軟件變得越來越復雜,因此,真正實時掌握軟件組合的狀況變得越來越困難。從未正式說明的功能,到未知的安全漏洞,再到使用的代碼庫,首席信息官及其團隊每天都在黑暗中做出重要決策。而且,當然無意中,這種因缺乏足夠信息所做出的決策也使組織面臨巨大風險。
隨著軟件復雜性和大量代碼的不斷增加,這種風險只會越來越大。從理性的角度來看,如今的普通汽車(不包括自動駕駛汽車)擁有超過1.5億行代碼。這比F-35戰斗機或波音787的代碼行數更多。
最近在《大西洋》雜志中一篇文章明確指出了首席信息官需要以不同方式思考軟件的原因:
“汽車零件曾經是純機械的。現在,這些零件經常會附帶數百萬行代碼。雖然這些代碼用于車輛制動、車道輔助和自適應巡航控制,這確實使汽車更安全,但這也帶來了一種全新的復雜性。同時,這可能會帶來新的故障。”
作為首席信息官,我們必須了解這種復雜性。不僅要提高應用程序的安全性和成本效率,還要確保各種系統的基本保障性和穩定性,因為這些系統可能會使我們的生命處于危險之中,例如醫療系統或汽車(無論是否為自動駕駛車輛)等。
好消息是,我們現在已經有了更好的工具,可以讓我們更深入地了解軟件的實際情況,以掌握其優勢、劣勢和需要改進的方面。這種新的軟件智能工具使首席信息官能夠更加主動地管理軟件復雜性和保護業務運營活動。
在你尋找軟件智能工具時,我認為首席信息官必須完全了解其軟件的以下十大特性:
1.源代碼清單
首先要做的事情!通過在安全的和備份的存儲庫中進行適當版本控制,獲取所有源代碼的完整清單。通常,我們還沒有在這方面做功課。了解代碼庫和評估軟件質量,這對于簡化復雜性以及為系統現代化、維護和轉型工作建立基準至關重要。
維護當前軟件存儲庫不僅可以幫助團隊管理二進制文件,簡化跨平臺功能,構建工具并交付打包格式,還使首席信息官能夠對軟件運行狀況和性能進行實時分析,從而獲得更有效的報告和更快的事件響應速度。
通過從你軟件組合的基線開始,你將能夠獲得自己應用程序正在執行的操作、冗余信息以及這些軟件如何相互協作的更多相關信息。
2.架構合規性
架構合規性是對組織實施安全措施,降低風險和保持高效的一種非常有效的衡量標準。
規劃應用程序架構可以加快新開發人員的學習速度,并幫助架構師了解應用程序的結構,以便他們可以更快地工作,并以更少的重復工作進行更改。它還加快了系統現代化速度,因為已經建立了組件相互依賴性,并且在工作開始之前可以標記潛在的高風險區域。
根據我自己的經驗,評估架構合規性對于理解復雜性、技術債務以及應該更關注哪些方面都非常有用。它還有助于提供IT風險評分,使架構合規性與系統的整體安全性和穩健性保持一致。
我個人喜歡檢查系統穩定性和性能所涉及的架構的關鍵方面包括異常處理、數據訪問性能和數據管理、輸入驗證、安全架構設計合規性(特別是避免使用硬編碼憑證)和初始架構設計遵從性。
3.數據隱私和合規風險
首席信息官還必須能夠及時查找和識別軟件的特定特征,以對精確的要求做出響應,例如,證明符合“通用數據保護條例”(GDPR)合規性。在發生數據泄露或數據事件后,首席信息官經常被要求對系統安全性和可靠性提供報告。
圍繞數據隱私的法規不斷增加以及規則更嚴格,這也迫使首席信息官就一些問題要提供報告,諸如如何保護客戶的社會安全號碼,甚至是保護硬編碼的IP地址等。這些請求導致人們投入大量研究工作,產生了大量的結果。
獲得有助于你快速、全面和明確地回答此類問題的方法和工具,將會對首席信息官的認知和工作上長期取得成功產生重大影響。
4.開源和IP許可證風險
