Blog

A Internet das Coisas (IoT) tornou-se cada vez mais prevalente em uma variedade de setores. Além disso, com o número crescente de dispositivos conectados e a quantidade de informações confidenciais transmitidas, a segurança da IoT tornou-se uma das principais preocupações. À medida que a população global continua a aumentar, a procura de energia aumentou para níveis sem precedentes. Em resposta a este desafio premente, as fontes de energia renováveis ​​ganharam imensa importância, aproveitando o poder da tecnologia IoT para impulsionar esta transição transformadora. Moinhos eólicos, instalações hidroelétricas e sistemas fotovoltaicos (PV) emergiram como catalisadores vitais, permitindo a geração e utilização eficiente de energia limpa e sustentável. O AWS IoT oferece um meio seguro e criptografado de conexão de dispositivos e sistemas, garantindo a integridade e a segurança dos dados transmitidos.

Visão geral da solução

Na arquitetura proposta, um sistema de energia renovável é integrado a um dispositivo certificado AWS IoT que utiliza a interface Modbus. Este dispositivo executa o AWS IoT Greengrass e oferece conectividade perfeita. O dispositivo se comunica com o AWS IoT Core por meio dos protocolos MQTT e HTTPS . Os dados são então transmitidos por meio do Amazon Kinesis Data Firehose para entrega eficiente e armazenados no Amazon Simple Storage Service . Para visualizar os dados e obter insights, o Amazon QuickSight é utilizado para criar painéis interativos e visualmente atraentes. O monitoramento e alertas em tempo real podem então ser implementados usandoAWS IoT Device Management , Amazon CloudWatch ou Amazon Simple Notification Service. Além disso, os dados podem ser aproveitados para aplicações de IA/ML para permitir análises avançadas e recursos preditivos.

Figura 1: Solução certificada de Energia Renovável – Power AWS IoT

Segurança na nuvem com AWS IoT

O setor das energias renováveis ​​enfrenta vários desafios no que diz respeito à segurança da IoT. Alguns dos principais desafios e suas soluções AWS IoT correspondentes incluem:

1. Segurança dos dispositivos: Os dispositivos IoT utilizados em sistemas de energia renovável podem ter vulnerabilidades que podem ser exploradas por agentes mal-intencionados. Essas vulnerabilidades podem resultar de firmware inseguro, falta de patches de segurança ou mecanismos de autenticação fracos. Melhorar a segurança destes dispositivos é crucial para evitar acessos não autorizados ou adulterações. O AWS IoT oferece serviços de segurança de dispositivos que permitem integração segura de dispositivos , gerenciamento de certificados e controle de acesso baseado em políticas . Ele fornece mecanismos de autenticação robustos , atualizações seguras Over-the-air (OTA) e serviços de gerenciamento de vulnerabilidades, como o AWS IoT Device Defender , para solucionar vulnerabilidades de dispositivos.

2. Interoperabilidade: Os sistemas de energias renováveis ​​consistem frequentemente numa combinação de dispositivos legados e modernos de diferentes fabricantes. Implementar integração e interoperabilidade perfeitas entre esses dispositivos e, ao mesmo tempo, manter a segurança pode ser um desafio. Os dispositivos legados podem não ter recursos de segurança robustos, o que os torna potenciais pontos fracos no sistema. O AWS IoT facilita a integração e a interoperabilidade perfeitas entre dispositivos de diferentes fabricantes por meio de protocolos e APIs padronizados. O AWS IoT Core e o AWS IoT Greengrass fornecem protocolos MQTT , HTTPs e Modbus para comunicação segura, garantindo compatibilidade entre dispositivos legados e modernos, mantendo a segurança.

3. Segurança de dados : Os sistemas IoT geram grandes quantidades de dados, incluindo informações confidenciais sobre produção de energia, consumo e comportamento do usuário. Proteger a privacidade e a confidencialidade desses dados é fundamental. As organizações devem implementar mecanismos seguros de transmissão, armazenamento e controle de acesso de dados para proteger contra acesso não autorizado ou violações de dados. O AWS IoT fornece segurança de dados completa por meio de criptografia, protocolos seguros de transmissão de dados (como TLS) e mecanismos de controle de acesso.

4. Segurança de acesso remoto: Muitos sistemas de energias renováveis ​​são monitorizados e geridos remotamente, o que introduz riscos de segurança adicionais. O acesso remoto aos sistemas de controlo e plataformas de monitorização deve ser devidamente protegido para evitar acesso não autorizado ou adulteração. A implementação de protocolos de acesso remoto seguros e autenticação multifatorial pode ajudar a mitigar esses riscos. O AWS IoT oferece acesso remoto seguro a sistemas IoT por meio do uso do AWS Identity and Access Management (IAM) , AWS IoT Core e túnel seguro do AWS IoT .

5. Melhores práticas de segurança padronizadas . A natureza em rápida evolução da tecnologia IoT resultou na falta de práticas e regulamentações de segurança padronizadas. Isto representa um desafio para as organizações implementarem medidas de segurança consistentes e robustas em todos os seus sistemas de energia renovável. O desenvolvimento de padrões de segurança para todo o setor e o cumprimento das regulamentações relevantes são essenciais para melhorar a segurança da IoT. O AWS IoT segue as práticas recomendadas do setor em termos de segurança e conformidade . Ele fornece diretrizes, estruturas e documentação para ajudar as organizações a implementar medidas de segurança robustas em suas implantações de IoT.

