写点什么

Sonatype 报告称对开源组件的主动管理能够带来可衡量的改进

  • 2017-08-14
  • 本文字数:1310 字

    阅读完需:约 4 分钟

Sonatype 在七月份发布了第三份年度软件供应链状态报告。报告指出,当组织主动管理软件应用中开源组件的质量时,能够提升开发人员28% 的生产力(通过减少人工治理的方式),减少30% 的总体开发成本以及提升48% 的应用质量(应用程序漏洞被尽早移除,从而减少了在产品中的发生率)。分析还显示,那些采用自动化治理工具的团队所开发的应用程序将缺陷组件的占比降低了63%。

Derek Weeks 是 Sonatype 的 VP 和 DevOps 倡导者。他告诉 InfoQ:

数据来自许多不同的源头。历史经验数据从 Maven Central (Java)评估得来。同时,Sonatype 已经分别为 NPMJS.org (Javascript)、 NuGet Gallery (.Net)和 PyPi.org (Python)建立了索引库。我们一整年都在研究并持续密切关注市场的新闻动态,包括开源软件组件、质量、实践和规约。

该报告还强调了软件开发中开源组件的消费增长。Java 组件的年度下载量同比增长了 68%(2016 年为 520 亿),JavaScript 下载量增长了 262%(2016 年为 590 亿),而对 Docker 组件的需求预计在未来 12 个月将增长 100%(即 120 亿次下载)。

Weeks 说道:

创新为王,速度至关重要,开源则是核心。 由于速度至关重要,不论是开发人员、CIO 还是 CEO 都会说,如果需要花费 15 分钟的事情可以用 1 秒钟解决的话,有什么理由不选择后者呢? 这解释了为什么人们选择从互联网下载,而非从头开始构建。

报告指出,使用开源组件的组织面临的挑战之一是开源软件(OSS)项目平均需要 233 天时间才能修复已知的漏洞。其中只有 15.8%的 OSS 项目能够主动修复漏洞。

Weeks 说道:

大多数开源项目或许并不知道有这些漏洞。也许安全研究人员无法有效地将其发现与项目联系起来。又或许没有足够的人来了解项目本身的安全编码实践,以便评估和修复漏洞。这仅仅是个人推测。

Sonatype 声称,高功能(high-functioning)的 DevOps 组织正在利用机器自动化来控制流经其软件供应链的开源组件的质量,从而提高软件健康度。

Weeks 说道:

人们需要对软件开发中采用的开源组件了解得一清二楚。意识改变行为。现在就为你的软件列出所需组件的清单吧。一旦有了这份清单,您就可以进行更好的评估。我们比以往更需要这种意识。如果想了解所采用的组件状态是否良好,那么越早建立清单越好。如果您将这一信息提供给开发者的话,他们就可以在编码周期早期做出选择并执行安全编码实践。

我们问 Weeks 是否存在安全技术人才短缺的问题。他说道:

既对也不对。IT 行业的每一个新动向总伴有技术人才的短缺。但 IT 行业不断发展的方式是通过寻找工具和解决方案来进行自动化。当我们说应用程序缺少安全方面的技术人才的时候,无异于说我们通过手工的方式来评估应用程序的安全性。如果将分析或安全这部分工作进行自动化,那会怎样呢?我们会因此在组织中更富有成效地工作。技术和自动化可以解决技能短缺的问题。我们通过创新来寻找出路。

查看英文原文 Active Management of Open Source Components Delivers Measurable Improvements Claims Sonatype Report


感谢薛命灯对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2017-08-14 19:001148

评论

发布
暂无评论
发现更多内容

缓存之美:万文详解 Caffeine 实现原理(上)

京东科技开发者

YashanDB SYSTIMESTAMP函数

YashanDB

数据库 大数据

Fabarta 个人专属智能体多版本上线:覆盖多领域场景,可结合需求灵活部署

Fabarta

人工智能 智能体

如何通过Python SDK新建一个DashVector Client

DashVector

人工智能 大数据 AI 数据库 大数据

Coze Studio开源,企业用户多了一种选择,也需多几分考量

Fabarta

人工智能 开源

组装式开发范式:当代App高效构建的最优解之争

xuyinyin

缓存之美:从根上理解 ConcurrentHashMap

京东科技开发者

YashanDB SYS_CONNECT_BY_PATH函数

YashanDB

数据库 大数据

YashanDB SYS_CONTEXT函数

YashanDB

数据库 大数据

Mysql的索引数量是否越多越好?为什么?

电子尖叫食人鱼

MySQL 数据库

AI无法拯救病入膏肓的企业 —— 但会让问题暴露无遗

ShineScrum

领导力 敏捷领导力 +AI jishu

重大技术转向:LinkedIn 抛弃自家创造的 Kafka ,又重新造了个 Pulsar 的轮子?

AscentStream

kafka pulsar linkedin

Coze开源了!意味着什么?

禅道项目管理

#开源 #人工智能 AI智能体 Coze开源 #字节跳动

同方智慧能源:OceanBase助力构建安全可靠、高性能的能源数据底座

老纪的技术唠嗑局

能源 OceanBase 社区版 #大数据

Chain-of-Draft:新一代提示技术之王

俞凡

人工智能 提示工程

8篇入选,1项最佳论文提名!快手AI 研究在KDD2025 “全面开花”

快手技术

人工智能 大模型 KDD 顶会论文

基于开发者空间部署OpenGauss完成AI智能索引和参数自调优实践

华为云开发者联盟

opengauss AI+ 华为开发者空间

Figma上市狂飙,下一个中国版Figma在哪里?

职场工具箱

产品设计 设计师 figma 在线协作 ui设计

微服务拆分粒度,拆得太细还是太粗?一线架构师实战指南!

我爱娃哈哈😍

微服务 服务拆分

后量子密码学的未来准备

qife122

加密技术 后量子密码学

如何在代码中验证sql的正确性?

不在线第一只蜗牛

数据库 sql

高斯混合层次模型实现降维与聚类统一

qife122

机器学习 聚类算法

YashanDB SYS_EXTRACT_UTC函数

YashanDB

数据库 大数据

ONES 携手东风集团,共建自主可控整车级 ALM 研发管理平台​

万事ONES

ALM 项目研发管理软件 ONES研发管理 东风汽车集团

本地缓存 Caffeine 中的时间轮(TimeWheel)是什么?

京东科技开发者

YashanDB SYS_GUID函数

YashanDB

数据库 大数据

海外舆情监测数据怎么转化为选题、内容与广告创意?

沃观Wovision

海外舆情监控 沃观Wovision 舆情监测系统

用户行为分析入门:行为事件分析指标解读

ClkLog

开源 埋点 sdk 用户行为分析 用户画像

跨平台分词利器:基于开发者空间进行仓颉版Tokenizer的Qwen模型适配

华为云开发者联盟

AI+ CodeArts 仓颉 Qwen2.5

3节点集群带宽突破513GB/s,焱融存储再度登顶MLPerf Storage全球榜单

焱融科技

人工智能 全闪存储 AI存储 MLPerf 焱融存储

合合信息AI 鉴伪检测技术,揪出 “难察觉” 的虚假源头

袁袁袁袁满

人工智能、

Sonatype报告称对开源组件的主动管理能够带来可衡量的改进_开源_Helen Beal_InfoQ精选文章