Open-Source-Code erfreut sich immer größerer Beliebtheit und ist zu einem wesentlichen Baustein für moderne Software geworden (da es die Geschwindigkeit und Effizienz von Software-Builds erheblich steigern kann). Die Zugänglichkeit und Bequemlichkeit von bewährtem Code bedeutet, dass Softwareentwickler keine Zeit und begrenzte Ressourcen damit verschwenden müssen, das Rad neu zu erfinden.
Jedoch, Laut einer von meinem Unternehmen durchgeführten Studie, Open-Source-Code ist nicht ohne Risiko. Tatsächlich stellte der Bericht höhere Open-Source-Sicherheitsrisiken fest als je zuvor. Bedenken Sie Folgendes: Die meisten Unternehmen wissen es nicht was in ihrem eigenen Code steht.
Für Gründer kann das ein ziemliches Dilemma darstellen. Inmitten eines wirtschaftlichen Abschwungs und der daraus resultierenden Entlassungen sind Software-Startups schlanker als je zuvor. Diejenigen, die bisher über ausreichend Geld verfügten, stehen nun mit dem Rücken zur Wand. Vor diesem Hintergrund kann man Start-ups nichts vorwerfen, wenn sie das schnelle Tempo ihrer Softwareentwicklung durch den Einsatz von Open-Source-Code unterstützen – ein effizienter und effektiver, aber grundsätzlich riskanter Ansatz, wenn er ohne angemessenes Management durchgeführt wird.
Der Bericht stellte fest, dass hochriskante Open-Source-Schwachstellen in den letzten fünf Jahren mit erstaunlicher Geschwindigkeit zugenommen haben (557 % allein im Einzelhandels- und E-Commerce-Bereich). Darüber hinaus gab es einen besorgniserregenden Mangel an Sicherheitspatches und der Wartung von Projektabhängigkeiten (91 % enthielten veraltete Open-Source-Komponenten).
Was können Gründer und angehende Unternehmer also tun, um wettbewerbsfähig zu bleiben, während Softwaresicherheit und Investorengelder auf dem Spiel stehen, während gleichzeitig knapper werdende Taschen und weniger Personal zu kämpfen haben?
Seien Sie kein Trendsetter
Gründer gehen bei der Gründung ihres Startups viele Risiken ein, Quellcode sollte jedoch nicht dazu gehören. Unabhängig davon, in welcher Branche Sie tätig sind, ist es wichtig zu bedenken, dass jedes Unternehmen ein Softwareunternehmen ist, was bedeutet, dass Ihr Code einen erheblichen Teil des Werts Ihres Unternehmens ausmacht. Gehen Sie bei der Bewertung der Quelle Ihres Codes nicht den weniger ausgetretenen Weg.
Als Benutzer von Open Source sind wir dafür verantwortlich, sicherzustellen, dass es in der Software, aus der es besteht, ordnungsgemäß überprüft, verwaltet und gewartet wird.
Es ist zwar schön anzunehmen, dass alle Open-Source-Betreuer gute Absichten haben und gleichermaßen in der Lage sind, Code zu schreiben, aber das ist leider nicht der Fall. Es ist sicherer, sich für bekannte Code-Plattformen zu entscheiden – Gründer sollten beispielsweise Open-Source-Komponenten aus robusten, beliebten Communities wie GitHub und GitLab auswählen.
Seriöse und gut etablierte Open-Source-Communities können die nötige Transparenz und Kennzahlen bieten, damit Teams die Sicherheit und Qualität von Projekten richtig bewerten können. Wenn Sie beispielsweise ein auf GitHub gehostetes Projekt verwenden, können Sie Entwicklungs- und Commit-Aktivitäten sehen sowie die Profile des Projekteigentümers und der Projektbetreuer einsehen. Dies steht im Gegensatz zur blinden Nutzung eines von einer Mirror-Site heruntergeladenen Pakets, bei dem Sie keinen Einblick darin haben, was darin enthalten ist und von wem Sie es herunterladen.
Und das Beste: Da Open-Source-Code kostenlos ist, kostet es nichts, sich für die höherwertige Plattform zu entscheiden, die die Entwicklung beschleunigen und gleichzeitig Ihr Unternehmen schützen kann.