6. Gerenciamento de dispositivos : os dispositivos IoT em sistemas de energia renovável exigem atualizações de manutenção frequentes durante todo o seu ciclo de vida. Manter os dispositivos atualizados com patches e atualizações de segurança pode ser um desafio para implementar em implantações em grande escala. As organizações devem estabelecer processos eficientes para gerenciar atualizações de dispositivos e patches de segurança para reduzir vulnerabilidades. O AWS IoT fornece serviços de gerenciamento de dispositivos que simplificam o processo de atualização e gerenciamento de dispositivos em grande escala. O AWS IoT Device Management oferece AWS IoT Jobs , que permite que as organizações implantem com eficiência patches de segurança e atualizações de firmware em seus dispositivos IoT.

Ao aproveitar os recursos e serviços de segurança abrangentes fornecidos pela AWS, as organizações podem fortalecer sua postura de segurança e mitigar os riscos associados a vulnerabilidades de firmware e sistema operacional, interoperabilidade, privacidade de dados, acesso remoto e gerenciamento de dispositivos.

Artigo originalmente publicado por Blog AWS

DNX Brasil – Soluções cloud-native

Ao longo de nossos projetos apoiando organizações diversas em suas jornadas de sucesso para a nuvem, identificamos como a falta de mecanismos de gerenciamento de custos pode afetar a velocidade dos projetos, podendo atrasar ou até parar uma migração. Essa desaceleração prejudica o retorno de investimento (ROI) uma vez que se faz necessário manter dois ambientes simultaneamente por um período mais longo que o previsto. Para evitar que isso aconteça, o projeto de migração deve incorporar os princípios de Gerenciamento Financeiro em Nuvem (CFM do inglês Cloud Financial Management) durante a jornada de migração. Este artigo fornecerá três melhores práticas que observamos que empresas bem-sucedidas adotam ao executar uma iniciativa de migração e modernização em grande escala.

Começando com sua migração

Existem vários motivadores de negócios para as empresas migrarem cargas de trabalho para a AWS. Reduzir os custos ao pagar apenas pelo que utiliza é uma justificativa popular, assim como a melhoria na agilidade do negócio e na produtividade da equipe, uma vez que a migração permite a adoção de novas tecnologias e novos modelos de trabalho. Outros exemplos são a velocidade de lançamento de novas funcionalidades, a oportunidade de modernizar as aplicações corporativas, e a facilidade de expansão para novas regiões.

Na AWS, dividimos a jornada de migração e modernização em três fases:

1. Avaliação. É aqui que sua empresa construirá o argumento para a mudança. A fase de avaliação é onde a prontidão atual de sua organização para operar na nuvem é avaliada por meio da análise dos seis pilares do AWS Cloud Adoption Framework (CAF): negócios, processos, pessoas, plataforma, operações e segurança. As organizações devem ser capazes de identificar os resultados comerciais desejados e desenvolver um caso comercial de migração durante essa fase.
2. Mobilização. É aqui que sua empresa irá mapear os benefícios que serão ganhos com a migração. Como parte dessa fase, sua empresa criará um plano de migração e refinará o caso comercial inicial. Também abordará as lacunas na prontidão da organização que foram descobertas na fase de avaliação, com foco na criação de um ambiente básico (Landing Zone), na promoção da prontidão operacional e no desenvolvimento de habilidades em nuvem.
3. Migração e modernização. É aqui que sua empresa acelerará a transformação em grande escala. Durante essa fase, cada aplicação é projetada, migrada e validada. Para muitas aplicações, a melhor abordagem é migrar rapidamente para a nuvem e depois rearquitetar na AWS. Você pode usar o AWS Application Migration Service (MGN)para transferir rapidamente (re-hospedar) um grande número de servidores da infraestrutura física, virtual ou de nuvem para a AWS.

Os problemas mais comuns que observamos durante as migrações que resultam em aumento de custos são: patrocínio executivo ausente ou ineficaz do lado dos clientes, falta de métricas de sucesso da migração e, finalmente, indefinição dos responsáveis pelo gerenciamento de custos da nuvem.

Como começar a gerenciar custos durante migrações de grande escala

1. Definir métricas de migração | Fase de avaliação

Definir métricas de sucesso dá à sua empresa uma maior capacidade de controlar os custos à medida que a migração progride. Também permite que sua organização discuta essas métricas entre diferentes equipes e perspectivas, resultando em objetivos mais alinhados. Alguns exemplos de métricas de sucesso incluem:

• Custo e produtividade—porcentagem de gastos com infraestrutura de TI da receita anual, custo por usuário/transações, número de VMs/TBs gerenciadas por administrador
• Desempenho geral—porcentagem dos programas que alcançam o ROI estimado, número de horas para preparar recursos de TI, satisfação média de clientes/funcionários
• Resiliência e segurança—porcentagem de disponibilidade crítica de aplicações, número de horas de inatividade não planejada, tempo médio de detecção e resolução
• Agilidade nos negócios— Tempo médio de lançamento no mercado, número de lançamentos de produção sem problemas, número médio de novas implantações

Como definir métricas de sucesso?

1. Quais métricas sua organização acompanha atualmente? Essa é uma pergunta essencial a ser respondida se sua organização quiser comparar custo e desempenho antes e depois da migração.
2. Quais pilares de valor são mais relevantes para sua empresa? O AWS Cloud Value Framework (CVF)recomenda quatro áreas: redução de custos, produtividade da equipe, resiliência operacional e agilidade nos negócios.
3. Quem são os patrocinadores executivos? Identifique os líderes que serão mais afetados com essa migração. Se ocorrerem imprevistos, identifique quem garantirá recursos e financiamento para manter o projeto em andamento.
4. Qual é o esforço e o custo necessários para monitorar essas métricas? Avalie as opções de ferramentas e os formatos de visualização. Defina a granularidade e a frequência desejadas para análise dessas métricas.

