9° Report di Sonatype sul mondo Open Source e sulla sicurezza della catena di fornitura del software.

L'appuntamento con il Report annuale di Sonatype sullo stato della catena di fornitura del software è ormai irrinunciabile da 9 anni.

Come ogni anno Sonatype ci regala una fotografia sempre più accurata e ricca di dettagli anche normativi su un argomento sempre più complesso e articolato.

Quando esploriamo come realizzare un software "migliore", non si tratta solo dell'introduzione dell'intelligenza artificiale o di tecnologie all'avanguardia. Si tratta di affrontare questioni fondamentali che, per molti versi, non sono cambiate in nove anni. Si tratta di un elemento spesso trascurato, ma vitale, che si trova all'interno della nostra catena di fornitura del software: il comportamento di consumo dell'open source.

OSS project

Passiamo al setaccio il labirintico mercato dei componenti software non per aumentare la cacofonia delle scelte, ma per razionalizzarla. Perché? Perché la scelta è un'arma a doppio taglio. Le conseguenze di una scelta sbagliata sono di vasta portata.

Considerate che l'anno scorso è stato rivelato che un impressionante 85% dei progetti in Maven Central, il più grande repository pubblico per i componenti open source di Java, sono inattivi. In altre parole, gli sviluppatori si trovano di fronte a un'ampia gamma di scelte, di cui solo una minima parte porta a progetti attivi e ben mantenuti. Tuttavia, abbiamo anche riscontrato, e riconfermato quest'anno, che il 96% di tutti i download di componenti vulnerabili da Maven Central, avevano correzioni note disponibili. Le scelte da fare sono tante e solo con gli strumenti giusti e la giusta automazione gli sviluppatori possono davvero avere successo.

Maven Projects

Mentre analizziamo le complessità dell'adozione e del consumo dell'open source, ci rendiamo conto di una verità frustrante: le pratiche di sviluppo rimangono piene di incoerenze. Quando le scelte sono sbagliate, questa incoerenza si traduce in un aumento dei rischi, nel malcontento degli sviluppatori e, cosa forse più significativa, in una perdita di tempo e denaro.

ESPLORA IL REPORT COMPLETO

9 SSC report preview

Perché dovresti approfondire il tema della catena di fornitura del Software - SSC - Software Supply Chain 

  • Per scoprire che la cybersecurity non ha una sola chiave di lettura,
  • Perché conoscere la Software Bills of Materials è un passo fondamentale per mitigare il rischio derivante dall'utilizzo di componenti OSS,
  • Per scoprire che in altri paesi (vedi USA) la SBOM è tassello strategico per la cybersecurity nazionale (vedi https://media.defense.gov/2023/Dec/14/2003359097/-1/-1/0/CSI-SCRM-SBOM-MANAGEMENT.PDF) ,
  • Perchè sul tema Cybersecurity l'aggiornamento continuo è mandatorio.

 

Contattaci (sales@profesia.it) per conoscere la SBOM delle tue applicazioni, grazie a Sonatype

 
 

 

 

Tags

Ti potrebbero interessare

        {
            "slidesPerView": 4,
            "spaceBetween": 30,
            "centeredSlides": true,
            "grabCursor": true,
            "loop":true,
            "pagination": {
                "el": ".swiper-pagination",
                "clickable": true
            },
            "navigation": {
                "nextEl": ".swiper-button-next",
                "prevEl": ".swiper-button-prev"
            }
        }

Pronti a partire? Inizia TIC TAC TECH 2024

Profesia inaugura la stagione dei talk sulle tecnologie più interessanti del panorama IT internazionale

WSO2 Oxygenate Italy 2023

Il Business Digitale passa attraverso le API