Kostenfalle ‘Technical Debt’

EnterpriseManagementProjekteSicherheitSoftwareSoftware-Hersteller

CAST Software hat den ‘CRASH-Report 2011/12’ (CAST Report on Application Software Health) veröffentlicht. Demzufolge drohen Unternehmen Belastungen in Millionenhöhe durch so genannte ‘Technical Debt‘. Damit werden Kosten zur Behebung verborgener Fehler in Anwendungen bezeichnet, die zu hohen Verlusten führen können, sobald die Applikationen in Betrieb gehen. Derartige Reparaturkosten sind jedoch in keinem Budget vorgesehen.

Nach Angaben von CAST beruht die Studie auf automatisierten Analysen zur Messung der strukturellen Qualität von 365 Millionen Zeilen Code in 745 IT-Applikationen, die von 160 Unternehmen in zehn Branchen eingesetzt werden. Fünf “Gesundheitsfaktoren” von Anwendungssoftware wurden untersucht: Sicherheit, Performance, Robustheit (verfügbare Betriebszeit) sowie Verständlichkeit und Änderbarkeit der Software.

Anhand der gewonnenen Daten erstellte CAST eine Schätzung der Schwachstellen, wobei nur die Bereiche im Vordergrund standen, die in puncto Unternehmenskosten und -risiko entscheidend waren. “Unsere Untersuchungen ergaben trotz des konservativen Ansatzes eine durchschnittliche Technical Debt von 3,61 Dollar pro Codezeile“, sagte Dr. Bill Curtis, Chief Scientist von CAST. “Eine große Anzahl der untersuchten Anwendungen, nämlich 15 Prozent, bestand aus mehr als einer Million Zeilen Code. Das heißt, dass selbst die kleinste dieser Anwendungen mit einer Technical Debt von über 3,6 Millionen Dollar belastet ist.”

Laut Curtis schädigen 35 Prozent der aufgedeckten Verstöße das Unternehmen, da sie sich nachteilig auf die Sicherheit, Leistung und Betriebszeit der Anwendungssoftware auswirken. Curtis: “Die Technical Debt ist problematisch, weil sie für Softwarereparaturen Finanzmittel abzieht, die für IT-Innovationen vorgesehen waren. Die Konsequenz: Es ist weniger Geld für die Entwicklung neuer Anwendungen übrig.” Eine Zusammenfassung der Studie kann nach einer Registrierung aus dem Netz geladen werden. Weitere Ergebnisse:

  • Trotz gegenteiliger Erwartungen war bei outgesourcten und intern entwickelten Applikationen kein Unterschied in der strukturellen Qualität festzustellen. Dasselbe gilt für Onshore- und Offshore-Anwendungen.

  • Java-EE-Anwendungen, die innerhalb der Studie vorherrschend waren, erhielten deutlich niedrigere Leistungsbewertungen und waren mit einer größeren Technical Debt belastet als andere Sprachen.

  • Etablierte Entwicklungsmethoden wie Agile und Waterfall schnitten hinsichtlich der strukturellen Qualität erheblich besser ab als benutzerspezifische Methoden. Dabei erzielte Waterfall die höchste Punktzahl in Sachen Übertragbarkeit und Veränderlichkeit.

  • COBOL-Applikationen erhielten die besten Sicherheitsbewertungen, .NET-Anwendungen hingegen die niedrigsten.