2. Melhore a visibilidade e a previsibilidade dos custos de migração | Fase de mobilização

Uma migração de larga escala é composta por diversas etapas e uma importante é a criação de um ambiente de gerenciamento de custos. O AWS Migration Acceleration Program (MAP) oferece financiamento para clientes que estão migrando para a AWS e exige que eles identifiquem suas cargas de trabalho adequadamente. Essa é uma boa oportunidade para também definir uma estratégia mais ampla de alocação de custos e monitorar como as equipes estão migrando suas aplicações.

Trabalhe com as equipes financeiras para transformar o caso de negócios de migração em um plano de orçamento de migração aproveitando o AWS Budgets; recomendamos documentar as suposições e atualizá-las ao longo da jornada. Certifique-se de que esses números estejam visíveis em toda a sua empresa criando painéis personalizados (por exemplo, Cloud Intelligence KPI Dashboard), especialmente entre líderes de equipe e patrocinadores executivos. Quando as primeiras ondas de migração começarem, documente as variações de custo e experimente criar uma previsão baseada nos motivadores usando as ondas de migração restantes. Alguns clientes acham útil classificar as aplicações com base no seu tamanho, por exemplo, pequenas, médias e grandes para facilitar a operacionalização do processo de previsão de custos na nuvem. Também recomendamos ativar o AWS Cost Anomaly Detection para evitar surpresas de custo e aprimorar o controle sem atrasar sua migração.

3. Otimize mais cedo para maximizar o ROI e economizar tempo | Fase de migração e modernização

As migrações são um ótimo exercício para avaliar o quão bem sua empresa está utilizando seus recursos. Durante o caso comercial de descoberta e migração de aplicações (fase de avaliação), sua organização compilou informações críticas sobre a utilização da CPU e da memória de várias aplicações durante um período de tempo definido — recomendamos pelo menos 2 semanas de dados para capturar picos e baixas de desempenho.

Certifique-se de que sua empresa esteja aproveitando esses dados para dimensionar corretamente os recursos na nuvem desde o começo. Para computação, recomendamos explorar as instâncias Graviton e Burstable para maximizar a economia e o desempenho. Para armazenamento, verifique se a classe de armazenamento mais recente para EBS (GP3) está sendo utilizada, pois ela fornece uma melhor relação custo/desempenho, e implemente políticas de ciclo de vida de armazenamento em seus buckets do S3.

Para aproveitar ao máximo os benefícios da AWS, sua organização precisará modernizar suas aplicações. Considere as opções de banco de dados gerenciados pela AWS, como RDS, Aurora, Redshift e DynamoDB, e maximize seu retorno. Se for muito complexo ou houver restrições de tempo, migre como está (lift-and-shift) primeiro, mas defina um caminho claro com a empresa para se modernizar depois. Programas como o AWS Database Freedom podem ajudar sua empresa durante esse exercício fornecendo consultoria técnica, suporte à migração e assistência financeira.

Depois que as cargas de trabalho forem migradas e os testes de desempenho concluídos, comunique-se com o responsável pelas finanças da nuvem da sua empresa para adquirir Savings Plans ou Instâncias Reservadas para pagar menos por cargas de trabalho sempre ativas.

Os problemas de segurança da cadeia de fornecimento de software  estão afetando fortemente todo o ecossistema OSS; não passa um dia sem que um incidente de segurança  aconteça, afetando usuários e empresas desatentos com software construído com os padrões modernos de  ultracombinabilidade  feitos de um denso número de dependências externas em múltiplas camadas.

De acordo com a pesquisa realizada pela Sonatype em seu relatório anual  State of Software Supply Chain , os ataques à cadeia de suprimentos têm um aumento médio de  742% ao ano.

Existem várias razões por trás disso, como a maior demanda do mercado por software em todos os setores e o tremendo crescimento do modelo de código aberto; estima-se que 90%  das empresas utilizam código aberto.

Outro aspecto que sustenta esta situação é a descoberta e a evolução de ataques cibernéticos especificamente concebidos para anexar a cadeia de abastecimento, como a Confusão de Dependência, o Typosquatting e o seu Primo-Brandjacking, as Injecções de Código Malicioso e o Protestware.

De acordo com  dados da indústria , o número médio de dependências transitivas (indiretas) para um projeto JavaScript no GitHub é  683.

As dependências continuam sendo um dos mecanismos preferidos para criar e distribuir pacotes maliciosos, e ainda é relativamente fácil forjá-los.

Em fevereiro de 2022, o GitHub  introduziu a autenticação obrigatória de dois fatores para os 100 principais mantenedores de npm  e  o PyPA está trabalhando para reduzir a dependência de setup.py , que é um elemento-chave para como esses ataques podem ser lançados ao mesmo tempo em que promovem  a adoção de 2FA usando um painel público  ( Fonte:  https://www.sonatype.com/state-of-the-software-supply-chain/open-source-supply-demand-security )

Para ver os números em ação, testaremos duas das linguagens mais utilizadas em 2022, que são Javascript e Python, e por fim um projeto baseado em Microsserviços composto por diversas linguagens.

