A Thoughtworks , consultoria global de tecnologia que integra estratégia, design e engenharia para impulsionar a inovação digital, lançou nesta quarta-feiora, 30, o Volume 26 do Tech Radar, um relatório semestral baseado nas observações, conversas e experiências práticas da Thoughtworks na resolução dos desafios de negócios de seus clientes. Embora o conceito de proteger a cadeia de fornecimento de software exista há alguns anos, um dos principais temas do relatório é como existem passos práticos para as empresas no caminho para garantir software altamente seguro em produção e além
Em maio de 2021, a Casa Branca dos EUA publicou sua Ordem Executiva sobre a Melhoria da Cibersegurança do País. Uma das seções aborda o aprimoramento da segurança da cadeia de fornecimento de software. Percebendo que não é mais suficiente apenas escrever um código seguro, as empresas agora estão expandindo sua compreensão dos riscos de segurança em toda a cadeia de fornecimento de software e investindo em práticas de engenharia mais responsáveis, incluindo a validação e a governança de dependências de projetos. Checklists e padrões como o Levels for Software Artifacts (SLSA) são novas entradas nesta edição do Radar, demonstrando que agora existem ferramentas pragmáticas que estão discutindo como abordar essa questão além da teoria.
“Uma convergência de eventos – sejam casos públicos de violações graves, impactantes à marca ou mandatos governamentais – aumentou a atenção que as empresas estão dando à compreensão da complexidade e amplitude do ecossistema envolvido na cadeia de fornecimento de software”, disse a Dra. Rebecca Parsons, Chieff Technology Officer da Thoughtworks. “Embora muitas organizações se concentrem em sistemas em produção, é fundamental colocar a mesma atenção no controle de ambientes de teste, sandbox e nuvem. Apesar de ser uma perspectiva assustadora, existem ferramentas e práticas de engenharia concretas para ajudar as empresas a gerenciar e automatizar a segurança da cadeia de fornecimento enquanto trabalham para manter seus sistemas altamente seguros” finaliza.
Os temas destacados incluídos no Technology Radar Vol. 26 incluem:
- Inovações na cadeia de fornecimento de software: hackers estão cada vez mais se aproveitando da natureza assimétrica do ataque e da defesa na arena de segurança — só precisam encontrar uma vulnerabilidade, enquanto os defensores devem proteger toda a superfície de ataque — ao mesmo tempo em que empregam técnicas de hacking cada vez mais sofisticadas. A segurança aprimorada da cadeia de fornecimento é uma peça crítica da resposta à medida que as empresas trabalham para manter os sistemas seguros.
- As transformações no mercado de software de código aberto: O software de código aberto melhora a agilidade dos desenvolvedores e o crowdsourcing, tanto na correção de bugs quanto na inovação. As diferentes abordagens para a comercialização e suporte a software de código aberto demonstram a imensa complexidade econômica do ecossistema atual.
- Por que as pessoas desenvolvedoras continuam implementando gerenciamento de estado no React?: Normalmente, depois que um framework fundamental se torna popular, é seguido por uma série de ferramentas que criam um ecossistema para melhorias, terminando com a consolidação em torno de algumas ferramentas populares. No entanto, o gerenciamento de estado no React parece resistente a essa tendência comum.
- A busca interminável pelo catálogo de dados mestre: O desejo de obter mais valor dos ativos de dados corporativos continua impulsionando o investimento. Um interesse renovado em catálogos de dados corporativos está levando a uma onda de novas ferramentas inteligentes com conjuntos de recursos em expansão que abordam governança, gestão da qualidade e publicação. Em contraste com essa tendência, há também um movimento crescente que se distancia da gestão centralizada e hierárquica de dados, em direção à governança e à descoberta federadas com base em uma arquitetura de malha de dados.
