2020年GOPS全球運維大會-華為下一代軟件工課件

華為下一代軟件工程的思考和探索華為下一代軟件工程的思考和探索1目錄我（們）的思考1我（們）實踐探索2

目錄我（們）的思考1我（們）實踐探索22華為的特點：多種商業(yè)模式

華為的特點：多種商業(yè)模式3華為的特點2：匹配不同的商業(yè)和交付模式，多種研發(fā)模式

華為的特點2：匹配不同的商業(yè)和交付模式，多種研發(fā)模式4我(們)的經(jīng)歷和經(jīng)驗：蟲眼，鷹眼，弄臟雙手后的思考、實踐Eagle

Eye(俯視，全局)Insect

Eye(貼近，細(xì)節(jié))開發(fā)設(shè)計、編碼、交付、維護研發(fā)變革（ALM、敏捷、DevOps…）產(chǎn)品經(jīng)理，布道，服務(wù)客戶（弄臟雙手，下地干活）研發(fā)變革（…）

我(們)的經(jīng)歷和經(jīng)驗：蟲眼，鷹眼，弄臟雙手后的思考、實踐Ea5軟件工程的回顧：“主旋律公式”的變化1950’s19681980’s19832000’s軟件危機軟件工程7個基本原理敏捷宣言DevOps2019’s關(guān)注人、技術(shù)、過程面向?qū)ο?、CMM、瀑布、《人月神話》敏捷萌芽 需求工程…敏捷，精益DevOps，CICDIaaC，微服務(wù)

嘗試解決軟件開發(fā)的效率/速度問題Stability

+

Reliability

Velocity

+

Reliability嘗試解決軟件開發(fā)

質(zhì)量、可控、有序問題Chaos

+

Delay

Stability

+

Reliability解決軟件開發(fā)的??？問題Velocity

+

Reliability

???AIOpsDevSecOps

Clean

Code……

Built-In

X借鑒硬件制造，管理偏差回歸軟件本質(zhì)，響應(yīng)市場軟件工程的回顧：“主旋律公式”的變化1950’s1968196當(dāng)下已經(jīng)在發(fā)生什么？From

Rafael

Benevides

RED

HAT

DEVELOPERs

當(dāng)下已經(jīng)在發(fā)生什么？FromRafaelBenevide7未來將發(fā)生什么？從消費互聯(lián)網(wǎng)到產(chǎn)業(yè)互聯(lián)網(wǎng)，最終實現(xiàn)萬物互聯(lián)

未來將發(fā)生什么？從消費互聯(lián)網(wǎng)到產(chǎn)業(yè)互聯(lián)網(wǎng)，最終實現(xiàn)萬物互聯(lián)8下一代軟件工程要嘗試解決的問題：萬物互聯(lián)下的可信賴可信軟件是指能按照預(yù)期（需求）運行的軟件，并且不會在環(huán)境改變時帶來重大安全和隱私風(fēng)險。10th

edition

下一代軟件工程要嘗試解決的問題：萬物互聯(lián)下的可信賴可信軟件是9我們發(fā)現(xiàn)，客戶/業(yè)界對于可信、安全的訴求在變化

業(yè)界乃至客戶，不僅僅要求結(jié)果可信（運行時可信），還要求軟件開發(fā)過程的可信（開發(fā)時可信）企業(yè)客戶選擇云供應(yīng)商，排在首要位置的是：安全基礎(chǔ)設(shè)施安全（數(shù)據(jù)、網(wǎng)絡(luò)）服務(wù)安全（權(quán)限控制，防攻擊、防侵入）運營運維安全（安全事件的響應(yīng)，漏洞管理，開源、第三方安全管理）云廠商越來越強調(diào)安全左移，Build-In

Sec

inDevOps強調(diào)自動化，可監(jiān)控，封閉防篡改，可重復(fù)安全運營團隊參與代碼級的測試驗證我們發(fā)現(xiàn)，客戶/業(yè)界對于可信、安全的訴求在變化業(yè)界乃至客戶10下一代軟件工程的思考：Velocity

+

TrustworthinessVelocity

+

Reliability

Velocity

+

Trustworthiness

下一代軟件工程的思考：Velocity+Trustwor11目錄我（們）的思考1我（們）實踐探索2

目錄我（們）的思考1我（們）實踐探索212如何開展：Be

Trustworthy

and

Do

Trustworthy土壤和氛圍基礎(chǔ)能力、標(biāo)準(zhǔn)、認(rèn)證軟件工程組織支持可信的軟件文化（鼓勵Clean

Code）…MindsetValues…PrinciplesPractices可信工具鏈（Builtin

Security，自動化，可度量）ISO/IEC

、BSI、NIST、DevSecOps …BeingDoing…Scenario

Scenario如何開展：BeTrustworthyandDoTru13最現(xiàn)實的問題，開源組件的可信開源組件增長迅速，主流開發(fā)語言開源組件數(shù)量已達(dá)200萬+，其中nodejs組件排名第一（約70萬），java組件第二（約30萬），

