借助正确的软件智能工具，首席信息官可以将风险降低，同时使各个系统现代化，以便使未来的工作能取得成功。

　　软件变得越来越复杂，因此，真正实时掌握软件组合的状况变得越来越困难。从未正式说明的功能，到未知的安全漏洞，再到使用的代码库，首席信息官及其团队每天都在黑暗中做出重要决策。而且，当然无意中，这种因缺乏足够信息所做出的决策也使组织面临巨大风险。

　　随着软件复杂性和大量代码的不断增加，这种风险只会越来越大。从理性的角度来看，如今的普通汽车(不包括自动驾驶汽车)拥有超过1.5亿行代码。这比F-35战斗机或波音787的代码行数更多。

　　最近在《大西洋》杂志中一篇文章明确指出了首席信息官需要以不同方式思考软件的原因：

　　“汽车零件曾经是纯机械的。现在，这些零件经常会附带数百万行代码。虽然这些代码用于车辆制动、车道辅助和自适应巡航控制，这确实使汽车更安全，但这也带来了一种全新的复杂性。同时，这可能会带来新的故障。”

　　作为首席信息官，我们必须了解这种复杂性。不仅要提高应用程序的安全性和成本效率，还要确保各种系统的基本保障性和稳定性，因为这些系统可能会使我们的生命处于危险之中，例如医疗系统或汽车(无论是否为自动驾驶车辆)等。

　　好消息是，我们现在已经有了更好的工具，可以让我们更深入地了解软件的实际情况，以掌握其优势、劣势和需要改进的方面。这种新的软件智能工具使首席信息官能够更加主动地管理软件复杂性和保护业务运营活动。

　　在你寻找软件智能工具时，我认为首席信息官必须完全了解其软件的以下十大特性：

　　1.源代码清单

　　首先要做的事情!通过在安全的和备份的存储库中进行适当版本控制，获取所有源代码的完整清单。通常，我们还没有在这方面做功课。了解代码库和评估软件质量，这对于简化复杂性以及为系统现代化、维护和转型工作建立基准至关重要。

　　维护当前软件存储库不仅可以帮助团队管理二进制文件，简化跨平台功能，构建工具并交付打包格式，还使首席信息官能够对软件运行状况和性能进行实时分析，从而获得更有效的报告和更快的事件响应速度。

　　通过从你软件组合的基线开始，你将能够获得自己应用程序正在执行的操作、冗余信息以及这些软件如何相互协作的更多相关信息。

　　2.架构合规性

　　架构合规性是对组织实施安全措施，降低风险和保持高效的一种非常有效的衡量标准。

　　规划应用程序架构可以加快新开发人员的学习速度，并帮助架构师了解应用程序的结构，以便他们可以更快地工作，并以更少的重复工作进行更改。它还加快了系统现代化速度，因为已经建立了组件相互依赖性，并且在工作开始之前可以标记潜在的高风险区域。

　　根据我自己的经验，评估架构合规性对于理解复杂性、技术债务以及应该更关注哪些方面都非常有用。它还有助于提供IT风险评分，使架构合规性与系统的整体安全性和稳健性保持一致。

　　我个人喜欢检查系统稳定性和性能所涉及的架构的关键方面包括异常处理、数据访问性能和数据管理、输入验证、安全架构设计合规性(特别是避免使用硬编码凭证)和初始架构设计遵从性。

　　3.数据隐私和合规风险

　　首席信息官还必须能够及时查找和识别软件的特定特征，以对精确的要求做出响应，例如，证明符合“通用数据保护条例”(GDPR)合规性。在发生数据泄露或数据事件后，首席信息官经常被要求对系统安全性和可靠性提供报告。

　　围绕数据隐私的法规不断增加以及规则更严格，这也迫使首席信息官就一些问题要提供报告，诸如如何保护客户的社会安全号码，甚至是保护硬编码的IP地址等。这些请求导致人们投入大量研究工作，产生了大量的结果。