JavaScript 

Indo inicializar uma  base de código Javascript NextJS simples   usando as configurações padrão fornecidas:

❯ npx create-next-app@latest
✔ What is your project named? … supply-chain
✔ Would you like to use TypeScript with this project? … No / Yes
✔ Would you like to use ESLint with this project? … No / Yes
✔ Would you like to use Tailwind CSS with this project? … No / Yes
✔ Would you like to use `src/` directory with this project? … No / Yes
✔ Use App Router (recommended)? … No / Yes
✔ Would you like to customize the default import alias? … No / Yes
Creating a new Next.js app in /Users/paolomainardi/temp/supply-chain.

Using npm.

Initializing project with template: app-tw

Installing dependencies:
- react
- react-dom
- next
- typescript
- @types/react
- @types/node
- @types/react-dom
- tailwindcss
- postcss
- autoprefixer
- eslint
- eslint-config-next

added 344 packages, and audited 345 packages in 4s

127 packages are looking for funding
  run `npm fund` for details

5 moderate severity vulnerabilities

To address all issues, run:
  npm audit fix

Run `npm audit` for details.
Initialized a git repository.

Success! Created supply-chain at /dev/supply-chain

Uma coisa a observar é que um aplicativo recém-instalado já possui  5 vulnerabilidades de gravidade moderada . Essa forma de entregar mensagens é arriscada porque inadvertidamente ensina nosso cérebro a ignorá-las, sejam elas úteis ou não. Na próxima vez que um aviso como esse aparecer, ele poderá passar despercebido. Deveríamos melhorar a forma como apresentamos estas mensagens.

Vamos agora contar as dependências:

❯ tree -d supply-chain/node_modules -L 1 | tail -n 1
298 directories

Para imprimir um Hello World com NextJS, precisamos trazer  298 dependências  com  5 vulnerabilidades conhecidas .

Empacotamos o aplicativo em um contêiner OCI, conforme  explicado aqui no documento oficial :

❯ curl -Lo Dockerfile https://raw.githubusercontent.com/vercel/next.js/canary/examples/with-docker/Dockerfile

❯ # Edit this file according to the documentation to produce a standalone build.
// next.config.js
module.exports = {
  // ... rest of the configuration.
  output: 'standalone',
}

❯ docker build -t supply-chain-next-docker .
[+] Building 33.0s (19/19) FINISHED
=> => naming to docker.io/library/supply-chain-next-docker                                  0.0s

❯ syft supply-chain-next-docker > deps
 ✔ Loaded image
 ✔ Parsed image
 ✔ Cataloged packages      [282 packages]

❯ grep apk deps | wc -l
17

❯ grep npm deps | wc -l
249

# Scan for known vulnerabilities.
❯ grype supply-chain-next-docker
 ✔ Loaded image
 ✔ Parsed image
 ✔ Cataloged packages      [282 packages]
 ✔ Scanning image...       [1 vulnerabilities]
   ├── 0 critical, 0 high, 1 medium, 0 low, 0 negligible
   └── 1 fixed
NAME    INSTALLED  FIXED-IN  TYPE  VULNERABILITY        SEVERITY
semver  7.3.8      7.5.2     npm   GHSA-c2qf-rxjj-qqgw  Medium

Nesse caso, a compilação produzida pelo  NextJS  é um pouco menor em termos de pacotes ( por causa do modo autônomo ), e a imagem base Alpine adiciona apenas 17 pacotes no momento sem nenhuma vulnerabilidade conhecida.

Esta é uma imagem pronta para ser enviada em produção, e conta com  282 pacotes (NPM + Alpine)  sem nenhuma modificação feita por nós; é apenas a estrutura básica.

Os grandes tamanhos de pacotes no NodeJS se devem principalmente à biblioteca padrão JavaScript relativamente pequena e à filosofia inspirada no Unix por trás do NodeJS, conforme explicado nesta  postagem do blog .

A filosofia mencionada às vezes pode levar a distorções, como no caso de pacotes como “left-pad” se tornarem parte de muitos pacotes (mesmo como uma dependência transitiva). Isso quase causou  o colapso da internet  quando o autor decidiu removê-lo devido a uma disputa de nome. Você pode ler mais sobre isso aqui.

Acho que este evento também inspirou este famoso   meme do xkcd :

Pitão 

É a segunda linguagem mais usada e de crescimento mais rápido, com mais de 22% ano após ano (fonte:  https://github.blog/2023-03-02-why-python-keeps-growing-explained/ ).

Para comparar com Javascript, usarei Django como caso de teste.

❯ cat app/requirements.txt
Django==4.2.2

❯ cat app/Dockerfile
FROM python:3.10-alpine
EXPOSE 8000
WORKDIR /app
COPY requirements.txt /app
RUN pip3 install -r requirements.txt --no-cache-dir
COPY . /app
ENTRYPOINT ["python3"]
CMD ["manage.py", "runserver", "0.0.0.0:8000"]

❯ syft django-web
 ✔ Loaded image
 ✔ Parsed image
 ✔ Cataloged packages      [46 packages]

❯ grep apk deps | wc -l
 38
❯ grep python deps | wc -l
 8
❯ grep binary deps | wc -l
 2

# Scan for known vulnerabilities.
❯ grype django-web
 ✔ Vulnerability DB        [no update available]
 ✔ Loaded image
 ✔ Parsed image
 ✔ Cataloged packages      [46 packages]
 ✔ Scanning image...       [2 vulnerabilities]
   ├── 0 critical, 1 high, 1 medium, 0 low, 0 negligible
   └── 0 fixed

NAME    INSTALLED  FIXED-IN  TYPE    VULNERABILITY   SEVERITY
pip     23.1.2               python  CVE-2018-20225  High
python  3.11.4               binary  CVE-2007-4559   Medium

A situação aqui é melhor; Django tem apenas 8 dependências (pelo menos as descobertas por  Syft ).