PHP組件第三（約20萬）持續(xù)發(fā)展上。Synopsy發(fā)布的《2018

年開源代碼安全和風(fēng)險分析》（OSSRA）報告指出96%被掃描的應(yīng)用中存在開源組件，每個應(yīng)用中平均有257個開源組件開源組件使用上的安全、優(yōu)選、合規(guī)已經(jīng)是愈演愈烈的軟件企業(yè)集體痛點和剛需，美國NIST每年披露的開源組件漏洞持續(xù)增加，其中2018年披露了4142個高危險漏洞，10121個中等危險漏洞（CVSS等級）。在sonatype過去兩年研究的多個攻擊案例中，表明針對開源生態(tài)系統(tǒng)的供應(yīng)鏈攻擊嚴(yán)重升級，攻擊者將漏洞直接注入開源組件項目并故意危害下游的數(shù)百萬應(yīng)用開發(fā)者

各語言開源組件生態(tài)發(fā)展迅速現(xiàn)代軟件開發(fā)已離不開開源開源組件的漏洞問題日益迫切最現(xiàn)實的問題，開源組件的可信開源組件增長迅速，主流開發(fā)語言開14一個案例背景：2017年5月中旬至7月，美國三大信用評估機構(gòu)之一的EquIfax遭遇到黑客攻擊，導(dǎo)致其系統(tǒng)中大量用戶的姓名、社會安保號、生日和地址等私人信息泄露，數(shù)據(jù)泄漏規(guī)?？赡苌婕暗?.43億美國人，將近一半的美國人會暴露在個人重要私密信息泄漏的風(fēng)險中（美國目前的總?cè)丝诩s為3.23億人）。

問題原因：網(wǎng)絡(luò)犯罪分子利用開源組件Apache

Struts的公開漏洞（CVE-2017-5638）獲取文件。該漏洞在

2017年3

月份披露，漏洞評分為最高分

10

分，Apache隨后發(fā)布

Struts

2.3.32

和

版本進行修復(fù)。但Equifax

在漏洞出現(xiàn)的兩個月內(nèi)都沒有修復(fù)，導(dǎo)致

5

月份黑客利用這個漏洞進行攻擊，泄露其敏感數(shù)據(jù)。影響：Equifax的股價下跌超30%，市值縮水約

53

億美金CEO、首席信息官和首席安全官離職/退休一個案例背景：2017年5月中旬至7月，美國三大信用評估機構(gòu)15我們的一個針對性實踐：探索可信的鏡像倉管理，并對外孵化內(nèi)部用戶高速外部用戶可信

我們的一個針對性實踐：探索可信的鏡像倉管理，并對外孵化內(nèi)部用16To

be

continued…

加法？Or沖突？TrustworthinessVelocityTobecontinued…加法？Or17謝謝

謝謝18華為下一代軟件工程的思考和探索華為下一代軟件工程的思考和探索19目錄我（們）的思考1我（們）實踐探索2

目錄我（們）的思考1我（們）實踐探索220華為的特點：多種商業(yè)模式

華為的特點：多種商業(yè)模式21華為的特點2：匹配不同的商業(yè)和交付模式，多種研發(fā)模式

華為的特點2：匹配不同的商業(yè)和交付模式，多種研發(fā)模式22我(們)的經(jīng)歷和經(jīng)驗：蟲眼，鷹眼，弄臟雙手后的思考、實踐Eagle

Eye(俯視，全局)Insect

Eye(貼近，細(xì)節(jié))開發(fā)設(shè)計、編碼、交付、維護研發(fā)變革（ALM、敏捷、DevOps…）產(chǎn)品經(jīng)理，布道，服務(wù)客戶（弄臟雙手，下地干活）研發(fā)變革（…）

我(們)的經(jīng)歷和經(jīng)驗：蟲眼，鷹眼，弄臟雙手后的思考、實踐Ea23軟件工程的回顧：“主旋律公式”的變化1950’s19681980’s19832000’s軟件危機軟件工程7個基本原理敏捷宣言DevOps2019’s關(guān)注人、技術(shù)、過程面向?qū)ο?、CMM、瀑布、《人月神話》敏捷萌芽 需求工程…敏捷，精益DevOps，CICDIaaC，微服務(wù)

嘗試解決軟件開發(fā)的效率/速度問題Stability

+

Reliability

Velocity

+

Reliability嘗試解決軟件開發(fā)

