研究表明,大多数公司会使用第三方供应商提供的源代码,而这些代码并未像内部团队开发的软件那样进行过严格质量、安全性测试。研究还揭示,在开发过程中形成了风险-责任不对等现象,而且指出了软件缺陷对商业的影响。
研究显示企业对第三方代码的广泛使用,以及代码对商业优先级的重要影响,关键点如下:
超过90%的受访者确认会采用第三方代码,他们会与商业供应商、外包开发团队或开源提供商合作
超过40%的受访者称第三方代码曾导致其产品延迟上市或召回,致使其产品存在安全问题,并延长了开发时间,让其遭受经济损失,他们表示希望能在开发过程中对代码完整性有更高可视性
有约65%公司称软件缺陷影响了其客户满意度,有47%公司认为其产品上市时间也因软件缺陷受到延迟
研究也表明内部代码开发团队和第三方软件供应商之间存在沟通鸿沟:
第三方代码开发中,只有44%的公司会进行自动代码测试,而内部软件开发中,会有69%公司进行测试
只有35%的公司会对第三方代码进行风险、安全和缺陷评估,而70%公司会对内部开发软件进行评估
只有35%公司会对第三方提供的软件代码进行手动检查,而68%公司会对内部开发代码进行检查
质量保证也有明显差距。51%的受访者表示会对第三方软件进行自动功能测试、负载和单元测试,而75%公司会对内部开发软件进行上述测试。
本研究也揭示了开发过程中形成的风险-责任不对等现象:
当软件出现问题时,两次中有一次,软件购买方要为第三方代码的质量和安全问题负全责;相较之下,第三方供应商负全责的情况只有十分之一
研究还确认开发者现在要担负更多责任。有超过74%的受访者表示开发者为质量和安全目标担负的责任比一年前还要多
“软件完整性风险报告的数据表明软件代码责任分配需要做出改变,” Coverity***营销官戴维•彼得森(Dave Peterson)称,“如今对开发团队而言是真正紧要关头,开发者要对其软件结果负全责,但又无法控制第三方提供软件,这引发了客户对控制和管理整个软件供应链的强烈需求。”
要查看完整的报告版本,请访问www.coverity.com/forrester-software-integrity-risk。要了解更多调查结果,请参加Coverity的软件完整性之旅(Software Integrity Tour),该活动由Forrester公司协办,要了解更多信息,请访问www.coverity.com/integritytour. 要了解更多关于代码管理内容,请访问 www.coverity.com/products.
关于Coverity
Coverity公司(www.coverity.com)是软件完整性领域的***。对于那些无法容忍软件缺陷的公司而言,Coverity是他们可信赖的标准。全球超过1000家客户采用了Coverity的测试方案,用于发现并消除其产品中的软件缺陷。Coverity是一家私营公司,总部在旧金山,由Foundation Capital 和Benchmark Capital合资组建。请关注我们的微博和我们的博客,或联系中国合作伙伴北京奥索泛亚科技有限公司(www.autosoft.com.cn)