Como Python é a melhor linguagem para IA, eu queria tentar adicionar  PyTorch  como uma dependência do projeto:

❯ cat app/requirements.txt
Django==4.2.2
--extra-index-url https://download.pytorch.org/whl/cpu
torch
torchvision
torchaudio

# We need a glibc base image to install pytorch.
❯ cat app/Dockerfile
FROM python:3.11.4
...

❯ grep binary deps | wc -l
 2
❯ grep python deps | wc -l
 35
❯ grep deb deps | wc -l
 429

❯ grype django-web
 ✔ Vulnerability DB        [no update available]
 ✔ Loaded image
 ✔ Parsed image
 ✔ Cataloged packages      [455 packages]
 ✔ Scanning image...       [678 vulnerabilities]
   ├── 1 critical, 41 high, 111 medium, 30 low, 464 negligible (31 unknown)
   └── 3 fixed

Mesmo com o PyTorch e suas dependências, o número de pacotes Python é relativamente pequeno, apenas 35; o que é muito maior agora é o número de pacotes transportados da imagem base do Debian (necessários para usar PyTorch em vez de Alpine), para ser mais preciso, 429  pacotes  com um  número absurdo de vulnerabilidades conhecidas , mesmo que esta imagem seja o  Python estável mais recente Versão 3.11 .

Arquitetura e dependências de microsserviços 

Para este teste, usarei um projeto muito interessante do GCP:  Online Boutique é um aplicativo de demonstração de microsserviços  que  prioriza a nuvem e tem como objetivo principal demonstrar o uso de tecnologias como Kubernetes, GKE, Istio, Stackdriver e gRPC e é composto por 11 microsserviços  em  5 linguagens diferentes  : Go, Node.js, Python, Java, C#

• Outra suposição importante a ser feita aqui é que este projeto devido à sua natureza é mais otimizado nas partes da nuvem do que nos aspectos de desenvolvimento, como dependências

# Calculate packages and vulnerabilities for each microservice.

DOCKER_IMAGES="gcr.io/google-samples/microservices-demo/emailservice:v0.8.0,
gcr.io/google-samples/microservices-demo/checkoutservice:v0.8.0,
gcr.io/google-samples/microservices-demo/recommendationservice:v0.8.0,
gcr.io/google-samples/microservices-demo/frontend:v0.8.0,
gcr.io/google-samples/microservices-demo/paymentservice:v0.8.0,
gcr.io/google-samples/microservices-demo/productcatalogservice:v0.8.0,
gcr.io/google-samples/microservices-demo/cartservice:v0.8.0,
gcr.io/google-samples/microservices-demo/loadgenerator:v0.8.0,
gcr.io/google-samples/microservices-demo/currencyservice:v0.8.0,
gcr.io/google-samples/microservices-demo/shippingservice:v0.8.0,
gcr.io/google-samples/microservices-demo/adservice:v0.8.0"

for image in $(echo $DOCKER_IMAGES | sed "s/,/ /g")
do
  echo "Scanning image: $image"
  syft $image > /dev/null
  grype $image > /dev/null
done%

Vamos eliminar as vulnerabilidades abaixo das altas e formatar os dados em uma tabela:

Aqui podemos ver toda a superfície deste aplicativo baseado em microsserviços, um aglomerado de linguagem de programação e dependências de sistema operacional, para  2.095 pacotes  com  158 vulnerabilidades conhecidas altas e críticas  , números enormes.

Node.js, novamente, é o que mais exige dependências. Em vez disso, o Python tem menos dependências, mas mais vulnerabilidades abertas; Java está muito próximo do Python com os números.

O vencedor claro neste cenário é o C#, apenas 25 bibliotecas agregadas e 0 vulnerabilidades.

Pensamentos finais 

Sonatype resume bem o crescimento ininterrupto do ecossistema OSS:

Os dados mostram que:

1. O desenvolvimento de código aberto está mais florido do que nunca; OSS venceu .
2. O crescimento está espalhado por todos os maiores ecossistemas, o que é muito bom para toda a indústria; não existe um ator monopolista.
3. Um ecossistema médio possui  3,3 milhões de projetos , cada um com uma média de  14 versões lançadas  anualmente, o que é bom porque o projeto é mantido e ruim porque requer manutenção.

Hoje estamos expostos a uma grande complexidade escondida por ferramentas muito poderosas.

Obter uma nova dependência é uma tarefa que exige muito pouco esforço; com um gerenciador de pacotes moderno, podemos montar sistemas operacionais e aplicativos inteiros compostos por centenas de milhares de dependências externas, com apenas um ou poucos comandos fáceis, e isso é francamente poderoso e assustador

Em 1984, Edsger Wybe Dijkstra no artigo “ Sobre a natureza da Ciência da Computação ” disse que  “A simplicidade é uma grande virtude mas requer muito trabalho para alcançá-la e educação para apreciá-la. E para piorar: a complexidade vende melhor”.

Pela minha experiência pessoal, em muitos anos neste setor, um dos maiores inimigos desta indústria são as soluções de tamanho único que podem resolver e corrigir magicamente qualquer problema, em qualquer contexto, no que diz respeito à complexidade do problema, este nunca é o caso, é melhor focar na complexidade do problema.