雖然曾經有人預測開源軟件(OSS)的興起可能有助于提高軟件安全性和整體質量,但這并沒有成為現實(至少在2019年沒有)。開源軟件組件的使用已經像野火一樣蔓延,并且有其充分的理由。它可以幫助團隊更快地啟動項目,節省資金,并可利用被其他人驗證過的技術。
例如,“數據爆炸和對數據有效使用的需求一直是推動公共部門更多采用開源的主要因素,”Hortonworks公司的Shaun Bierweiler說道。
但開源軟件也可能使組織面臨不必要和不可預測的風險。最近的數據顯示,開源漏洞的數量增加了70%。許多開源組件質量很差,黑客可以利用其多個漏洞,一旦黑客找到了進入開源軟件的方法,他們就可以破解使用該組件的每個IT系統。
為了防止出現這種情況,首席信息官必須了解其軟件中的各個組件和構件,是否這些軟件仍然可獲得技術支持,以及軟件是否具有許可授權。我們必須比以往更積極地處理開源和許可證風險,否則我們有可能成為下一個艾奎法克斯公司(Equifax)。
5.技術債務
技術債務可能是系統可維護性的重大障礙。年復一年,一個又一個版本的發布,一個又一個新功能,如果你不小心,技術債務很容易在很短時間就增加。
通常以“100%高度違規 + 50%中度違規 x 需要修復的違規行為 x 開發成本”來計算,向高管層表達技術債務優先級通常可有助于首席信息官獲得更多的維護和系統現代化升級所需的預算。事實上,我認為使用技術債務來幫助獲取維護工作所需的預算是一個重要步驟,其可確保各項工作專注于正確的方向以提高整體軟件質量。
正如Myles F. Suer在其“具有適應性的首席信息官”(Adaptive CIO)專欄中所寫,“減少技術債務需要得到越來越多的關注。這并非是浪費錢,而是用更安全、更流暢、更可定制的系統取代脆弱的整體系統。首席信息官強調說,在較低人工維護、較少的入侵次數和更方便的更換工作情況下,才有投資回報率。”
6.應用程序組合的合理化
目前有一些工具可用于分析交易模式并在多個代碼集之間進行比較,從而為首席信息官提供他們所需要的數據,以便更合理化使用他們的應用程序組合。處理舊的應用程序始終是一項挑戰,這些工具現在為我們提供了評估和確定工作優先級所需的數據,同時可確保我們能夠真正淘汰整個應用程序,并將相關業務交易安全地轉移到更合適的一套系統中。
其價值是什么?顯然是降低成本,但更重要的是從運營角度可降低整體風險,減少事故發生,減少受攻擊的范圍。如今,用于做出合理化決策所用的大多數分析都是基于我們認為已使用的功能,這就在決策過程中留下空白。使用現代工具,我們可以看到實際的交易模式,以確定具有最高使用率的代碼,明確哪些代碼需要現代化,甚至可以舍棄一些無用代碼以使應用程序更高效和更安全。
7.系統級分析
大多數首席信息官仍然缺乏對其整體系統架構、相互依賴性以及軟件質量問題如何影響更廣泛系統的關注度,而不僅僅是關注單個應用程序和組件。傳統的代碼掃描工具不能提供系統級的認識,因此會產生大量的誤報和結果,而這些錯誤信息對于首席信息官來說有時是無用的。
通過了解整個系統的軟件健康狀況,首席信息官可以更準確地掌握軟件質量以及影響安全性和性能的缺陷。系統級分析使首席信息官能夠為業務伙伴提供基于事實的預期結果,并為開發人員提供更實用的指導,使他們知道應該將精力集中在何處,以及如何在上游和下游系統的數據流中規劃集成測試。
首席信息官有多少次都未測試上游應用程序受到的影響,而認為它不會受到影響?系統級分析可以消除這種猜測,并幫助團隊避免這種令人尷尬的情況。
