《技術雷達》報告半年一期,由全球軟件及技術咨詢公司思特沃克(Thoughtworks)發(fā)布。這已是思特沃克(Thoughtworks)發(fā)布此報告的第12年,本期報告聚焦于開源軟件行業(yè)不斷變化的經(jīng)濟形勢。
北京2022年3月30日 /美通社/ -- 集戰(zhàn)略、設計和工程服務于一體,致力于推動數(shù)字化創(chuàng)新的全球軟件及技術咨詢公司思特沃克( 納斯達克代碼:TWKS)發(fā)布了第26期《技術雷達》。此報告每半年發(fā)布一期,內(nèi)容來自思特沃克(Thoughtworks)在解決客戶面臨的嚴峻業(yè)務挑戰(zhàn)時獲得的觀察結果、對話內(nèi)容和一線經(jīng)驗。雖然“確保軟件供應鏈安全”這一概念早在幾年前就已出現(xiàn),但本期報告的一個重要主題仍然是:當前,企業(yè)如何采取切實可行的措施,在生產(chǎn)及其他環(huán)節(jié)中確保軟件高度安全。
2021年5月,美國白宮發(fā)布了改善國家網(wǎng)絡安全的行政命令。其中一部分討論了如何增強軟件供應鏈的安全。由于意識到僅靠編寫安全代碼已經(jīng)不足以確保安全,很多企業(yè)為了應對整個軟件供應鏈面臨的安全風險,正在拓寬認知邊界,并投資采取更負責任的工程實踐措施,包括驗證和管理項目依賴關系。“軟件工件供應鏈層級”(SLSA)等檢查清單和標準是本期《技術雷達》新加入的內(nèi)容,思特沃克(Thoughtworks)發(fā)現(xiàn)目前已有一些實用工具,可用于解決這個理論之外的實際問題。
思特沃克(Thoughtworks)中國區(qū)CTO徐昊說:“最近軟件行業(yè)中出現(xiàn)了很多不安因素,Log4j的遠程漏洞、一眾因各種原因而引發(fā)爭議的NPM包等等。在開源軟件無處不在的今天,拒絕開源軟件顯然是不可行的,沒有人可以切斷自己與開源生態(tài)的鏈接。這促使我們重新思考,要如何有效地管理依托于開源生態(tài)的軟件供應鏈。所幸的是,作為國際軟件供應鏈中不被信任的一環(huán),中國軟件的先驅(qū),對于如何構筑可信的軟件供應鏈積累了大量經(jīng)驗,或許將引領行業(yè)的發(fā)展。”
“一系列事件,無論是重大的安全事故,影響品牌形象的違規(guī)行為,還是政策限制,都要求企業(yè)更加關注軟件供應鏈所涉及生態(tài)系統(tǒng)的復雜性和廣度。”思特沃克(Thoughtworks)首席技術官Rebecca Parsons博士表示:“雖然許多組織關注的是生產(chǎn)環(huán)境中的系統(tǒng),但對測試、沙盒和云環(huán)境進行同樣嚴格的控制也是至關重要的。盡管這項任務艱巨,但目前已有具體的工具和工程實踐來幫助企業(yè)管理供應鏈安全并使其實現(xiàn)自動化,努力確保其系統(tǒng)高度安全。”
第26期《技術雷達》的精彩主題包括:
訪問thoughtworks.com/cn/radar,瀏覽互動版《技術雷達》或下載PDF版本。
思特沃克(Thoughtworks )是一家集戰(zhàn)略、設計和工程于一體的全球軟件及技術咨詢公司,致力于推動數(shù)字化創(chuàng)新。我們在 17 個國家/地區(qū)設有 49個辦事處,擁有 10,000 多名員工。在過去超過 25 年中,我們憑借技術優(yōu)勢幫助客戶解決了各種復雜的業(yè)務問題,與客戶一起實現(xiàn)了非凡的影響。