Por exemplo, se eu precisar enviar um site estático com um monte de HTML e CSS, nunca terei a necessidade de implantá-lo em um cluster Kubernetes; em vez disso, tudo que preciso é de um servidor da web não tão sofisticado.

O mesmo se aplica aos microsserviços, nem sempre é o ajuste certo, mesmo quando o cenário pode sugerir o contrário, há casos importantes como  Istio  ou  Amazon Prime Video.

E agora, voltando à questão deste artigo.

A resposta é sim,  já ultrapassamos o ponto sem volta e isso não é necessariamente uma coisa ruim, pelo contrário, acho que estamos vivendo a era de ouro desta indústria e temos tantas oportunidades como profissionais ou cientistas como nunca antes. .

No entanto, isto também significa que a maioria dos projetos depende de grandes quantidades de código que podem ser vulneráveis ​​ou maliciosos. Isto causa estresse para os desenvolvedores e representa riscos significativos para todo o setor. Em alguns casos, pode até pôr em perigo a segurança nacional, como demonstrado pelo  caso Solarwinds .

Hoje, a criação de um novo produto de software deve levantar algumas questões fundamentais, tais como:

• Como podemos confiar que alguém diferente de nós sempre poderá atuar como um bom ator?
• Como podemos ter certeza de que todo o código do qual dependemos é feito exclusivamente para fazer o que afirma?
• Como podemos ter certeza de que o software não foi adulterado em um dos pontos da  cadeia de abastecimento ?

Em 1984, Ken Thompson, no famoso artigo “ Reflexões sobre a confiança na confiança ”, basicamente fez as mesmas perguntas, e a moral, que considero ainda válida, diz que:

• “Você não pode confiar em um código que você mesmo não criou totalmente. Nenhuma verificação ou escrutínio no nível da fonte protegerá o uso de código confiável. Até que ponto se deve confiar numa afirmação de que um programa está livre de cavalos de Tróia? Talvez seja mais importante confiar nas pessoas que escreveram o software.”

Embora tenha sido possível conhecer os desenvolvedores que criaram e utilizaram bibliotecas de terceiros no passado, hoje não é tão viável devido ao aumento do número de atores envolvidos. Além disso,  os ataques Protestware  podem representar uma forte ameaça que não pode ser facilmente combatida.

Aprendizado 

Então, aqui estão 8  tarefas práticas :

1. Não caia na armadilha de usar muitas bibliotecas externas, pense duas vezes se realmente precisar delas, em caso de dúvida pense em um  desastre com o teclado esquerdo  .
2. Microsserviços vs Monolith  não é escolher o bom ou o ruim, concentre-se no problema, mais simples é sempre melhor.
3. Use a  estrutura SLSA  para compreender as ameaças modernas à cadeia de fornecimento de software e trabalhar para adotar níveis de segurança definidos, um passo de cada vez.
4. Automatize o gerenciamento de dependências usando uma ferramenta OSS como  o RenovateBot , é agradável e fácil de integrar.
5. Abrace a nova era de assinatura de artefatos usando  atestados Sigstore  e  SLSA  para produzir seus artefatos e como um guia para escolher software de terceiros que os adote.
6. Sempre produza Lista de Materiais de Software (SBOM) para um artefato e finja que também o recebeu de seus fornecedores. (  Padrões SPDX  e  CycloneDX )
7. Automatize e verifique vulnerabilidades conhecidas em todo o seu conjunto de dependências. É fácil fazer isso ao padronizar os artefatos para contêineres OCI. Usando uma ferramenta como  o Grype .
8. Use imagens Docker menores, como  Distroless  ou  Chainguard,  quando possível

Artigo originalmente publicado por CNCF.IO

DNX Brasil – Soluções cloud-native

O DevOps revolucionou o desenvolvimento e as operações de software ao promover a colaboração, a automação e a melhoria contínua. Ao reunir equipes de desenvolvimento e operações, as organizações podem acelerar a entrega de software, aumentar a confiabilidade e atingir um tempo de lançamento no mercado mais rápido.

Nesta postagem do blog, exploraremos as melhores práticas e considerações arquitetônicas para implementar DevOps com Amazon Web Services (AWS), permitindo que você crie sistemas eficientes e escaláveis ​​que se alinhem aos princípios de DevOps. O Vamos Arquitetar! A equipe deseja compartilhar recursos úteis que ajudam você a otimizar o desenvolvimento e as operações de software.

Revolução DevOps

Os sistemas distribuídos são adotados pelas empresas com mais frequência agora. Quando uma organização deseja aproveitar as características dos sistemas distribuídos, é necessária uma mudança de mentalidade e abordagem, semelhante a um novo modelo para o ciclo de vida de desenvolvimento de software.

Neste vídeo re:Invent 2021, Emily Freeman, agora chefe de envolvimento com a comunidade na AWS, compartilha conosco os insights obtidos nas trincheiras ao adaptar um novo ciclo de vida de desenvolvimento de software que ajudará sua organização a prosperar usando sistemas distribuídos.

Leve-me para este vídeo re:Invent 2021!

Operacionalizando a revolução DevOps

Meu pipeline de CI/CD é meu capitão de lançamento

Projetar fluxos de trabalho DevOps eficazes é necessário para alcançar uma colaboração perfeita entre as equipes de desenvolvimento e operações. A Amazon Builders’ Library oferece diversas orientações sobre como projetar fluxos de trabalho de DevOps que promovem eficiência, escalabilidade e confiabilidade. Da integração contínua e estratégias de implantação ao gerenciamento de configuração e observabilidade, este recurso abrange vários aspectos do design do fluxo de trabalho DevOps. Seguindo as práticas recomendadas descritas na Builders’ Library, você pode criar fluxos de trabalho DevOps robustos e escalonáveis ​​que facilitam a entrega rápida de software e operações tranquilas.

