2021State of the Software Application Supply Chain, the 6th Yearly Report on Global Open Source Software Application Advancement est une analyse des modèles de développement basée sur une enquête de plus de 30 000 développeurs de logiciels de 160 pays, produit par Sonatype.
Une conclusion cruciale du rapport est une croissance de 430 % des cyberattaques de nouvelle génération qui ciblent activement les tâches des applications logicielles open source. Les attaques constatées au cours des douze derniers mois sont nouvelles car elles ne se manifestent plus comme des exploitations passives de points faibles reconnus, mais comme des assaillants, implantant activement des logiciels malveillants dans des emplois open source. Cela signifie que la communauté open source mondiale doit faire la distinction entre les exploits de chaîne d’approvisionnement hérités et les attaques de chaîne d’approvisionnement de nouvelle génération.
Sécurité open-source
Au cours des sept dernières années, Sonatype a évalué les modèles et pratiques associés aux composants Java téléchargés à partir du référentiel central, découvrant qu’en 2019, 10,4 % des milliards de téléchargements avaient au moins un vulnérabilité reconnue. Un téléchargement OSS sur dix est vulnérable.
Alors que des préoccupations telles que la guerre en Ukraine sont en fait devenues à l’ordre du jour de nombreux membres de la communauté technologique, la communauté open source a traité la protestation en tant que code sous une forme de plaidoyer social. Le rapport suggère que dans votre région, l’hébergement de toutes les pièces requises par les concepteurs aidera à atténuer toute manifestation potentielle ou action militante.
La sagesse de cette pratique peut être vue dans le lien entre les résultats efficaces pour les artistes les plus performants (voir la liste ci-dessous ) et la pratique consistant à conserver un enregistrement central des applications, de leurs dépendances et des groupes d’avancement associés.
Compte tenu de l’augmentation des violations d’applications, il n’est pas surprenant que les organismes d’exigences et les gouvernements fédéraux commencent à exécuter la marque – de nouvelles normes pour sécuriser les chaînes d’approvisionnement en logiciels : en Amérique, l’Open Chain Spec, version 2.0 est en cours de réalisation avec l’objectif de fournir une norme pour établir la confiance entre les organisations qui échangent des solutions logicielles composées de logiciels open source.
Au Royaume-Uni, le National Cyber Security Center a publié de nouvelles directives et a proposé 8 problèmes pour aider les équipes de développement à examiner leurs composants OSS et à réduire la sécurité. risque de sécurité.
La conclusion ultime du rapport est que l’efficacité ne doit pas nécessairement se faire au détriment d’une sécurité réduite. Le rapport complet peut être téléchargé ici.
Les autres conclusions du rapport sont les suivantes :
Langages populaires : L’utilisation de JavaScript parmi les concepteurs révèle une augmentation considérable, obtenir 5 millions d’utilisateurs de son niveau de 17,5 millions au premier trimestre 2020 à plus de 22 millions au deuxième trimestre 2022.
ANALYTIQUE
Marketing générationnel : idées sur la façon de vendre à divers groupes démographiques
Selon le rapport, Python reste le deuxième langage de spectacles le plus utilisé, avec 15,7 millions d’utilisateurs. Ce n’est pas une surprise, car 70 % des experts en sciences de l’information et en apprentissage automatique utilisent Python pour leur travail. Les langages à la croissance la plus rapide sont Rust et Kotlin, leur utilisation triplant et doublant respectivement entre le premier trimestre 2020 et le premier trimestre 2022. Pendant ce temps, les piliers comme C, C et PHP ont en fait principalement maintenu leurs bases d’utilisateurs.
Développeur types : Le rapport évalue en outre les personnages de concepteurs en ce qui concerne leurs personnages de travail. En résumé,
- 52 % des designers se classent comme équilibrés ou polyvalents
- 8 % des designers sont des types de personnages particulièrement curieux intellectuellement
- 5 % des développeurs sont particulièrement responsables et coopératifs
- 5 % des développeurs sont plutôt motivés par la réussite et stables
- Et 2 % des développeurs se disent timides
Low-code/No-code : L’arrivée d’outils low-code/no-code a eu un impact sur la partie peu complexe du marché des logiciels. Les développeurs plus expérimentés n’ont pas tendance à utiliser ces outils, avec seulement 46 % des experts qui les utilisent, et lorsqu’ils les utilisent, ils représentent moins d’un quart du travail d’avancement des spécialistes.
Mentalités de groupe : L’analyse par cluster d’une enquête sur les pratiques de gestion open source a identifié quatre clusters, étiquetés comme High Entertainers, Low Performers, Security First et Performance. Ces groupes avaient tous des niveaux de performance et des modèles de pratique significativement différents. Presque tous les éléments étaient statistiquement différents dans chaque groupe.
- Éléments très performants : productivité élevée et excellents résultats en matière de gestion des menaces
- Éléments peu performants : performances faibles et résultats médiocres en matière de gestion des risques
- La sécurité d’abord : a eu une faible productivité, mais d’excellents résultats de gestion des dangers
- La productivité d’abord : a enregistré une efficacité élevée, mais des résultats de gestion des menaces médiocres
Essentiellement, Les résultats High Performer ont été atteints grâce à une combinaison de culture, de pratiques d’avancement, d’application de politiques, d’automatisation et de combinaisons utilisées tout au long du cycle de vie du développement. Les groupes de développement d’entreprise à haute efficacité ont montré une détection et une correction des vulnérabilités open source 26 fois plus rapides.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
