HarmonyOS开发者限时福利来啦!最高10w+现金激励等你拿~ 了解详情
写点什么

Sonatype 报告称对开源组件的主动管理能够带来可衡量的改进

  • 2017-08-14
  • 本文字数:1310 字

    阅读完需:约 4 分钟

Sonatype 在七月份发布了第三份年度软件供应链状态报告。报告指出,当组织主动管理软件应用中开源组件的质量时,能够提升开发人员28% 的生产力(通过减少人工治理的方式),减少30% 的总体开发成本以及提升48% 的应用质量(应用程序漏洞被尽早移除,从而减少了在产品中的发生率)。分析还显示,那些采用自动化治理工具的团队所开发的应用程序将缺陷组件的占比降低了63%。

Derek Weeks 是 Sonatype 的 VP 和 DevOps 倡导者。他告诉 InfoQ:

数据来自许多不同的源头。历史经验数据从 Maven Central (Java)评估得来。同时,Sonatype 已经分别为 NPMJS.org (Javascript)、 NuGet Gallery (.Net)和 PyPi.org (Python)建立了索引库。我们一整年都在研究并持续密切关注市场的新闻动态,包括开源软件组件、质量、实践和规约。

该报告还强调了软件开发中开源组件的消费增长。Java 组件的年度下载量同比增长了 68%(2016 年为 520 亿),JavaScript 下载量增长了 262%(2016 年为 590 亿),而对 Docker 组件的需求预计在未来 12 个月将增长 100%(即 120 亿次下载)。

Weeks 说道:

创新为王,速度至关重要,开源则是核心。 由于速度至关重要,不论是开发人员、CIO 还是 CEO 都会说,如果需要花费 15 分钟的事情可以用 1 秒钟解决的话,有什么理由不选择后者呢? 这解释了为什么人们选择从互联网下载,而非从头开始构建。

报告指出,使用开源组件的组织面临的挑战之一是开源软件(OSS)项目平均需要 233 天时间才能修复已知的漏洞。其中只有 15.8%的 OSS 项目能够主动修复漏洞。

Weeks 说道:

大多数开源项目或许并不知道有这些漏洞。也许安全研究人员无法有效地将其发现与项目联系起来。又或许没有足够的人来了解项目本身的安全编码实践,以便评估和修复漏洞。这仅仅是个人推测。

Sonatype 声称,高功能(high-functioning)的 DevOps 组织正在利用机器自动化来控制流经其软件供应链的开源组件的质量,从而提高软件健康度。

Weeks 说道:

人们需要对软件开发中采用的开源组件了解得一清二楚。意识改变行为。现在就为你的软件列出所需组件的清单吧。一旦有了这份清单,您就可以进行更好的评估。我们比以往更需要这种意识。如果想了解所采用的组件状态是否良好,那么越早建立清单越好。如果您将这一信息提供给开发者的话,他们就可以在编码周期早期做出选择并执行安全编码实践。

我们问 Weeks 是否存在安全技术人才短缺的问题。他说道:

既对也不对。IT 行业的每一个新动向总伴有技术人才的短缺。但 IT 行业不断发展的方式是通过寻找工具和解决方案来进行自动化。当我们说应用程序缺少安全方面的技术人才的时候,无异于说我们通过手工的方式来评估应用程序的安全性。如果将分析或安全这部分工作进行自动化,那会怎样呢?我们会因此在组织中更富有成效地工作。技术和自动化可以解决技能短缺的问题。我们通过创新来寻找出路。

查看英文原文 Active Management of Open Source Components Delivers Measurable Improvements Claims Sonatype Report


感谢薛命灯对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017-08-14 19:00787

评论

发布
暂无评论
发现更多内容

写给 Java 程序员的前端 Promise 教程

江南一点雨

Java spring 前端 springboot Promise

云原生系列五:Kafka 集群数据迁移基于Kubernetes的内部

叶秋学长

kafka 开源 Kubernetes 8月月更

手把手教你设计一个全局异常处理器

了不起的程序猿

java程序员 异常处理 java 编程 spring-boot

什么是低代码开发?大家都真的看好低代码开发吗?

优秀

低代码开发

Arco Vue + Flask 手把手实战开发一测试需求平台

MegaQi

测试平台开发教程 签约计划第三季 8月月更

从零开始,如何拥有自己的博客网站【华为云至简致远】

IT资讯搬运工

linux 文件权限控制

转转商品系统高并发实战(数据篇)

转转技术团队

分布式 高并发

看到这个应用上下线方式,不禁感叹:优雅,太优雅了!

华为云开发者联盟

云计算 开发 CCE

Docker到底是什么,能干什么?这一篇文章全部给你解释清楚了

Java永远的神

Java Docker 程序员 面试 云原生

国产堡垒机品牌哪家好?功能有哪些?咨询电话多少?

行云管家

运维 堡垒机 运维审计 国产堡垒机 堡垒机品牌

华为云弹性云服务器ECS使用【华为云至简致远】

IT资讯搬运工

弹性云服务器ECS

leetcode 155. Min Stack最小栈(中等)

okokabcd

LeetCode 数据结构与算法 栈和队列

跟我一起了解云耀云服务器HECS【华为云至简致远】

IT资讯搬运工

云服务器

面试官:Redis 大 key 要如何处理?

Java永远的神

Java 数据库 redis 程序员 面试

再迎巅峰!阿里爆款分布式小册开源5天Github已73K

冉然学Java

架构 分布式 微服务 java; 编程、

直播卖货APP——为何能得到商家和用户的喜欢?

开源直播系统源码

软件开发 语聊房 直播系统 直播源码

STM32的内存管理相关(内存架构,内存管理,map文件分析)

矜辰所致

内存 stm32 Flash 8月月更

开源一夏 | 使用 JavaScript 和 CSS 做一个图片转 PDF 的转换器

海拥(haiyong.site)

JavaScript 开源 前端 8月月更

游戏开发常遇到数据一致性BUG,怎么解?

华为云开发者联盟

数据库 后端 游戏开发

【Redis】redis安装与客户端redis-cli的使用(批量操作)

石臻臻的杂货铺

redis' 8月月更

客户案例 | 提高银行信用卡客户贡献率

易观分析

金融 银行 分析 客户

C++面向对象友元,全局函数、类、成员函数做友元

CtrlX

8月月更

设计一个跨平台的即时通讯系统(采用华为云ECS服务器作为服务端 )【华为云至简致远】

IT资讯搬运工

云服务器ECS

RT-Thread记录(三、RT-Thread 线程操作函数及线程管理与FreeRTOS的比较)

矜辰所致

RTT RT-Thread 8月月更 线程操作

【Redis】位图以及位图的使用场景(统计在线人数和用户在线状态)

石臻臻的杂货铺

redis' 8月月更

电商秒杀系统架构设计

泋清

#架构训练营

开源一夏 | 自己画一块ESP32-C3 的开发板(PCB到手)

矜辰所致

开源 硬件设计 8月月更 ESP32-C3

海外邮件发送指南(一)

极光JIGUANG

消息推送 邮件 SendCloud

一名合格的程序员是如何优雅地解决线上问题的?

程序员小毕

Java 程序员 架构 程序人生 后端

SpringMVC(一、快速入门)

开源 springmvc 8月月更

IT故障快速解决就用行云管家!快速安全!

行云管家

运维 IT运维 行云管家

Sonatype报告称对开源组件的主动管理能够带来可衡量的改进_开源_Helen Beal_InfoQ精选文章