Uit een nieuw rapport van VMware blijkt dat open source software (OSS) een essentieel onderdeel is van de software supply chain van organisaties van elke omvang. Maar er zijn nieuwe zorgen over de security van de OSS supply chain, wat vraagt om een betere aanpak van packaging security.
‘The State of the Software Supply Chain: Open Source Edition 2022’ laat zien dat OSS voldoet aan de verwachtingen van stakeholders wat betreft kostenefficiëntie (76%), toegenomen flexibiliteit (60%) en productiviteit van developers (52%).
Desondanks zorgen bezorgdheid en risico’s ervoor dat het aantal organisaties dat dit jaar bereid is OSS in productieomgevingen te implementeren, is teruggebracht van 95% naar 90%. Twee van de top drie OSS-zorgen hebben betrekking op security, met name de mogelijkheid om kwetsbaarheden te identificeren en aan te pakken.
- Afhankelijkheid van de community om bugs te patchen en kwetsbaarheden op te lossen staat bovenaan de lijst met 61%, vergeleken met 56% vorig jaar.
- Hierna volgt verhoogde beveiligingsrisico’s (53% versus 47% vorig jaar) en gebrek aan SLA’s voor patches van de community (50% versus 42%).
OSS packaging (het proces van het aanpassen van OSS zodat het intern bruikbaar is) is essentieel om de veiligheid van de OSS supply chain te waarborgen. Het is echter een belangrijke bron van complexiteit en zorg geworden. Volgens het rapport zijn er bij de meeste organisaties te veel tools, te veel handmatige taken en te veel teams betrokken bij OSS packaging, waardoor ze hun software supply chain niet efficiënt beveiligen.
Gevraagd naar mogelijkheden voor software packaging die de beveiliging zouden verbeteren, zeiden de respondenten:
- 60% wil onmiddellijk toegang tot vertrouwde beveiligingspatches voor applicaties of runtimes, afhankelijkheden en besturingssysteemcomponenten.
- 55% wil gecentraliseerde zichtbaarheid van alle scans om beveiligingsaudits te vereenvoudigen.
- 51% wil CVE- en virusscanning voor elke container automatiseren.
Om dit in het komende jaar te verbeteren, moeten organisaties het packaging proces vereenvoudigen om het efficiënter te maken. En ze moeten overwegen om de verantwoordelijkheid voor packaging bij één team neer te leggen, taken te automatiseren en packaging tools te consolideren.
Download hier het volledige rapport.