Im Folgenden finden Sie unseren 8. jährlichen „State of the Software Supply Chain Report“. Darin analysieren wir, wie Software entwickelt wird, wie sehr die Branche auf Open-Source-Software angewiesen ist und welche Vor- und Nachteile diese Abhängigkeit mit sich bringt. Mit dieser eingehenden Untersuchung hoffen wir, nicht nur ein Verständnis für den modernen Software Development Lifecycle zu vermitteln, sondern auch Empfehlungen für Änderungen zu geben, um Software Supply Chains sicherer und das Leben der Entwickler einfacher zu machen.

Wie bereits in den vergangenen Jahren, gab es auch in diesem Jahr einen enormen Anstieg der Nachfrage nach Open Source sowie nach effektivem Management. Wir sind an einem Wendepunkt angelangt: Entwicklungsteams müssen gegen Angriffe auf die Software Supply Chain vorgehen und bessere Open-Source-Projekte auswählen. Wir befassen uns auch mit den aktuellen Best Practices der Softwareentwicklung, der Selbstwahrnehmung der Entwickler im Vergleich zu deren Leistung und den weit reichenden Vorteilen einer verbesserten Arbeitsmoral.

Die wahrscheinlich schwerwiegendste Entwicklung in diesem Jahr ist die sich abzeichnende Kollision zweier kritischer Themen in unserer Branche: der anhaltenden Zunahme von Open-Source-Sicherheitsproblemen und der dramatischen legislativen Reaktion seitens der staatlichen Behörden auf der ganzen Welt.

Gesetzliche Regelungen für die Software Supply Chain

Am 1. Januar 1968 trat Title 49 des United States Code Motor Safety Standard in Kraft. Dieses Gesetz schreibt vor, dass alle Fahrzeuge, ausgenommen Busse, mit Sicherheitsgurten für alle vorgesehenen Sitze im Fahrzeug ausgestattet sein mussten. Bundesstaatliche Gesetze zu Sicherheitsgurten folgten schon bald.

Heute würden die meisten von uns nicht einmal darüber nachdenken, sich nicht anzuschnallen – selbst, wenn man nur kurz um die Ecke fährt. Die Idee der präventiven Sicherheit wurde uns schon lange eingetrichtert, doch es hat einige Zeit gedauert, bis wir erkannt haben, wie notwendig sie ist. Mittlerweile ist das gang und gäbe.

In allen Lebensbereichen der Industrieländer gelten flächendeckend Vorschriften, die darauf abzielen, Risiken in einer zunehmend technisierten Welt zu beseitigen. Geschwindigkeitsbegrenzungen, Aktienhandelsvorschriften, strenge Flugstundenkontrollen in der Luftfahrt usw. Wir halten uns im Allgemeinen an solche Sicherheitsmaßnahmen, da sie größtenteils zur Gewohnheit geworden sind, und wir akzeptieren die Vorstellung, dass sie gut für uns sind.

Es ist erstaunlich, dass
0
die Anzahl an Angriffen auf die Software Supply Chain so sehr in den letzten 3 Jahren im Durchschnitt zugenommen hat.
Die wichtigste Erkenntniss ist,
Über
6 dass 7
Schwachstellen aller Projekte durch transitive Abhängigkeiten entstehen.
Die wichtigste Erkenntniss ist,
„Ein ausgereifteres Software-Supply-Chain-Management bedeutet mehr Arbeitszufriedenheit.“
Die wichtigste Erkenntniss ist,
1,2 Milliarden gefährdeter Abhängigkeiten
werden jeden Monat heruntergeladen.
Die wichtigste Erkenntniss ist,
0
aller bekanntermaßen anfälligen Open-Source-Downloads sind vermeidbar
Die wichtigste Erkenntniss ist,

Was würde es denn bedeuten, sich in der Software-Entwicklung "anzuschnallen"?

Wir befinden uns im zweiten Jahr der Presidential Executive Order, die in den Vereinigten Staaten verordnet wurde, um Cybersecurity-Risiken innerhalb der Software Supply Chain zu reduzieren. Andere Länder sind diesem Beispiel gefolgt. Im weiteren Verlauf des Berichts gehen wir darauf ein, dass es im Jahr 2022 weltweit mehrere neue Entwicklungen gibt, die durch die ursprüngliche Executive Order ausgelöst wurden. Japan hat beispielsweise den Open Source Security Summit im August 2022 veranstaltet, und die Europäische Union hat im September 2022 den Cyber Resilience Act auf den Weg gebracht.

Obwohl diese Entwicklungen darauf abzielen, Risiken zu reduzieren und Software Supply Chains zu schützen, werden sie noch nicht unbedingt durchgesetzt. Daher unterscheiden sich Unternehmen und Entwicklungsmethoden erheblich, ebenso wie die Ergebnisse.

In der Tat führt eine Best-Practice-Strategie gegenüber einem eher zufälligen Ansatz zu dramatischen Unterschieden in Bezug auf den Schutz von Software Supply Chains. Diese Ausgabe des "State of the Software Supply Chain Report" spiegelt die Symbiose zwischen guten Verfahren und guten Ergebnissen wider – sowie dem Gegenteil, also schlechten Methoden und schlechten Ergebnissen. Die Inspiration für den Bericht besteht nach wie vor darin, auf Entwicklerebene die Verfahren für die Software Supply Chain zu fördern, die unsere Arbeitsweise verbessern und zu positiven Ergebnissen und erfüllenden Arbeitserfahrungen führen.

