《技術(shù)雷達(dá)》報(bào)告半年一期�����,由全球軟件及技術(shù)咨詢公司思特沃克(Thoughtworks)發(fā)布��。這已是思特沃克(Thoughtworks)發(fā)布此報(bào)告的第12年�,本期報(bào)告聚焦于開源軟件行業(yè)不斷變化的經(jīng)濟(jì)形勢。
北京2022年3月30日 /美通社/ -- 集戰(zhàn)略�����、設(shè)計(jì)和工程服務(wù)于一體��,致力于推動(dòng)數(shù)字化創(chuàng)新的全球軟件及技術(shù)咨詢公司思特沃克( 納斯達(dá)克代碼:TWKS)發(fā)布了第26期《技術(shù)雷達(dá)》�。此報(bào)告每半年發(fā)布一期,內(nèi)容來自思特沃克(Thoughtworks)在解決客戶面臨的嚴(yán)峻業(yè)務(wù)挑戰(zhàn)時(shí)獲得的觀察結(jié)果�、對話內(nèi)容和一線經(jīng)驗(yàn)。雖然“確保軟件供應(yīng)鏈安全”這一概念早在幾年前就已出現(xiàn)��,但本期報(bào)告的一個(gè)重要主題仍然是:當(dāng)前,企業(yè)如何采取切實(shí)可行的措施����,在生產(chǎn)及其他環(huán)節(jié)中確保軟件高度安全���。
2021年5月���,美國白宮發(fā)布了改善國家網(wǎng)絡(luò)安全的行政命令。其中一部分討論了如何增強(qiáng)軟件供應(yīng)鏈的安全�����。由于意識到僅靠編寫安全代碼已經(jīng)不足以確保安全�����,很多企業(yè)為了應(yīng)對整個(gè)軟件供應(yīng)鏈面臨的安全風(fēng)險(xiǎn)��,正在拓寬認(rèn)知邊界��,并投資采取更負(fù)責(zé)任的工程實(shí)踐措施����,包括驗(yàn)證和管理項(xiàng)目依賴關(guān)系����?�!败浖ぜ?yīng)鏈層級”(SLSA)等檢查清單和標(biāo)準(zhǔn)是本期《技術(shù)雷達(dá)》新加入的內(nèi)容�����,思特沃克(Thoughtworks)發(fā)現(xiàn)目前已有一些實(shí)用工具�,可用于解決這個(gè)理論之外的實(shí)際問題。
思特沃克(Thoughtworks)中國區(qū)CTO徐昊說:“最近軟件行業(yè)中出現(xiàn)了很多不安因素����,Log4j的遠(yuǎn)程漏洞、一眾因各種原因而引發(fā)爭議的NPM包等等�����。在開源軟件無處不在的今天�����,拒絕開源軟件顯然是不可行的���,沒有人可以切斷自己與開源生態(tài)的鏈接��。這促使我們重新思考�����,要如何有效地管理依托于開源生態(tài)的軟件供應(yīng)鏈�。所幸的是,作為國際軟件供應(yīng)鏈中不被信任的一環(huán)���,中國軟件的先驅(qū),對于如何構(gòu)筑可信的軟件供應(yīng)鏈積累了大量經(jīng)驗(yàn)���,或許將引領(lǐng)行業(yè)的發(fā)展�����。”
“一系列事件���,無論是重大的安全事故,影響品牌形象的違規(guī)行為�,還是政策限制,都要求企業(yè)更加關(guān)注軟件供應(yīng)鏈所涉及生態(tài)系統(tǒng)的復(fù)雜性和廣度����?���!彼继匚挚耍═houghtworks)首席技術(shù)官Rebecca Parsons博士表示:“雖然許多組織關(guān)注的是生產(chǎn)環(huán)境中的系統(tǒng)��,但對測試�、沙盒和云環(huán)境進(jìn)行同樣嚴(yán)格的控制也是至關(guān)重要的。盡管這項(xiàng)任務(wù)艱巨��,但目前已有具體的工具和工程實(shí)踐來幫助企業(yè)管理供應(yīng)鏈安全并使其實(shí)現(xiàn)自動(dòng)化���,努力確保其系統(tǒng)高度安全����?�!?/p>
第26期《技術(shù)雷達(dá)》的精彩主題包括:
- 軟件供應(yīng)鏈的創(chuàng)新:黑客越來越多地利用安全領(lǐng)域攻防不對稱的特點(diǎn)�����,并且結(jié)合日益復(fù)雜的黑客技術(shù)進(jìn)行攻擊�,這意味著他們只需要找到一個(gè)漏洞即可�,而防御者必須確保整個(gè)攻擊面的安全。在我們努力保持系統(tǒng)安全的過程中���,改善供應(yīng)鏈安全是我們應(yīng)對措施中的關(guān)鍵部分。
- 離奇集市 -- 開源軟件不斷變化的經(jīng)濟(jì)學(xué):開源軟件可以提高開發(fā)者的敏捷性��,并用眾包的形式修復(fù)錯(cuò)誤���,以及創(chuàng)新��。商業(yè)化的嘗試以及對開源軟件提供支持的多種不同方法��,表明當(dāng)前生態(tài)系統(tǒng)經(jīng)濟(jì)形勢異常復(fù)雜。
- 為什么開發(fā)者們總熱衷于在React中實(shí)現(xiàn)狀態(tài)管理:通常情況下�,一個(gè)基礎(chǔ)的框架變得流行起來,緊接著大量工具的浮現(xiàn)創(chuàng)建出一個(gè)針對常見缺陷和改進(jìn)的生態(tài)系統(tǒng),最后以幾個(gè)流行工具的鞏固而結(jié)束����。然而�����,React的狀態(tài)管理似乎在抵制這種通用的趨勢��。
- 對主數(shù)據(jù)編目永無止境的追求:從企業(yè)數(shù)據(jù)資產(chǎn)中挖掘更多價(jià)值的愿望�����,驅(qū)動(dòng)了我們目前所看到的在數(shù)字技術(shù)方面的大部分投資�����。人們對企業(yè)數(shù)據(jù)編目重新產(chǎn)生了興趣����,涌現(xiàn)出了大量具備越來越多功能集的智能新工具��,可以解決數(shù)據(jù)治理��、質(zhì)量管理和發(fā)布問題���。與這種趨勢相反,遠(yuǎn)離自上而下的中心化數(shù)據(jù)管理����,走向基于數(shù)據(jù)網(wǎng)格架構(gòu)的聯(lián)合治理和數(shù)據(jù)發(fā)現(xiàn)的趨勢也在增長。
訪問thoughtworks.com/cn/radar,瀏覽互動(dòng)版《技術(shù)雷達(dá)》或下載PDF版本����。
關(guān)于 思特沃克(Thoughtworks)
思特沃克(Thoughtworks )是一家集戰(zhàn)略、設(shè)計(jì)和工程于一體的全球軟件及技術(shù)咨詢公司��,致力于推動(dòng)數(shù)字化創(chuàng)新��。我們在 17 個(gè)國家/地區(qū)設(shè)有 49個(gè)辦事處��,擁有 10,000 多名員工��。在過去超過 25 年中��,我們憑借技術(shù)優(yōu)勢幫助客戶解決了各種復(fù)雜的業(yè)務(wù)問題�����,與客戶一起實(shí)現(xiàn)了非凡的影響����。
