《技術(shù)雷達》報告半年一期,由全球軟件及技術(shù)咨詢公司思特沃克(Thoughtworks)發(fā)布。這已是思特沃克(Thoughtworks)發(fā)布此報告的第12年,本期報告聚焦于開源軟件行業(yè)不斷變化的經(jīng)濟形勢。
北京2022年3月30日 /美通社/ -- 集戰(zhàn)略、設(shè)計和工程服務(wù)于一體,致力于推動數(shù)字化創(chuàng)新的全球軟件及技術(shù)咨詢公司思特沃克( 納斯達克代碼:TWKS)發(fā)布了第26期《技術(shù)雷達》。此報告每半年發(fā)布一期,內(nèi)容來自思特沃克(Thoughtworks)在解決客戶面臨的嚴峻業(yè)務(wù)挑戰(zhàn)時獲得的觀察結(jié)果、對話內(nèi)容和一線經(jīng)驗。雖然“確保軟件供應(yīng)鏈安全”這一概念早在幾年前就已出現(xiàn),但本期報告的一個重要主題仍然是:當前,企業(yè)如何采取切實可行的措施,在生產(chǎn)及其他環(huán)節(jié)中確保軟件高度安全。
2021年5月,美國白宮發(fā)布了改善國家網(wǎng)絡(luò)安全的行政命令。其中一部分討論了如何增強軟件供應(yīng)鏈的安全。由于意識到僅靠編寫安全代碼已經(jīng)不足以確保安全,很多企業(yè)為了應(yīng)對整個軟件供應(yīng)鏈面臨的安全風險,正在拓寬認知邊界,并投資采取更負責任的工程實踐措施,包括驗證和管理項目依賴關(guān)系。“軟件工件供應(yīng)鏈層級”(SLSA)等檢查清單和標準是本期《技術(shù)雷達》新加入的內(nèi)容,思特沃克(Thoughtworks)發(fā)現(xiàn)目前已有一些實用工具,可用于解決這個理論之外的實際問題。
思特沃克(Thoughtworks)中國區(qū)CTO徐昊說:“最近軟件行業(yè)中出現(xiàn)了很多不安因素,Log4j的遠程漏洞、一眾因各種原因而引發(fā)爭議的NPM包等等。在開源軟件無處不在的今天,拒絕開源軟件顯然是不可行的,沒有人可以切斷自己與開源生態(tài)的鏈接。這促使我們重新思考,要如何有效地管理依托于開源生態(tài)的軟件供應(yīng)鏈。所幸的是,作為國際軟件供應(yīng)鏈中不被信任的一環(huán),中國軟件的先驅(qū),對于如何構(gòu)筑可信的軟件供應(yīng)鏈積累了大量經(jīng)驗,或許將引領(lǐng)行業(yè)的發(fā)展。”
“一系列事件,無論是重大的安全事故,影響品牌形象的違規(guī)行為,還是政策限制,都要求企業(yè)更加關(guān)注軟件供應(yīng)鏈所涉及生態(tài)系統(tǒng)的復(fù)雜性和廣度?!彼继匚挚耍═houghtworks)首席技術(shù)官Rebecca Parsons博士表示:“雖然許多組織關(guān)注的是生產(chǎn)環(huán)境中的系統(tǒng),但對測試、沙盒和云環(huán)境進行同樣嚴格的控制也是至關(guān)重要的。盡管這項任務(wù)艱巨,但目前已有具體的工具和工程實踐來幫助企業(yè)管理供應(yīng)鏈安全并使其實現(xiàn)自動化,努力確保其系統(tǒng)高度安全?!?/p>
第26期《技術(shù)雷達》的精彩主題包括:
訪問thoughtworks.com/cn/radar,瀏覽互動版《技術(shù)雷達》或下載PDF版本。
關(guān)于 思特沃克(Thoughtworks)
思特沃克(Thoughtworks )是一家集戰(zhàn)略、設(shè)計和工程于一體的全球軟件及技術(shù)咨詢公司,致力于推動數(shù)字化創(chuàng)新。我們在 17 個國家/地區(qū)設(shè)有 49個辦事處,擁有 10,000 多名員工。在過去超過 25 年中,我們憑借技術(shù)優(yōu)勢幫助客戶解決了各種復(fù)雜的業(yè)務(wù)問題,與客戶一起實現(xiàn)了非凡的影響。