10倍速軟體開發

本期有一則新聞在講微軟的最新版開發工具Visual Studio 2013，即將在6月底的Build開發者大會釋出預覽版。我一看到這篇稿子，直覺認為記者寫錯了。微軟目前的開發工具是Visual Studio 2012版，照慣例下一個版本應該是Visual Studio 2014版，怎麼會是2013呢？

自Visual Studio 2003之後，微軟開發工具的版號依序是2005、2008、2010、2012，近年來幾乎就是保持每隔兩年改版的步調，以此推論下一版Visual Studio是2014版，也是合乎常理。豈知，一經查證，竟然是Visual Studio 2013無誤。如此微軟開發工具未來的改版速度，豈不就是一年一版了。

最近還有一則Windows 8.1版本的新聞，提到下一版作業系統將搭載IE 11版瀏覽器，但我相信很多人對於IE到底是10版還是11版，應該不會太在意了。問問看Chrome或是Firefox瀏覽器的使用者，他們知道自己使用的瀏覽器是哪一個版本嗎？相信大多數人應該都不知道，因為軟體會自動更新版本，永遠保持在最新的版本，使用者逐漸就不會在意了。

因為雲端運算、行動App的推波助瀾，軟體在本質上起了很大的改變。雲端化，使得軟體逐漸擺脫盒裝版的套裝軟體形式，變成是訂閱服務之後，軟體開發者為了提升使用者滿意度，當然是持續增加更多新的功能，哪怕只是小功能，都要保持使用者的熱度；另一方面，App化使得軟體變得輕薄短小，面對行動生活型態快速的轉變，小巧靈活的App可以快速調整功能，跟上使用者的需求。

雲端化、App化等種種新興的潮流，使得軟體推陳出新的速度越來越快，相對的，軟體開發的速度也就必須加快。強調團隊協同開發速度的敏捷式方法，逐漸取代傳統的瀑布式方法，成為當代的軟體開發顯學。

在未來強調快速開發、快速改版、迅速發布的軟體生態下，對於原本就已經讓人很頭痛的軟體品質與開發安全等問題，無疑是雪上加霜。

過去軟體每隔兩年、三年才改版，在大家有比較充裕的時間下，都不見得能把提升軟體品質與程式碼安全做好，更何況現在如微軟這樣一大套的開發工具，都要朝向一年一版，才能因應軟體快速開發的趨勢，可以想見軟體品質與程式碼安全未來的挑戰會更加劇烈。

日前我們的技術主編李宗翰到美國參加一場軟體安全開發會議，席間有多家世界知名的軟體公司，如微軟、Adobe、Twitter等，分享各自在軟體安全開發方面的經驗。他將這場會議的見聞，透過本期的封面故事報導出來，內容對於軟體開發人員會有許多啟發。

其中Twitter分享的作法就頗有意思，他們整合了好幾種開放原始碼工具，有的是整套的工具，有的則只是JavaScript，利用這些隨手可得的資源，打造出一套監控Twitter服務的安全戰情室。

這套系統的點子源自於Twitter內部的Hack Week活動，在系統上線之初，其實沒有專人來負責監看每天的監控報表，於是他們還加了一個猜拳程式，讓系統每天自動挑選負責人，被電腦選中的人就要認命，多負責監看當天的報表。像是這樣有點趣味性的做法，既可解決短期人力不足的問題，也可以讓資訊安全管理這件事不那麼枯橾，延伸出有趣味的話題。

此外，Adobe資安長與駭客長期攻防的省思：與其持續補漏洞，倒不如想辦法讓駭客無法得逞，也值得借鏡。例如軟體沙箱的技術，或是定期更新系統等作法，以刷新、連根拔除的方式，來對付防不勝防的惡意程式，說不定也是個好方法。

吳其勳／iThome電腦報周刊總編輯