GSS資安電子報 0225 期【提升 DevOps 效率：適用於任何 JVM 的 Azul Intelligence Cloud】

　　數十年來，四項工作始終讓 DevOps 團隊倍感壓力：提升軟體運行速度、降低軟體成本、保障軟體安全性，以及加快上市時間。但在工程資源有限的情況下，使用 Java 的企業必須尋找合適的方法，以加速應用程式創新，並更高效地構築整個 Java 環境中的應用程式安全性。這樣做將獲得巨大的回報（反之將耗費巨大成本），麥肯錫開發者速率指數（DVI）排名前四分之一的公司與排名後四分之一的公司相比，績效遙遙領先：

• 增長速度快 4 到 5 倍
• 創新得分高出 55%
• 股東總回報率高出 60%
• 運營利潤率保持在高出 20% 的水準

　　DevOps 生產力面臨的兩大挑戰是：由不受控制的漏洞誤報導致的警報疲勞，以及對遺留在程式碼庫中，未使用程式碼的不必要維護。由於許多大型企業混合使用多個 JDK 發行版本和 Java 版本，這種複雜組合使雲原生環境程式碼儲存庫的現代化變得更加棘手。

　　Azul Intelligence Cloud 有助於提高這些 DevOps 運營的效率，使這些針對 Java 應用程式的 DevOps 計畫得以實現，甚至成為普遍做法。

Azul Intelligence Cloud 的優勢

　　Intelligence Cloud 的設計目標在於，通過 Code Inventory 和 Vulnerability Detection 功能讓工程經理有效應對技術債和安全維護的挑戰。現在，Intelligence Cloud 帶來了一項激動人心的新進展，那就是它可適用於任何 Java 供應商的任何 JVM。無論您使用的是 Azul、Microsoft、Red Hat、IBM、Oracle、Eclipse Temurin 還是任何其他 Java 提供商的 JDK 發行版本，Intelligence Cloud 都能為您提供服務。

通過 Vulnerability Detection 消除 CVE 誤報

　　Azul Vulnerability Detection 是一項雲服務，可準確識別並優先處理生產環境中 Java 應用程式中的已知漏洞，從而消除誤報。與其他工具不同，它不會對性能造成影響。一般的安全掃描器通常會報告所有程式碼（包括存在但未被使用的程式碼）中的漏洞，而 Vulnerability Detection 則不同，它會精確定位在生產環境中實際運行的程式碼，從而有效地確定積壓任務的優先次序，重點關注正在使用的易受攻擊代碼。負責確保應用程式安全的 DevOps 團隊可以將注意力集中在真正的威脅上，無需在從未運行的程式碼上浪費時間。

　　團隊可以利用 Vulnerability Detection，根據元件是否在生產環境中載入，提高或降低 CVE 的優先順序。Intelligence Cloud 現在更進一步，解決了與未使用程式碼相關的問題：我真的需要這些程式碼嗎？

通過 Code Inventory 查找未使用代碼

　　Code Inventory 可識別公司伺服器中存在但未運行的程式碼。這是一個冗餘碼查找器。它是唯一一個能夠準確識別未使用程式碼和僵屍程式碼的解決方案，可以精准地詳細列出正在運行的自訂程式碼和協力廠商程式碼，從而幫助確定要移除的程式碼。

　　優先處理本應移除的未使用程式碼是一種低效行為，將浪費精力，阻礙敏捷性，而且非生產性程式碼的維護任務還將降低開發者生產力。

　　「通過 Code Inventory，我們識別出了大量未使用程式碼，並將其歸檔，現在，我們可以將時間花在最重要的部分。這顯著加快了我們的開發週期。」－領先金融科技交易公司的 Azul Intelligence Cloud 使用者

　　Goldman Sachs 的 DevOps 組織最近開展的一項研究強調了刪除未使用程式碼和僵屍程式碼的重要性，該研究顯示：

• 他們在最近一個專案中將儲存庫規模減少了 67%
• 他們可以將產品發佈頻率提高到每年 250 次以上
• 通過縮小儲存庫規模，並在測試中增強信心，可以節省時間，並為其他投資提供機會

　　對於許多軟體工程師來說，在過去十年的快速功能設計中，他們積累了大量自己的程式碼。這些程式碼的作者經常更換團隊，或者業務所有者選擇優先考慮功能，而非減少技術負。一些應用程式的功能交付速度已經放緩，這給軟體工程師創造了充滿壓力的工作環境。有時候，看似可以快速完成的小更改會佔用整個衝刺階段的時間，導致工程師和利益相關方感到不滿，因為雙方都希望能加快進度。

　　一家領先金融科技交易公司的 Azul Intelligence Cloud 使用者最近對我們說：「我們最近收購了另一家公司，對他們的儲存庫不熟悉。它包含數百萬行程式碼，而閱讀和理解這些程式碼需要數月時間。通過 Code Inventory，我們識別出了大量未使用程式碼，並將其歸檔，現在，我們可以將時間花在最重要的部分。這顯著加快了我們的開發週期」。

　　Code Inventory 以被動方式在應用程式中運行的程式碼建立清單，並提供説明。該清單的構建方式是記錄每個方法的首次執行。當應用程式運行時，隨著時間的推移，方法會被調用並記錄。團隊無需專門花費時間查找僵屍程式碼或未使用程式碼。該清單可以包含後續查詢，以評估哪些程式碼運行過，以及首次／上次運行的時間。從未運行過的方法存在於原始碼/位元組碼中，但不存在於程式碼清單中，因此會被認定可以棄用或移除。

　　Code Inventory 最好長期使用，執行時間越長，越能幫助團隊建立信心。通常，應用程式所有者已經意識到，有些程式碼未被使用，但希望得到驗證，確保安心。在決定是否要棄用和移除程式碼之前，可以在較短的時間（比如幾周）內進行這種初步觀察。執行週期最長的程式碼可能涉及年度報告模組，團隊應監控其執行情況。例如，購物門戶網站可能需要經歷重要的年度假期時段，才能瞭解哪些程式碼可以安全地棄用和移除。大部分可以在幾個月內確定。但總體而言，這樣做的好處是，團隊可以在不影響標準功能運作和排程的情況下，被動地建立「仍在使用的程式碼」列表，從而識別「不再使用的程式碼」。

立即試用 Azul Intelligence Cloud

　　Intelligence Cloud 可與任何供應商或發行版本（包括 Azul、Oracle、Amazon、Microsoft、RedHat 和 Temurin）的任何 JVM 配合使用，從而在企業的整個 Java 環境中大幅削減不重要的任務所耗費的時間。它使開發者能夠騰出時間，參與更重要的業務活動，並提高 DevOps 生產力。嘗試 Intelligence Cloud，以及其中包含的 Vulnerability Detection 和 Code Inventory 功能，確定它是否適合您的業務。