　　获得有助于你快速、全面和明确地回答此类问题的方法和工具，将会对首席信息官的认知和工作上长期取得成功产生重大影响。

　　4.开源和IP许可证风险

　　虽然曾经有人预测开源软件(OSS)的兴起可能有助于提高软件安全性和整体质量，但这并没有成为现实(至少在2019年没有)。开源软件组件的使用已经像野火一样蔓延，并且有其充分的理由。它可以帮助团队更快地启动项目，节省资金，并可利用被其他人验证过的技术。

　　例如，“数据爆炸和对数据有效使用的需求一直是推动公共部门更多采用开源的主要因素，”Hortonworks公司的Shaun Bierweiler说道。

　　但开源软件也可能使组织面临不必要和不可预测的风险。最近的数据显示，开源漏洞的数量增加了70%。许多开源组件质量很差，黑客可以利用其多个漏洞，一旦黑客找到了进入开源软件的方法，他们就可以破解使用该组件的每个IT系统。

　　为了防止出现这种情况，首席信息官必须了解其软件中的各个组件和构件，是否这些软件仍然可获得技术支持，以及软件是否具有许可授权。我们必须比以往更积极地处理开源和许可证风险，否则我们有可能成为下一个艾奎法克斯公司(Equifax)。

　　5.技术债务

　　技术债务可能是系统可维护性的重大障碍。年复一年，一个又一个版本的发布，一个又一个新功能，如果你不小心，技术债务很容易在很短时间就增加。

　　通常以“100%高度违规 + 50%中度违规 x 需要修复的违规行为 x 开发成本”来计算，向高管层表达技术债务优先级通常可有助于首席信息官获得更多的维护和系统现代化升级所需的预算。事实上，我认为使用技术债务来帮助获取维护工作所需的预算是一个重要步骤，其可确保各项工作专注于正确的方向以提高整体软件质量。

　　正如Myles F. Suer在其“具有适应性的首席信息官”(Adaptive CIO)专栏中所写，“减少技术债务需要得到越来越多的关注。这并非是浪费钱，而是用更安全、更流畅、更可定制的系统取代脆弱的整体系统。首席信息官强调说，在较低人工维护、较少的入侵次数和更方便的更换工作情况下，才有投资回报率。”

　　6.应用程序组合的合理化

　　目前有一些工具可用于分析交易模式并在多个代码集之间进行比较，从而为首席信息官提供他们所需要的数据，以便更合理化使用他们的应用程序组合。处理旧的应用程序始终是一项挑战，这些工具现在为我们提供了评估和确定工作优先级所需的数据，同时可确保我们能够真正淘汰整个应用程序，并将相关业务交易安全地转移到更合适的一套系统中。

　　其价值是什么?显然是降低成本，但更重要的是从运营角度可降低整体风险，减少事故发生，减少受攻击的范围。如今，用于做出合理化决策所用的大多数分析都是基于我们认为已使用的功能，这就在决策过程中留下空白。使用现代工具，我们可以看到实际的交易模式，以确定具有最高使用率的代码，明确哪些代码需要现代化，甚至可以舍弃一些无用代码以使应用程序更高效和更安全。

　　7.系统级分析

　　大多数首席信息官仍然缺乏对其整体系统架构、相互依赖性以及软件质量问题如何影响更广泛系统的关注度，而不仅仅是关注单个应用程序和组件。传统的代码扫描工具不能提供系统级的认识，因此会产生大量的误报和结果，而这些错误信息对于首席信息官来说有时是无用的。

　　通过了解整个系统的软件健康状况，首席信息官可以更准确地掌握软件质量以及影响安全性和性能的缺陷。系统级分析使首席信息官能够为业务伙伴提供基于事实的预期结果，并为开发人员提供更实用的指导，使他们知道应该将精力集中在何处，以及如何在上游和下游系统的数据流中规划集成测试。

