信息化觀察網(wǎng)

好東西并不是越多越好哦——根據(jù)2019年版的《軟件供應(yīng)鏈狀況報告》，開源軟件的繁榮可能導(dǎo)致更多的漏洞、技術(shù)債務(wù)和成本。

這份報告是來自Sonatype的第五版，與之前的版本一樣，樣本量巨大：36000個開源項目團隊、370萬個開源版本、12000個工程團隊和超過6200人參加的兩個調(diào)查。

研究人員發(fā)現(xiàn)，在過去兩年中，開源組件的發(fā)布量增長了75％，而自2014年以來，確認或可疑的開源相關(guān)漏洞增加了71％。

“我們長期以來一直建議企業(yè)依賴最少的有良好記錄的開源組件供應(yīng)商，以開發(fā)質(zhì)量最高、風險最低的軟件。”Sonatype首席執(zhí)行官Wayne Jackson說。該報告建議公司通過更好地選擇供應(yīng)商、組件和使用自動化來“馴服軟件供應(yīng)鏈”，從而將易受攻擊的組件減少55％。

最佳實踐

除了沒有過多地使用組件之外，研究人員還發(fā)現(xiàn)了成功團隊的一些共同特征——這些團隊往往規(guī)模更大，發(fā)布軟件的速度提高了兩倍w，并且修補了比其他團隊多六倍的下載項目。

“優(yōu)秀的開發(fā)團隊認為過時的庫會導(dǎo)致代碼質(zhì)量問題。”OWASP Dependency Check項目的創(chuàng)始人Jeremy Long對調(diào)查結(jié)果表示贊同，“他們花時間來升級依賴關(guān)系。”

該報告發(fā)現(xiàn)，這些開源超級巨星計劃將依賴關(guān)系更新作為日常工作的可能性提高了10倍。在處理漏洞方面，MTT時間比不太成功的團隊快3.4倍，而且當新的漏洞出現(xiàn)時，已經(jīng)存在保護的可能性比“落后團隊”高27％。報告發(fā)現(xiàn)，在“更新”方面，更新時間中位數(shù)（MTTU）和陳舊依賴關(guān)系是墊底的20％的團隊最存在差距的地方。

對于希望提升的項目，該報告建議將開發(fā)工作投入到新功能和bug修復(fù)上，同時將相似的資源交給依賴關(guān)系管理。“這意味著維護開源軟件項目的開發(fā)人員正在考慮添加新的依賴關(guān)系并尋找指標以指導(dǎo)關(guān)注那些具有快速MTTU的依賴關(guān)系。”

另一個有趣的發(fā)現(xiàn)是，開源基金會催生成功團隊的可能性是傳統(tǒng)公司的四倍。

原文鏈接：

https://superuser.openstack.org/articles/when-less-open-source-is-more-report-finds-that-fewer-components-work-best/