ein Report. Die "295 besten OS-Projekte", wie Sonatype sie bezeichnet, würden beispielsweise Schwachstellen 3,4 Mal schneller beheben können. Ausserdem seien sie 6,8 Mal besser bei der Freigabe von Komponenten, bei denen alle Abhängigkeiten auf dem neuesten Stand sind, und sie führen doppelt so häufig Komponenten-Releases durch. Es zeige sich auch, dass die Entwickler-Teams der besten OS-Projekte im Schnitt 33 Prozent grösser seien. Dies sind nur einige Ergebnisse des "State of the Software Supply Chain Reports" von Sonatype.
 
Bei Entwicklerteams, die ihre Software Supply Chain aktiv verwalten, konnte der Einsatz von bekannten Schwachstellen um bis zu 55 Prozent reduziert werden. Laut der Studie tragen dazu auch Tools für die automatisierte und kontrollierte Beschaffung von Open Source bei – insbesondere Repository Manager. Diese erlauben ein häufigeres Aktualisieren der Softwarekomponenten. Gleichzeitig aber warnen die Studienautoren vor der wachsenden Gefahr gefährlicher Komponenten in zentralen OS-Repositories. Etwa habe der Anteil von JavaScript-Packages mit bekannten Schwachstellen in dem von Sonatype seit 2005 kuratierten "Central Repository" im vergangenen Jahr bei 10,3 Prozent gelegen.
 
Für den Report untersuchte Sonatype Best Practices bei Open-Source-Software-Projekten und kommerziellen Entwicklerteams. Dabei wurden Release-Muster und Hygieneverfahren im Zusammenhang mit Cyber-Sicherheit in insgesamt 36'000 OS-Projektteams und 3,7 Millionen OS-Releases analysiert. Zudem wurden 12'000 kommerzielle Entwicklerteams untersucht, um aufzuzeigen, wie diese mit OS-Komponenten umgehen.
 
Insgesamt wurden für den "State of the Software Supply Chain Report" 6200 Entwickler befragt. Die Ergebnisse sollen die Gesundheit des Opensource-Ökosystems aufzeigen und die Gewohnheiten und Best Practices von OS-Entwicklerteams beschreiben.
 
Der 57-seitige, detailhaltige Report kann online kostenlos herunter geladen werden und bietet weitere Informationen etwa zur allgemeinen Nutzung und Verbreitung von OS-Software oder zum Einsatz von DevSecOps-Practices. (kjo)