Sonatype在七月份发布了第三份年度软件供应链状态报告。报告指出，当组织主动管理软件应用中开源组件的质量时，能够提升开发人员28%的生产力（通过减少人工治理的方式），减少30%的总体开发成本以及提升48%的应用质量（应用程序漏洞被尽早移除，从而减少了在产品中的发生率）。分析还显示，那些采用自动化治理工具的团队所开发的应用程序将缺陷组件的占比降低了63％。

Derek Weeks是Sonatype的VP和DevOps倡导者。他告诉InfoQ：

数据来自许多不同的源头。历史经验数据从Maven Central（Java）评估得来。同时，Sonatype已经分别为NPMJS.org（Javascript）、NuGet Gallery （.Net）和PyPi.org （Python）建立了索引库。我们一整年都在研究并持续密切关注市场的新闻动态，包括开源软件组件、质量、实践和规约。

该报告还强调了软件开发中开源组件的消费增长。Java组件的年度下载量同比增长了68％（2016年为520亿），JavaScript下载量增长了262％（2016年为590亿），而对Docker组件的需求预计在未来12个月将增长100％（即120亿次下载）。

Weeks说道：

创新为王，速度至关重要，开源则是核心。 由于速度至关重要，不论是开发人员、CIO还是CEO都会说，如果需要花费15分钟的事情可以用1秒钟解决的话，有什么理由不选择后者呢？ 这解释了为什么人们选择从互联网下载，而非从头开始构建。

报告指出，使用开源组件的组织面临的挑战之一是开源软件（OSS）项目平均需要233天时间才能修复已知的漏洞。其中只有15.8％的OSS项目能够主动修复漏洞。

Weeks说道：

大多数开源项目或许并不知道有这些漏洞。也许安全研究人员无法有效地将其发现与项目联系起来。又或许没有足够的人来了解项目本身的安全编码实践，以便评估和修复漏洞。这仅仅是个人推测。

Sonatype声称，高功能（high-functioning）的DevOps组织正在利用机器自动化来控制流经其软件供应链的开源组件的质量，从而提高软件健康度。

Weeks说道：

人们需要对软件开发中采用的开源组件了解得一清二楚。意识改变行为。现在就为你的软件列出所需组件的清单吧。一旦有了这份清单，您就可以进行更好的评估。我们比以往更需要这种意识。如果想了解所采用的组件状态是否良好，那么越早建立清单越好。如果您将这一信息提供给开发者的话，他们就可以在编码周期早期做出选择并执行安全编码实践。

我们问Weeks是否存在安全技术人才短缺的问题。他说道：

既对也不对。IT行业的每一个新动向总伴有技术人才的短缺。但IT行业不断发展的方式是通过寻找工具和解决方案来进行自动化。当我们说应用程序缺少安全方面的技术人才的时候，无异于说我们通过手工的方式来评估应用程序的安全性。如果将分析或安全这部分工作进行自动化，那会怎样呢？我们会因此在组织中更富有成效地工作。技术和自动化可以解决技能短缺的问题。我们通过创新来寻找出路。

查看英文原文：Active Management of Open Source Components Delivers Measurable Improvements Claims Sonatype Report