PDF《TECHNOLOGY》

57 79

70 81

71 73

74 87

86 92

94 89

88 83

84 90

104 82

95 93

91 69

66 59

78 77

80 96

97 98

99 100

101 102

103 105

106 85 ?? ?? ?K ?? THE RADAR New or moved No change new new new new new new new new new new new new new new new new new new new new new new new new new new 工具 采用 54. Consul 试验 55. Apache Kafka 56. Browsersync 57. Carthage 58. Gauge 59. GitUp 60. Let'

s Encrypt 61. Load Impact 62. OWASP Dependency-Check 63. Serverspec 64. SysDig 65. Webpack 66. Zipkin 评估 67. Apache Flink 68. Concourse CI 69. Gitrob 70. Grasp 71. HashiCorp Vault 72. ievms 73. Jepsen 74. LambdaCD 75. Pinpoint 76. Pitest 77. Prometheus 78. RAML 79. Repsheet 80. Sleepy Puppy 暂缓 81. Jenkins as a deployment pipeline 语言和框架 采用 82. ES6 83. React.js 84. Spring Boot 85. Swift 试验 86. Butterknife 87. Dagger 88. Dapper 89. Ember.js 90. Enlive 91. Fetch 92. React Native 93. Redux 94. Robolectric 95. SignalR 评估 96. Alamofire 97. AngularJS 98. Aurelia 99. Cylon.js 100. Elixir 101. Elm 102. GraphQL 103. Immutable.js 104. OkHttp 105. Recharts 暂缓 106. JSPatch TECHNOLOGY RADAR APRIL

2016 |

6 随着过去几个月多起著名安全漏洞的公布,软件开发人员毋庸 置疑要把编写安全软件和对用户数据负责作为重中之重.但团 队不仅面临陡峭的学习曲线,更有数量众多的潜在威胁,从有 组织的犯罪和政府间谍,到青少年 随性而为 地攻击系统, 都让人头疼不已.威胁建模提供了一系列技术,可以帮你早在 开发阶段就能够对潜在威胁进行识别和分类.需要指出的是, 威胁建模只是安全战略的一部分.当和其他技术(如建立跨职 能的安全需求以定位项目所使用技术的常见风险、使用自动化 安全扫描器)结合使用时,威胁建模可以变得十分强大. Bug bounties正被推广到更多企业和政府组织使用.Bug bounty计划鼓励参与者识别潜在的安全漏洞,并向他们提供一 些奖品或是认可作为回报.诸如HackerOne和BugCrowd等公 司提供服务来帮助这些组织更简单地管理这个过程,而这种服 务也正在被更多的组织所接受. 作为数据分析的来源,数据湖泊是一种不可变的数据存储,其 中存有大量未加工的 原始 数据.尽管这项技术仍然非常容 易被错误使用,但我们已经拥有了一些成功案例,因此我们将 这项技术移动到 试验 区域.我们推荐使用专门的服务来处 理业务系统之间的协作,而把数据湖泊的使用只限制在报表、 分析、或给其他数据集市提供数据方面. 当响应式语言扩展和响应式框架大行其道的时候(在这期的雷 达中就有几个这样的条目),我们观察到越来越多的团队采用 了响应式架构(reactive architectures)并取得了成功.尤 其是用户界面的设计,借鉴了很多响应式编程的思想.对于这 个架构,我们的忠告仍然不变:基于异步消息传输的架构会 增加架构的复杂度,系统也会变得更加难以理解,仅仅通过阅 读代码已经无法理解系统的功能.在采用响应式风格的架构之 前,我们建议先对系统的性能和扩展性需求进行评估. 当处理那些从混合上下文环境中拉取内容的网站时,我们发现 内容安全策略可以补充我们的安全工具箱.它的工作原理是 这样的,即定义一套有关内容合法出处的规则(及是否允许内 嵌脚本的标签),浏览器于是可以拒绝加载或执行违反上述规 则的JavaScript、CSS或图像.当它与诸如输出编码(output encoding)这样一些良好的实践一同使用时,就能很好地 缓解XSS攻击所造成的危害.有趣的是,正是通过用来发送 JSON格式违规报告的可选端点,Twitter发现了那些将HTML或JavaScript注入其网页的互联网服务提供商. 从世界上的很多国家,我们都可以看到政府和政府的代理寻 求私人,个人身份信息(PII)的广泛访问.在欧盟,最高法 技术 采用 1. Decoupling deployment from release 2. Products over projects 3. Threat Modeling 试验 4. BFF - Backend for frontends 5. Bug bounties 6. Data Lake 7. Event Storming 8. Flux 9. Idempotency filter 10. iFrames for sandboxing 11. NPM for all the things 12. Phoenix Environments 13. QA in production 14. Reactive architectures 评估 15. Content Security Policies 16. Hosted IDE'