Los equipos DevOps cada vez trabajan más con código abierto
- Gestión de apps
Según un nuevo informe, los componentes de código abierto dentro de la cadena de suministro de software están en un gran avance dentro del trabajo de los equipos DevOps. Un aumento que alimenta una innovación más rápida, según el estudio.
Se hizo un análisis exhaustivo de los patrones de descarga, la composición de los componentes de software y los comportamientos de DevOps en relación con los componentes de código abierto y las bibliotecas de terceros para el "Estado de 2019 del Informe de la Cadena de Suministro de Software". La tasa de lanzamientos de componentes de código abierto se ha incrementado en un 75% en los últimos dos años y el hecho de que las solicitudes de descarga de los equipos que utilizan estos componentes haya aumentado un 68% año tras año.
Lo más revelador es que el estudio mostró que entre las aplicaciones modernas de hoy, el 85% de la base de código promedio está compuesta por componentes de código abierto. No solo la mayoría de las aplicaciones utilizan bibliotecas y componentes de código abierto, sino que también dependen en gran medida de ellas.
“La práctica de ensamblar lanzamientos de componentes de código abierto en la forma de una aplicación grita de eficiencia. Los desarrolladores ya no necesitan codificar cada línea desde cero”, según el informe. "Los desarrolladores pueden descargar versiones de componentes en segundos que ofrecen nuevas capacidades, creadas por expertos externos a sus organizaciones que ponen su código a disposición de los demás de forma gratuita".
Quizás no por coincidencia, el estudio observó un aumento paralelo en las infracciones asociadas con el uso de componentes de código abierto. El año pasado, 1 de cada 4 organizaciones sospecharon o verificaron que experimentaron una infracción relacionada con componentes de código abierto en los últimos 12 meses. Eso es una ligera mejora con respecto a las estadísticas del año pasado, que se fijó en 1 de cada 3 organizaciones. Pero desde 2014, esa tasa de brechas ha aumentado un 71%.
El problema es que muchos de los componentes que los desarrolladores descargan e integran en su código están llenos de vulnerabilidades peligrosas. Por ejemplo, poco más de la mitad de todas las descargas de paquetes de JavaScript contienen vulnerabilidades conocidas, y 1 de cada 3 está clasificada como de alta vulnerabilidad. Uno de cada 10 de esos defectos fueron calificados como críticos.
El punto que señala el informe es que no todos los componentes se crean por igual. Existe una cierta clase de proyectos de código abierto bien ejecutados que lanzan actualizaciones con más frecuencia, actualizan vulnerabilidades problemáticas más rápido y corrigen fallas más rápidamente. Depende de los equipos de DevSecOps administrar de manera sistemática los componentes, de modo que aprovechen más de estos proyectos de código abierto de alta calidad y traten de evitar las dependencias de código abierto más riesgosas.
“La gestión de las cadenas de suministro de software no es simplemente garantizar la calidad a la velocidad. Nuestras cadenas de suministro están siendo atacadas por adversarios de maneras nuevas y creativas", según el informe.
Descubre la innovación
Para asegurar el éxito empresarial, ahora y a futuro, es imprescindible maximizar el retorno de la inversión existente en software, a la vez que innovar y adoptar nuevas tecnologías. Los retos que hay abordar para competir en un mundo de TI Híbrida incluyen DevOps, Seguridad, Gestión de riesgos y Análisis predictivo. Puedes obtener más información sobre cómo abordar estos retos e innovar en este enlace.