Leve-me a este recurso!

Um pipeline coordena vários lançamentos em andamento e os promove em três estágios

Usando funções do Cloud Fitness para impulsionar a arquitetura evolutiva

As funções de fitness na nuvem fornecem um mecanismo poderoso para impulsionar a arquitetura evolutiva em suas práticas de DevOps. Ao definir e medir metas de adequação arquitetônica, você pode melhorar e evoluir continuamente seus sistemas ao longo do tempo.

Esta postagem do blog de arquitetura da AWS investiga como os serviços da AWS, como AWS Lambda , AWS Step Functions e Amazon CloudWatch podem ser aproveitados para implementar funções de fitness na nuvem de maneira eficaz. Ao integrar esses serviços em seus fluxos de trabalho DevOps, você pode estabelecer uma arquitetura que evolui em alinhamento com as mudanças nas necessidades de negócios: melhorando a resiliência, a escalabilidade e a capacidade de manutenção do sistema.

Leve-me para esta postagem do blog de arquitetura da AWS!

Funções de condicionamento físico fornecem feedback aos engenheiros por meio de métricas

Implantações multirregionais do Terraform com AWS CodePipeline usando Terraform Built CI/CD

Conseguir implantações consistentes em diversas regiões é um desafio comum. Esta postagem do blog AWS DevOps demonstra como usar o Terraform, o AWS CodePipeline e os princípios de infraestrutura como código para automatizar implantações multirregionais de maneira eficaz. Ao adotar essa abordagem, você pode demonstrar implantações consistentes de infraestrutura e aplicativos, melhorando a escalabilidade, a confiabilidade e a disponibilidade de suas práticas de DevOps.

A postagem também fornece exemplos práticos e instruções passo a passo para implementar implantações multirregionais com serviços Terraform e AWS, permitindo que você aproveite o poder da infraestrutura como código para agilizar os fluxos de trabalho de DevOps.

Leve-me para esta postagem do blog AWS DevOps!

A sustentabilidade da computação em nuvem ou ‘Nuvem Verde’ refere-se a uma nuvem amiga do ambiente que reduz as emissões de carbono e promove a utilização de energia renovável para reduzir as necessidades energéticas. Todos os principais provedores de nuvem tomaram medidas para converter seus data centers em nuvem verde. O pilar de sustentabilidade da AWS é um exemplo de como a Amazon promove uma nuvem ecologicamente correta.

O que é computação em nuvem verde?

A computação em nuvem verde é um conjunto de práticas benéficas que reduzem o consumo de energia e as emissões de carbono. A computação verde defende o uso de energia renovável de diferentes fontes. Tem três objetivos principais:

• Maximizando a eficiência energética
• Promover a reciclagem
• Minimizando o uso de materiais perigosos

Como funciona a computação em nuvem verde?

Os provedores de nuvem empregam diferentes técnicas e processos que resultam em data centers mais ecológicos. Aqui estão algumas dessas técnicas:

Fonte de energia renovável

Os fornecedores de cloud utilizam fontes de energia renováveis ​​para reduzir as necessidades energéticas dos data centers. Essas fontes incluem energia solar, eólica, hidrelétrica e enormes bancos de baterias para armazenar a energia coletada. Alguns fornecedores de nuvem utilizam créditos de energia renovável para equilibrar a sua pegada de carbono.

Otimizando a Instalação

Os fornecedores de cloud tomam muitas medidas para garantir a redução do consumo de energia nos seus data centers. Os fornecedores de nuvem, especialmente os gigantes da tecnologia, usam técnicas baseadas em IA e aprendizado de máquina para monitorar e sugerir o uso otimizado de energia. Isso inclui otimizar a arquitetura, o layout dos andares e a localização do data center para otimizar o consumo de energia.

Outras etapas incluem:

• Utilize o calor excessivo produzido pelos data centers para aquecer edifícios próximos
• Coloque o data center em um clima frio, no subsolo ou mesmo no oceano

Otimizando a infraestrutura

A infraestrutura em nuvem é um elemento central no consumo de energia. Os provedores de nuvem usam hardware moderno, que consome menos energia. Eles também usam hardware que utiliza diferentes técnicas de economia de energia, como tensão dinâmica e escala de frequência. Da mesma forma, a aplicação de diferentes técnicas para maximizar a utilização de recursos, incluindo virtualização e contentorização, resulta em menos servidores e num consumo de energia reduzido.

Otimizando o Fluxo de Trabalho

Os provedores de nuvem também aplicam técnicas para otimizar o fluxo de trabalho para minimizar o consumo de energia. Algumas das técnicas são:

• Dividir a carga de trabalho entre diferentes servidores de forma inteligente para maximizar a utilização de recursos
• Otimizando rotas de rede para reduzir o tráfego de rede
• Otimizando o armazenamento portátil e o cache do servidor para reduzir chamadas de rede
• Automatizando tarefas rotineiras para economizar tempo e energia

Por que a computação em nuvem é ambientalmente sustentável?

Veja como a computação em nuvem apoia a sustentabilidade:

Maior taxa de utilização

O uso de data centers locais resulta em uma baixa taxa de utilização porque você provisiona demais a infraestrutura para lidar com cargas de trabalho inesperadas. A computação em nuvem pode fazer uso inteligente de servidores com altas taxas de utilização e maior eficiência. A infraestrutura de nuvem pública é geralmente 2 a 4 vezes mais eficiente do que os data centers tradicionais devido à melhor utilização da infraestrutura.

