cyber statecraft initiative的總監、cyber statecraft的聯合創始人joshua corman認為**鏈管理得當可以讓持續發展百尺竿頭更進一步。在goto amsterdam 2016 大會上,他談到了有關rugged devops和軟體**鏈的問題。他提出,現在整個社會對於it和軟體的依賴已經超過了我們提公升軟體安全水平的速度,因此在這種情況下在軟體發展過程中使用**鏈方法可以幫助我們解決其複雜性問題,從而降低風險並提高質量。
\\ infoq採訪了corman有關於使用開源**時候會遇到的風險問題,**鏈管理如何實際運用於軟體開發中,它如何影響軟體質量,以及devops與**鏈管理之間的關係。
\\infoq:在你看來,使用開源**的時候最大的風險是什麼?
\\
\\\joshua corman:有幾個方面。
\\ 我們越來越多地使用開源**,但這也是相對的,你會越來越依賴於開源**,當它出現問題的時候你也會受到更大的影響。 \\
開源**並沒有我們想象的那麼可靠。雖然這種觀點往往會被認為是一種抨擊,但其實並不是。這是對於事實的清晰認識。我們一直相信開源**非常安全。也許我們都聽過著名的林納斯定律:「足夠多的眼睛,就可讓所有問題浮現。」,這是對開源**的很高肯定。但我們逐漸發現這些眼睛並不很有效,也並不完全安全。我們見到過太多已經存在了許多年甚至是超過十年的安全漏洞。 \\
現在到了開源**的解禁時期。攻擊者終於開始關注到開源**了。一旦發現了openssl\
heartbleed,另外31個cves也在同一年中被發現。對於核心開源專案,例如apache\\
struts2、openssl、bash、apache commons\\
collection等等正遭受到大規模的攻擊。攻擊者意識到攻擊這些熱門專案就可以讓更多人受到影響。我們對於開源**的過分依賴也帶來了大規模的攻擊和共同的風險。\
infoq:你可以簡單地描述一下**鏈管理:它究竟是什麼?它用在**嗎?
\\
\\\corman:這是在第二次世界大戰後曾帶領日本豐田汽車發展的edward deming提出的準則。 有三條改變汽車製造業的準則:
\\ 使用更少、更好的**商。 \\
使用這些**商最高質量的零件。 \\
在製造的過程中追蹤零部件的去向。\
當汽車發生質量問題,例如安全氣囊發生問題時,這可以保證汽車製造商僅召回受到影響的汽車。
\
infoq:可以舉例說明**鏈管理運用在軟體開發中的實踐嗎?
\\
\\\corman:在開源產品方面,上面提到的三個準則相應轉變為:
\\ 使用更少高完善的開源專案——能兼顧到其安全問題的專案(例如日誌框架)。 \\
只使用這些專案最新、最少漏洞的版本,可以避免已知的漏洞。 \\
追蹤哪個應用程式使用了什麼版本,所以當遇到攻擊的時候,你就可以壓縮確定問題的平均時間和修復的平均時間。\
infoq:這些方法如何影響到軟體產品的質量?
\\
\\\corman:在現代軟體開發中使用成熟的deming**鏈準則的優勢包括:
\\
infoq:如何將**鏈管理和devops聯絡起來?
\\
\\\在實際操作中,使用高質量的專案可以減少服務中斷,這可以避免使用到高質量專案過去已知的受影響的版本。此外,在專案中盡可能運用較少的幾個版本可以減少生產中的業務差異,提高服務質量。
\\ 我們也不能忘記,同樣的選擇能提高安全性、減少事故是由於可避免的、可選擇的風險和攻擊面。此外,當不可避免的攻擊臨近時,追蹤哪個軟體使用了什麼版本的專案可以大大加快mtti和mttr(確定問題的平均時間和修復的平均時間)。
\
\\
\\\我同樣認為檢查你的消耗質量以及應用程式安全性非常重要。這裡有幾款免費的工具可以檢驗你使用的產品的質量。我知道sonatype提供免費的應用程式安全檢查。owasp提供依賴檢測。
\\ 如果你想知道你的組織中有多少浪費,包括在開發時間和花費方面數以百萬計(規模),我和乙個從事於資料科學/資料視覺化的朋友共同開發了一款免費的互動式計算器,你也可以進行使用。當你管理執行團隊的時候,這個工具非常有用。這裡進行使用:www.sonatype.com/calculator。
\
運用供應鏈管理實現更快速 更高質量的交付
cyber statecraft initiative的總監 cyber statecraft的聯合創始人joshua corman認為 鏈管理得當可以讓持續發展百尺竿頭更進一步。在goto amsterdam 2016 大會上,他談到了有關rugged devops和軟體 鏈的問題。他提出,現在整...
運用供應鏈管理實現更快速 更高質量的交付
cyber statecraft initiative的總監 cyber statecraft的聯合創始人joshua corman認為 鏈管理得當可以讓持續發展百尺竿頭更進一步。在goto amsterdam 2016 大會上,他談到了有關rugged devops和軟體 鏈的問題。他提出,現在整...
運用供應鏈管理實現更快速 更高質量的交付
cyber statecraft initiative的總監 cyber statecraft的聯合創始人joshua corman認為 鏈管理得當可以讓持續發展百尺竿頭更進一步。在goto amsterdam 2016 大會上,他談到了有關rugged devops和軟體 鏈的問題。他提出,現在整...