好东西并不是越多越好哦——根据2019年版的《软件供应链状况报告》,开源软件的繁荣可能导致更多的漏洞、技术债务和成本。
这份报告是来自Sonatype的第五版,与之前的版本一样,样本量巨大:36000个开源项目团队、370万个开源版本、12000个工程团队和超过6200人参加的两个调查。
研究人员发现,在过去两年中,开源组件的发布量增长了75%,而自2014年以来,确认或可疑的开源相关漏洞增加了71%。
“我们长期以来一直建议企业依赖最少的有良好记录的开源组件供应商,以开发质量最高、风险最低的软件。”Sonatype首席执行官Wayne Jackson说。该报告建议公司通过更好地选择供应商、组件和使用自动化来“驯服软件供应链”,从而将易受攻击的组件减少55%。
最佳实践
除了没有过多地使用组件之外,研究人员还发现了成功团队的一些共同特征——这些团队往往规模更大,发布软件的速度提高了两倍w,并且修补了比其他团队多六倍的下载项目。
“优秀的开发团队认为过时的库会导致代码质量问题。”OWASP Dependency Check项目的创始人Jeremy Long对调查结果表示赞同,“他们花时间来升级依赖关系。”
该报告发现,这些开源超级巨星计划将依赖关系更新作为日常工作的可能性提高了10倍。在处理漏洞方面,MTT时间比不太成功的团队快3.4倍,而且当新的漏洞出现时,已经存在保护的可能性比“落后团队”高27%。报告发现,在“更新”方面,更新时间中位数(MTTU)和陈旧依赖关系是垫底的20%的团队最存在差距的地方。
对于希望提升的项目,该报告建议将开发工作投入到新功能和bug修复上,同时将相似的资源交给依赖关系管理。“这意味着维护开源软件项目的开发人员正在考虑添加新的依赖关系并寻找指标以指导关注那些具有快速MTTU的依赖关系。”
另一个有趣的发现是,开源基金会催生成功团队的可能性是传统公司的四倍。
原文链接:
https://superuser.openstack.org/articles/when-less-open-source-is-more-report-finds-that-fewer-components-work-best/
