SSC_2020_Cover

 

État de la chaîne logistique logicielle en 2020

Lisez notre 6ème rapport annuel sur le développement de logiciels open source et découvrez pourquoi améliorer la productivité ne doit pas obligatoirement se faire au détriment de la sécurité.

SSC_2020_Cover

 

État de la chaîne logistique logicielle en 2020

Lisez notre 6ème rapport annuel sur le développement de logiciels open source et découvrez pourquoi améliorer la productivité ne doit pas obligatoirement se faire au détriment de la sécurité.

Le rapport 2020 sur l'état de la chaîne logistique logicielle rassemble un vaste assortiment de données publiques et propriétaires ainsi que les résultats d'une enquête menée auprès de plus de 5 600 développeurs qualifiés. Voici un extrait des principales conclusions :

  • Les cyberattaques de nouvelle génération ciblant activement les projets OSS ont augmenté de 430 % (Chapitre 1)
  • Les demandes de téléchargement de composants OSS devraient s'élever à 1 500 milliards (Chapitre 2)
  • Le délai moyen de mise à jour des dépendances a été 530 fois plus rapide pour les projets open source de référence (Chapitre 3)
  • La correction des vulnérabilités par les bonnes équipes a été 26 fois plus rapide (Chapitre 4)
  • 11 % des composants OSS utilisés dans des applications présentent des vulnérabilités connues (Chapitre 5)

Pour la deuxième année consécutive, nous nous sommes associés aux chercheurs Gene Kim de IT Revolution et Stephen Magill, PDG de MuseDev, pour examiner comment de brillantes équipes de développement logiciel d'entreprise parviennent à trouver l'équilibre entre performances et risques malgré l'utilisation de composants open source.

Obtenez un exemplaire !

SON_Headshot_Gene_Kim@2x

« Nous avons eu le privilège de participer à cet exercice de recherche visant à mieux comprendre la santé et les habitudes de l'écosystème de composants open source. Nous avons pu étudier tous les artéfacts Java stockés dans le Central Repository, que certains parmi nous connaissent sous le nom de "Maven Central", s'est exprimé Gene Kim, auteur, chercheur et fondateur du projet IT Revolution. Nous avons eu la chance de découvrir comment s'y prennent les acteurs de référence pour optimiser leurs résultats (qualité, sécurité, popularité), mais aussi les facteurs qui s'y rapportent, comme la taille des équipes, la fréquence de publication, le nombre de dépendances, la stratégie pour les mettre à jour, etc. »


 

Améliorer les résultats à l'aide du DevSecOps et de l'automatisation.

SSC_Page_Chart1

L'automatisation accélère la demande en open source.

En 2018, le nombre de demandes de téléchargement de composants Java a progressé de 68 % en un an, s'élevant ainsi à 146 milliards. Les téléchargements de paquets npm ont atteint 10 milliards par semaine, soit une augmentation de 185 % d'une année sur l'autre.

Nombre de jours en moyenne

Les meilleures équipes de projet open source apparaissent en bleu.

Les équipes de projets OSS de référence se caractérisent par : une correction des vulnérabilités 3,4 fois plus rapide, une popularité 6 fois plus grande, des effectifs 33 % plus importants et une probabilité 9,3 fois plus importante de disposer d'un processus pour supprimer les dépendances problématiques en amont.

Diminution de 55 %

L'automatisation DevSecOps réduit les risques d'OSS.

Les entreprises ayant automatisé l'open source governance au sein de leur pratique de gestion de la chaîne logistique logicielle ont diminué par 55 % le pourcentage de composants vulnérables présents dans les applications finales.