Suchen

Sechste Sonatype-Studie zu Software-Lieferketten Verschiedene Development-Teams im Vergleich

| Redakteur: Stephan Augsten

Agil, sicherheitsorientiert oder produktionsnah: Worin unterscheiden sich die Code-Deployment-Strategien von Unternehmen? Entsprechende Performance- und Security-Benchmarks greift Sonatype im aktuellen Software-Lieferketten-Report auf.

Der Sonatype „State of the Software Supply Chain“-Report zeigt bei der Software-Bereitstellung deutliche Unterschiede in Sachen Geschwindigkeit und Sicherheit.
Der Sonatype „State of the Software Supply Chain“-Report zeigt bei der Software-Bereitstellung deutliche Unterschiede in Sachen Geschwindigkeit und Sicherheit.
(Bild: Sonatype)

Für den sechsten „2020 State of the Software Supply Chain Report“ (SSC-Report) hat Sonatype das zweite Jahr in Folge mit den Forschern Gene Kim von IT Revolution und Stephen Magill, CEO von Musedev, zusammengearbeitet. Gemeinsam analysierten sie über 24.000 Open-Source-Projekte und 5.600 Entwicklungsteams in Unternehmen, die ihrerseits 1,5 Billionen Downloads aus Open-Source-Repositories tätigten.

Ein Fokus des Reports liegt auf der Geschwindigkeit bei der Software-Bereitstellung unter Berücksichtigung des Risiko-Managements. Dabei kristallisierten sich im Rahmen einer eingehenden Umfrage vier Arten von Software-Entwicklungsteams mit deutlich unterschiedlichen Leistungsniveaus heraus:

  • High-Performance-Teams: hohe Produktivität, hervorragende Ergebnisse beim Risiko-Management
  • Security-First-Teams: geringe Produktivität, gute Ergebnisse beim Risiko-Management
  • Productivity-First-Teams: hohe Produktivität, schwache Ergebnisse beim Risiko-Management
  • Low-Performer-Teams: geringe Produktivität, schwache Ergebnisse beim Risiko-Management

Interessant ist dabei der Vergleich zwischen High- und Low-Performern. Erstere konnten eine 15-mal höhere Deployment-Frequenz vorweisen und glänzten gleichzeitig durch eine eine 26-mal schnellere Erkennung und Behebung von Sicherheitslücken in OSS-Komponenten. Gleichzeitig benötigten sie nach einem Teamwechsel weniger Zeit, um wieder produktiv zu sein.

Innovation und Risiko-Management schlössen sich also nicht zwangsläufig aus, kommentiert Sonatype-CEO Wayne Jackson den 2020-SSC-Report: „High-Performance-Entwicklungsteams gewinnen an Geschwindigkeit bei gleichzeitiger Reduzierung der Sicherheitsrisiken. Neben diesen positiven Geschäftsergebnissen weisen Entwickler in High Performance-Teams ein höheres Maß an Arbeitszufriedenheit auf.“

Bei der oben erwähnten Analyse der 24.000 Open-Source-Projekte konnten die Forscher in mustergültigen OSS-Projekten folgendes nachweisen:

  • Eine 530-mal schnellere mittlere Zeit zur Aktualisierung (MTTU) von Abhängigkeiten,
  • 1,5-mal häufigere Versions-Veröffentlichungen,
  • eine 2,5-fache Popularität sowie
  • eine 173-mal geringere Wahrscheinlichkeit, dass mindestens eine Abhängigkeit veraltet ist.

(ID:46800498)