　　首席信息官有多少次都未测试上游应用程序受到的影响，而认为它不会受到影响?系统级分析可以消除这种猜测，并帮助团队避免这种令人尴尬的情况。

　　现在市场上的许多系统级解决方案还增加了可视化功能，以快速明确那些预料之外的依赖关系、合规性差距和架构漏洞，并为快速补救提供明确的方向。

　　8.应用程序的云就绪状态

　　今年的公共云支出预计将达到2000亿美元，因此向云端迁移正成为首席信息官的首要任务，这毫不奇怪。但是了解云是一个首要工作，而清楚哪些应用程序应该迁移到云端，这完全是两码事。

　　这需要应用程序组合合理化--确定应用程序的内部结构—在重新构建平台之前，对每个应用程序在云环境中的性能和功能进行建模和预测。合理化工作应优先考虑业务影响、安全性、质量和技术债务等事项。

　　为了进一步完善这些措施，应逐步完成云端合理化工作的五个R，并明确每个R的主要结果，这是云端工作取得成功的重要一步。这些步骤是：

　　1.主机更换(Rehost) -- 通常选择用来降低成本，并确保快速取得工作成果。

　　2.重构(Refactor) -- 通常选择用来建立更快的交付周期和更高的效率。

　　3.重新架构(Rearchitect) -- 通常在现有应用程序与云平台不兼容时选择。

　　4.重建(Rebuild) -- 通常在现有应用程序无法支持业务需求和需要更快创新时选择。

　　5.替换(Replace) -- 通常在应用程序已过时或计划停用时选择。

　　9.应用程序安全漏洞的普遍性和重要性

　　最新研究表明，安全性是首席信息官在2019年的首要任务。安全问题使首席执行官们夜不能寐，保护关键系统的责任往往落在首席信息官身上，即使在组织中存在首席信息安全官。

　　为了保护业务工作，首席信息官应该努力减少漏洞和减少潜在的受攻击范围。这意味着通过使用可提供SAST、DAST、IAST功能的工具和利用一些工具进行更频繁的软件组合分析(SCA)，以减少技术债务，使应用程序组合合理化，并对安全违规行为进行优先级排序。在去年年底的一篇博客中，Forrester公司分析师艾米·德马汀(Amy DeMartine)说，仓促完成的功能通常会导致安全性不佳。

　　专注于安全工作所面临的一个主要挑战是对这些工具经常标记的大量违规行为进行梳理。当团队每天被数百条新通知消息狂轰滥炸时，很难集中精力来解决关键问题。为了防止这种情况，首席信息官应该寻找一些可提供系统级分析的工具--这意味着基于组件相互依赖性来获得对违规行为的全面性和架构性的认识。如果这些问题被利用，则会对公司和数据安全性带来最大的影响。

　　10.基于标准的软件健康状况认识

　　随着系统复杂性的不断增加，首席信息官必须监控其软件整体健康状况，并掌握有关潜在风险和热点的实时数据。拥有软件组合级别的健康状况认识，将有助于首席信息官更好地了解其组织是否已准备好启动数字现代化项目，是否存在基线质量问题，或其应用程序中是否存在安全漏洞等。

　　基于行业标准(如CISQ、CWE、NIST、OWASP、PCI、STIG等)进行的软件组合级别分析，将有助于基于与软件可管理性、性能和安全性相关的事实，与业务和开发团队进行更有成效的对话，并将有助于更快地开展现代化工作。

　　根据我自己的经验，使用软件健康指标来对投资和资源进行优先排序，也有助于减少冲突，并使跨职能团队保持工作一致，从而以更高的质量更快地交付产品，可在短期内产生更高效的业务成果。这些因素对首席信息官的工作成功至关重要。

　　为了在数字化未来取得成功，首席信息官必须掌握软件的一些无形特性和功能，并使普通非专业人员可以看到这些特性和功能。凭借这10个特征，首席信息官可以在其技术方面上做出更高效、更明智的决策，同时让团队和高层领导走上正确的道路。

　　责任编辑：DJ编辑