質(zhì)量、可控、有序問題Chaos

+

Delay

Stability

+

Reliability解決軟件開發(fā)的??？問題Velocity

+

Reliability

???AIOpsDevSecOps

Clean

Code……

Built-In

X借鑒硬件制造，管理偏差回歸軟件本質(zhì)，響應(yīng)市場軟件工程的回顧：“主旋律公式”的變化1950’s19681924當(dāng)下已經(jīng)在發(fā)生什么？From

Rafael

Benevides

RED

HAT

DEVELOPERs

當(dāng)下已經(jīng)在發(fā)生什么？FromRafaelBenevide25未來將發(fā)生什么？從消費互聯(lián)網(wǎng)到產(chǎn)業(yè)互聯(lián)網(wǎng)，最終實現(xiàn)萬物互聯(lián)

未來將發(fā)生什么？從消費互聯(lián)網(wǎng)到產(chǎn)業(yè)互聯(lián)網(wǎng)，最終實現(xiàn)萬物互聯(lián)26下一代軟件工程要嘗試解決的問題：萬物互聯(lián)下的可信賴可信軟件是指能按照預(yù)期（需求）運行的軟件，并且不會在環(huán)境改變時帶來重大安全和隱私風(fēng)險。10th

edition

下一代軟件工程要嘗試解決的問題：萬物互聯(lián)下的可信賴可信軟件是27我們發(fā)現(xiàn)，客戶/業(yè)界對于可信、安全的訴求在變化

業(yè)界乃至客戶，不僅僅要求結(jié)果可信（運行時可信），還要求軟件開發(fā)過程的可信（開發(fā)時可信）企業(yè)客戶選擇云供應(yīng)商，排在首要位置的是：安全基礎(chǔ)設(shè)施安全（數(shù)據(jù)、網(wǎng)絡(luò)）服務(wù)安全（權(quán)限控制，防攻擊、防侵入）運營運維安全（安全事件的響應(yīng)，漏洞管理，開源、第三方安全管理）云廠商越來越強調(diào)安全左移，Build-In

Sec

inDevOps強調(diào)自動化，可監(jiān)控，封閉防篡改，可重復(fù)安全運營團隊參與代碼級的測試驗證我們發(fā)現(xiàn)，客戶/業(yè)界對于可信、安全的訴求在變化業(yè)界乃至客戶28下一代軟件工程的思考：Velocity

+

TrustworthinessVelocity

+

Reliability

Velocity

+

Trustworthiness

下一代軟件工程的思考：Velocity+Trustwor29目錄我（們）的思考1我（們）實踐探索2

目錄我（們）的思考1我（們）實踐探索230如何開展：Be

Trustworthy

and

Do

Trustworthy土壤和氛圍基礎(chǔ)能力、標(biāo)準(zhǔn)、認(rèn)證軟件工程組織支持可信的軟件文化（鼓勵Clean

Code）…MindsetValues…PrinciplesPractices可信工具鏈（Builtin

Security，自動化，可度量）ISO/IEC

、BSI、NIST、DevSecOps …BeingDoing…Scenario

Scenario如何開展：BeTrustworthyandDoTru31最現(xiàn)實的問題，開源組件的可信開源組件增長迅速，主流開發(fā)語言開源組件數(shù)量已達(dá)200萬+，其中nodejs組件排名第一（約70萬），java組件第二（約30萬），

PHP組件第三（約20萬）持續(xù)發(fā)展上。Synopsy發(fā)布的《2018

年開源代碼安全和風(fēng)險分析》（OSSRA）報告指出96%被掃描的應(yīng)用中存在開源組件，每個應(yīng)用中平均有257個開源組件開源組件使用上的安全、優(yōu)選、合規(guī)已經(jīng)是愈演愈烈的軟件企業(yè)集體痛點和剛需，美國NIST每年披露的開源組件漏洞持續(xù)增加，其中2018年披露了4142個高危險漏洞，10121個中等危險漏洞（CVSS等級）。在sonatype過去兩年研究的多個攻擊案例中，表明針對開源生態(tài)系統(tǒng)的供應(yīng)鏈攻擊嚴(yán)重升級，攻擊者將漏洞直接注入開源組件項目并故意危害下游的數(shù)百萬應(yīng)用開發(fā)者

各語言開源組件生態(tài)發(fā)展迅速現(xiàn)代軟件開發(fā)已離不開開源開源組件的漏洞問題日益迫切最現(xiàn)實的問題，開源組件的可信開源組件增長迅速，主流開發(fā)語言開32一個案例背景：2017年5月中旬至7月，美國三大信用評估機構(gòu)之一的EquIfax遭