現在市場上的許多系統級解決方案還增加了可視化功能,以快速明確那些預料之外的依賴關系、合規性差距和架構漏洞,并為快速補救提供明確的方向。
8.應用程序的云就緒狀態
今年的公共云支出預計將達到2000億美元,因此向云端遷移正成為首席信息官的首要任務,這毫不奇怪。但是了解云是一個首要工作,而清楚哪些應用程序應該遷移到云端,這完全是兩碼事。
這需要應用程序組合合理化--確定應用程序的內部結構—在重新構建平臺之前,對每個應用程序在云環境中的性能和功能進行建模和預測。合理化工作應優先考慮業務影響、安全性、質量和技術債務等事項。
為了進一步完善這些措施,應逐步完成云端合理化工作的五個R,并明確每個R的主要結果,這是云端工作取得成功的重要一步。這些步驟是:
1.主機更換(Rehost) -- 通常選擇用來降低成本,并確保快速取得工作成果。
2.重構(Refactor) -- 通常選擇用來建立更快的交付周期和更高的效率。
3.重新架構(Rearchitect) -- 通常在現有應用程序與云平臺不兼容時選擇。
4.重建(Rebuild) -- 通常在現有應用程序無法支持業務需求和需要更快創新時選擇。
5.替換(Replace) -- 通常在應用程序已過時或計劃停用時選擇。
9.應用程序安全漏洞的普遍性和重要性
最新研究表明,安全性是首席信息官在2019年的首要任務。安全問題使首席執行官們夜不能寐,保護關鍵系統的責任往往落在首席信息官身上,即使在組織中存在首席信息安全官。
為了保護業務工作,首席信息官應該努力減少漏洞和減少潛在的受攻擊范圍。這意味著通過使用可提供SAST、DAST、IAST功能的工具和利用一些工具進行更頻繁的軟件組合分析(SCA),以減少技術債務,使應用程序組合合理化,并對安全違規行為進行優先級排序。在去年年底的一篇博客中,Forrester公司分析師艾米·德馬汀(Amy DeMartine)說,倉促完成的功能通常會導致安全性不佳。
專注于安全工作所面臨的一個主要挑戰是對這些工具經常標記的大量違規行為進行梳理。當團隊每天被數百條新通知消息狂轟濫炸時,很難集中精力來解決關鍵問題。為了防止這種情況,首席信息官應該尋找一些可提供系統級分析的工具--這意味著基于組件相互依賴性來獲得對違規行為的全面性和架構性的認識。如果這些問題被利用,則會對公司和數據安全性帶來最大的影響。
10.基于標準的軟件健康狀況認識
隨著系統復雜性的不斷增加,首席信息官必須監控其軟件整體健康狀況,并掌握有關潛在風險和熱點的實時數據。擁有軟件組合級別的健康狀況認識,將有助于首席信息官更好地了解其組織是否已準備好啟動數字現代化項目,是否存在基線質量問題,或其應用程序中是否存在安全漏洞等。
基于行業標準(如CISQ、CWE、NIST、OWASP、PCI、STIG等)進行的軟件組合級別分析,將有助于基于與軟件可管理性、性能和安全性相關的事實,與業務和開發團隊進行更有成效的對話,并將有助于更快地開展現代化工作。
根據我自己的經驗,使用軟件健康指標來對投資和資源進行優先排序,也有助于減少沖突,并使跨職能團隊保持工作一致,從而以更高的質量更快地交付產品,可在短期內產生更高效的業務成果。這些因素對首席信息官的工作成功至關重要。
為了在數字化未來取得成功,首席信息官必須掌握軟件的一些無形特性和功能,并使普通非專業人員可以看到這些特性和功能。憑借這10個特征,首席信息官可以在其技術方面上做出更高效、更明智的決策,同時讓團隊和高層領導走上正確的道路。
京公網安備 11010502049343號