如今的軟件開發(fā)公司經(jīng)常陷入相互沖突的業(yè)務(wù)優(yōu)先級(jí)之間。一方面，他們需要幫助各自的組織比競(jìng)爭(zhēng)對(duì)手更快地將創(chuàng)新產(chǎn)品和服務(wù)推向市場(chǎng)。另一方面，他們負(fù)責(zé)交付高質(zhì)量、高度安全的代碼，幫助他們提高客戶滿意度，并降低風(fēng)險(xiǎn)。最重要的是，開發(fā)和質(zhì)量保證(QA)職能都面臨著越來越大的壓力，需要降低成本并進(jìn)一步提高效率。所有這些因素構(gòu)成了軟件開發(fā)的完美風(fēng)暴。展示了Coverity公司確定的軟件供應(yīng)鏈管理中最受關(guān)注的問題。

在Forrester Consulting和Coverity最近的一項(xiàng)調(diào)查中，90%的受訪者確認(rèn)他們使用來自商業(yè)供應(yīng)商、外包團(tuán)隊(duì)或開源提供商的第三方提供的代碼。而且這種趨勢(shì)似乎在增加：今天的許多組織都依賴于來自多個(gè)來源的軟件代碼。

未經(jīng)充分測(cè)試的第三方代碼可能會(huì)導(dǎo)致產(chǎn)品延遲或召回、安全漏洞以及產(chǎn)品和服務(wù)的開發(fā)時(shí)間增加。所有這些都可能對(duì)您的收入和品牌產(chǎn)生嚴(yán)重的負(fù)面影響。在ForresterConsulting最近的一項(xiàng)調(diào)查中，只有44%的被調(diào)查公司在第三方代碼的開發(fā)過程中進(jìn)行自動(dòng)化代碼測(cè)試，而69%的公司對(duì)內(nèi)部開發(fā)的軟件使用自動(dòng)化代碼測(cè)試。只有35%的公司對(duì)第三方代碼進(jìn)行風(fēng)險(xiǎn)、安全或漏洞評(píng)估，而70%的公司在其內(nèi)部開發(fā)的軟件上部署這些方法。并且只有35%的公司對(duì)第三方提供的軟件進(jìn)行手動(dòng)代碼審查，而68%的公司對(duì)內(nèi)部開發(fā)的代碼進(jìn)行手動(dòng)代碼審查。簡(jiǎn)而言之，第三方代碼的測(cè)試方式與內(nèi)部代碼不同。

如今的軟件開發(fā)項(xiàng)目的特點(diǎn)是優(yōu)先級(jí)沖突的完美風(fēng)暴，并且通常包含來自多個(gè)來源的代碼混合物。這導(dǎo)致軟件開發(fā)生態(tài)系統(tǒng)中風(fēng)險(xiǎn)和回報(bào)的分配不均。在同一份報(bào)告中，F(xiàn)orrester發(fā)現(xiàn)，在幾乎每?jī)蓚€(gè)案例中，買方對(duì)第三方代碼中發(fā)現(xiàn)的質(zhì)量和安全問題負(fù)有100%的責(zé)任，而第三方供應(yīng)商則為十分之一。被追究100%的責(zé)任。該研究還證實(shí)，開發(fā)人員正在承擔(dān)額外的責(zé)任，超過74%的受訪者表示，與一年前相比，開發(fā)人員對(duì)質(zhì)量和安全目標(biāo)的責(zé)任更大。

前面的觀點(diǎn)并不意味著開發(fā)團(tuán)隊(duì)沒有做好他們的工作。相反，這些結(jié)果強(qiáng)調(diào)需要在所有內(nèi)部和外部供應(yīng)商之間擴(kuò)展軟件完整性標(biāo)準(zhǔn)。開發(fā)人員測(cè)試，包括靜態(tài)分析等技術(shù)，可以通過讓供應(yīng)商控制每行代碼的最大缺陷數(shù)量來確保這些標(biāo)準(zhǔn)。