Wir verwenden weiterhin öffentliche und proprietäre Datenquellen, um eine Vielzahl von Problemen in Hinblick auf das effektive Supply-Chain-Management zu illustrieren. Wir schauen uns die folgenden Aspekte an:

  • Fortlaufendes Wachstum der Software Supply Chain sowie dauerhafte Sicherheitsprobleme
  • Erkenntnisse zur Auswahl der besten Abhängigkeiten für Ihre Projekte
  • Entwicklerverhalten und Empfehlungen
  • Ein Blick auf intelligentes Supply-Chain-Management und der Vergleich von Wahrnehmung und Realität in Bezug auf die Maturität
  • Aktueller und anstehender Regulierungsstatus auf internationaler Ebene

Dieser Bericht befasst sich mit datenbasierten Methoden im Open-Source-Ökosystem und den Auswirkungen auf die Software Supply Chain. Viel Spaß beim Lesen, und schnallen Sie sich an!

Vorwort

Die Optimierung der Sicherheit in der Software Supply Chain ist ein wichtiges Thema für die Open-Source-Community. Die jüngsten Angriffe – von Log4j bis hin zu Krypto-Diebstählen im Zusammenhang mit Open-Source-Repositories – haben sich als äußerst kostspielig erwiesen, nicht nur in finanzieller Hinsicht, sondern auch im Hinblick auf den Vertrauensverlust. Bei der Linux Foundation (LF) haben wir Interessengruppen im gesamten Open-Source-Ökosystem einbezogen, um vertrauenswürdigere Software Supply Chains zu schaffen. Wir sind uns bewusst, dass wir nur durch koordinierte Anstrengungen zur Implementierung von Best Practices im Sicherheitsbereich die notwendigen Grundlagen für sicherere Software schaffen können. Und innerhalb dieser Landschaft ist Sonatype ein zuverlässiger und vertrauenswürdiger Partner.

Zu den wichtigen Sicherheitsinitiativen der LF gehören die Gründung der Open Source Security Foundation, die Ausrichtung der jüngsten Open Source Security Summits in Nordamerika, Europa und Japan, die Erstellung kostenloser Sicherheitsschulungen, wie z. B. zur Verwendung von Sigstore- und SLSA-Levels zum Schutz der Software Supply Chains, sowie die Einbindung von Führungskräften der Behörden und Unternehmen. In Hinblick auf weitere Forschung, hervorgehoben durch die Gründung von LF Research im Jahr 2021, engagieren wir uns aktiv bei der Unterstützung koordinierter Sicherheitsinitiativen im Open-Source-Bereich durch die Generierung vertrauenswürdiger Daten.

Die aktuelle Forschung zu Open Source – einschließlich der Messung von Angebot und Nachfrage, der Ermittlung von Trends bei den Beiträgen und der Untersuchung sicherheitsrelevanter Herausforderungen und Voraussetzungen – ist eine gefragte Ressource für die Entwicklung von Open-Source-Strategien und für die Umsetzung von Best Practices. Unternehmen wie Sonatype sind führend in der dringend benötigten empirischen Forschung, mit deren Hilfe kritische Fragen zu Open-Source-Trends auf breiter Ebene beantwortet werden können, wobei der Schwerpunkt zunehmend auf der Sicherheit liegt. Jüngste Forschungsarbeiten der LF ermitteln die am häufigsten genutzten Software-Anwendungen (in Zusammenarbeit mit dem Laboratory of Innovation Science in Harvard), untersuchen die Bereitschaft für Software-Stücklisten (Software Bill of Materials, SBOM), ermitteln Lücken in den Software-Entwicklungsverfahren innerhalb der Unternehmen und decken die Herausforderungen auf, denen die Maintainer- und Committer-Community gegenübersteht. Uns ist klar, dass wir im Prozess der Forschung nicht alleine arbeiten können. Es braucht eine Community, um datenbasierte Erkenntnisse zu gewinnen – die Entwicklungsteams veranlasst, solide und sicherere Methoden anzuwenden.

Die jährlichen Forschungsberichte von Sonatype sind ein wesentliches Element der Daten- und Erkenntnislandschaft im Open-Source-Bereich. Der diesjährige Bericht ist da keine Ausnahme. Neue Daten zu Abhängigkeitsmanagement, zur Übernahme von Standards, zur Geschwindigkeit und - ja - zur Effektivität von Sicherheitsmetriken, einschließlich der Open Source Security Foundation Scorecard, werden Entscheidungsträgern eine zunehmend bessere Orientierung geben. Der 8. jährliche "State of the Software Supply Chain Report" von Sonatype ist eine wichtige Ressource, die die Grundlage effektiver Maßnahmen im gesamten Ökosystem bildet und es allen Facetten der Open-Source-Community ermöglicht, einen Konsens zu wichtigen Themen zu finden. Wir von der Linux Foundation unterstützen diese Arbeit voll und ganz.

Hilary Carter
VP Research
The Linux Foundation