Overslaan en naar de inhoud gaan

Open source smokkelt gemiddeld per applicatie 24 bugs binnen

De Central Repository bevat inmiddels 217.000 componenten, waarvan opgeteld 830.000 versies aanwezig zijn. Daar werd in 2014 door meer dan 100.000 organisaties gebruik van gemaakt. Bij elkaar downloadden deze organisaties vorig jaar 17,2 miljard maal een component, meldt IT World.
Carriere
Shutterstock
Shutterstock

6 procent van de gedownloade componenten bevatte een bekend lek, stelde Sonatype vast. Dat betekent dat ruim een miljoen lekke componenten zijn gedownload. Dat is een forse toename ten opzichte van 2012. Toen schatte Sonatype het aantal downloads van lekke componenten op 680.000.

Sonatype heeft ook een poging gedaan om te inventariseren wat dat betekent. Daartoe onderzocht het 1500 applicaties; die bleken gemiddeld 24 lekken meegekregen te hebben door lekken in gedownloade component(en). Ook softwareleveranciers en financiële instellingen gaan in de fout, overigens. Bij een aparte analyse van grotere softwareleveranciers en financiële instellingen bleken deze gemiddeld in 7,5 procent van de gevallen een lekke component te downloaden.

Probleem niet altijd inzichtelijk

Waarom organisaties componenten downloaden waarvan bekend is dat er een lek in schuilt, is niet duidelijk. Veelal kiezen ontwikkelaars voor een component die ze al kennen en waarvan ze weten dat die past binnen 'hun' infrastructuur, is de veronderstelling Het probleem is ook niet in alle gevallen inzichtelijk. Nogal wat software die in de bibliotheek wordt gezet, gebruikt componenten van derden die zelf al lek kunnen zijn of raken. De ontwikkelaars die de betreffende module in de bibliotheek zetten, zijn daar ook niet altijd alert op. Dergelijke geïmporteerde lekken worden slechts in 41 procent van de gevallen gedicht, en het duurt gemiddeld 390 dagen - dus meer dan een jaar - voordat die reparatie is aangebracht.

Sonatype heeft zelf geen verantwoordelijkheid voor de slordigheid waarmee afnemers en sommige contribuanten omgaan met de kwaliteit van de code. Die taak valt toe aan de opensourcegemeenschappen zelf. Maar Sonatype vindt wel dat het zo niet langer kan. Het dringt er bij alle betrokkenen op aan het versiebeheer te verbeteren en ook beter in kaart te brengen uit welke componenten applicaties samengesteld zijn. Dat is geen onontgonnen terrein waarop pionierswerk verricht moet worden, merkt Sonatype op. In andere sectoren is het gebruik van stuklijsten en registratie van de leveringsketen heel gebruikelijk. De daarvoor beschikbare oplossingen zouden heel eenvoudig overgezet moeten kunnen worden naar de softwaresector.

Gerelateerde artikelen
Gerelateerde artikelen

Reacties

Om een reactie achter te laten is een account vereist.

Inloggen Word abonnee

Bevestig jouw e-mailadres

We hebben de bevestigingsmail naar %email% gestuurd.

Geen bevestigingsmail ontvangen? Controleer je spam folder. Niet in de spam, klik dan hier om een account aan te maken.

Er is iets mis gegaan

Helaas konden we op dit moment geen account voor je aanmaken. Probeer het later nog eens.

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in

Maak een gratis account aan en geniet van alle voordelen:

Heb je al een account? Log in