Reduza as necessidades de eletricidade

A infraestrutura local precisa de muita manutenção e requer UPS, eletricidade, sistemas de refrigeração, etc. Mover seu software para a nuvem economizará eletricidade significativa. Conforme afirma o estudo de caso do Laboratório Nacional Lawrence Berkeley , mover aplicativos de negócios como CRM, e-mail, etc., para a nuvem pode economizar eletricidade suficiente a cada ano para atender às necessidades de eletricidade de Los Angeles durante um ano. Um estudo semelhante afirma que a mudança para a nuvem economizaria 87% no consumo de energia .

Velocidade de atualização de hardware

A infraestrutura tradicional de data center é usada por muito tempo antes de expirar ou ser substituída devido ao alto custo de atualização de servidores. Devido a uma melhor taxa de utilização, a infraestrutura em nuvem é substituída muito mais cedo. O novo hardware é mais eficiente em termos energéticos que seu antecessor. Quanto mais eficiente em termos de energia for o hardware, mais dinheiro os fornecedores de nuvem economizarão. Eventualmente, menos energia será usada a longo prazo.

Impacto climático reduzido

Os data centers baseados em nuvem reduzem as emissões de carbono em comparação com os data centers tradicionais. De acordo com a Amazon , ele usa 77% menos servidores, 84% menos energia e utiliza uma combinação de energia 28% mais limpa. Isto traz uma redução geral nas emissões de carbono de 88% em comparação com data centers locais.

Artigo originalmente publicado por Blog AWS: Generative AI Foundations

DNX Brasil – Soluções cloud-native

A evolução da tecnologia tem revolucionado a forma como as empresas operam e competem no mercado. Uma das tecnologias mais impactantes nesse cenário é a Inteligência Artificial (IA). A IA deixou de ser apenas uma tendência futurista para se tornar um diferencial competitivo real e tangível para empresas de diversos setores. Neste artigo, exploraremos como a IA se transformou em um fator crucial para o sucesso empresarial. Além de como as organizações estão aproveitando essa tecnologia para se destacar no mercado altamente competitivo de hoje. 

IA: Conceito e Evolução 

A Inteligência Artificial se refere à capacidade das máquinas de simular processos de inteligência humana, como aprendizado, raciocínio e tomada de decisões. O campo da IA evoluiu consideravelmente nas últimas décadas, passando de algoritmos simples para algoritmos complexos baseados em redes neurais artificiais, que são capazes de aprender a partir de médios e grandes volumes de dados. 

IA como Diferencial Competitivo 

• Automatização: Liberando o Potencial Humano: Um dos impactos mais notáveis da IA é agilidade, através da automação da tomada de decisões, ou pelo menos de parte dela. Tarefas repetitivas e demoradas podem ser realizadas eficientemente por sistemas de IA permitindo que os colaboradores se concentrem em atividades de maior valor, como estratégia e inovação. 
• Reconhecimento de padrões: A IA tem a capacidade de examinar grandes volumes de dados em tempo real, identificando padrões e insights que seriam inacessíveis aos seres humanos. Isso capacita as empresas a tomar decisões mais embasadas e estratégicas, aprimorando suas operações e abordagens de mercado. 
• Revitalização do Atendimento ao Cliente: Chatbots e assistentes virtuais, alimentados por IA, revolucionaram o atendimento ao cliente. Esses sistemas respondem a perguntas, solucionam problemas rotineiros e até personalizam a experiência do cliente, elevando a satisfação e a fidelização. 
• Antecipação de Tendências de Mercado: A IA é uma aliada na previsão de tendências futuras ao analisar dados de mercado e comportamento do consumidor. Isso permite que as empresas se adaptem rapidamente às mudanças e antecipem as demandas dos clientes. 

• Personalização Excepcional de Produtos e Serviços: Por meio da análise de dados dos clientes, a IA viabiliza a oferta de produtos e serviços personalizados. Isso não apenas amplia a satisfação do cliente, mas também impulsiona vendas e lealdade à marca. 

IAs generativas 

Estamos vivenciando uma época verdadeiramente empolgante no campo das Inteligências Artificiais Generativas (IA). Um exemplo exemplar é o ChatGPT, que lança luz sobre o extraordinário universo das novas IAs capazes de interagir com texto e mídia de maneira excepcional. Hoje, essas IAs não apenas compreendem textos e imagens, mas também transcendem essas capacidades, sintetizando uma variedade de mídias, como texto, fotos, áudio e vídeo. Esses avanços não apenas revolucionam a maneira como nos comunicamos digitalmente, mas também abrem portas para interações mais imersivas e dinâmicas com as máquinas. Além disso, as IAs generativas contemporâneas expandiram suas fronteiras para o mundo digital mais amplo. Demonstrando habilidades impressionantes, como a leitura de documentos, a exploração de bancos de dados, pesquisas na web e até mesmo a execução de tarefas de codificação. 

A Inteligência Artificial se transformou em um diferencial competitivo vital para as empresas modernas. Além de otimizar operações, também fornece insights valiosos para impulsionar a tomada de decisões estratégicas. À medida que a tecnologia continua a avançar, as empresas que abraçam a IA estarão mais bem posicionadas para se destacar em um mercado global cada vez mais competitivo. Portanto, investir em IA não é mais uma opção, mas sim uma necessidade para garantir um futuro de sucesso empresarial.