14 Punkte von xguru 2022-04-04 | 1 Kommentare | Auf WhatsApp teilen

Charakteristisch ist, dass die neuesten Trends in den Bereichen Techniken/Tools/Plattformen/Programmiersprachen und Frameworks in vier Stufen – Hold/Assess/Trial/Adopt – visualisiert und erläutert werden.

Ein seltsamer Markt: die sich wandelnde Economics von Open Source

  • Wir sind Fans von Eric Raymonds „The Cathedral and the Bazaar“, aber mit den Kommerzialisierungsversuchen verändert sich die Lage auf komplexe Weise.
  • Beispiele dafür sind ElasticSearch vs. OpenSearch oder Docker Desktop.
  • Umgekehrt hat Facebook Presto finanziell als Open-Source-Produkt unterstützt, wodurch die Maintainer das IP behalten konnten; nachdem sie das Unternehmen verließen, wurde es zu Trino umbenannt – faktisch profitierten sie also von Facebooks Investition.
  • Da es immer mehr kritische Infrastruktur gibt, die nicht von Unternehmen finanziert wird, wird die Situation noch verwirrender.
  • Wie Fälle wie Log4j zeigen, wird einem erst bei schwerwiegenden Sicherheitslücken bewusst, wie sehr wir auf unbezahlte Arbeit von Open-Source-Entwicklern angewiesen sind.
  • In manchen Fällen kann die Finanzierung von Hobby-Maintainern über GitHub Sponsor oder Patreon eine ausreichende Belohnung sein, um tatsächlich einen Unterschied zu machen.
  • Für andere fühlt es sich eher so an, als käme zu ihrem Tagesgeschäft noch mehr Verantwortung hinzu, was zu Burnout führt.
  • Wir unterstützen Software nachdrücklich, wissen aber auch, dass die Economics immer seltsamer werden und es keine einfache Lösung gibt, um das richtige Gleichgewicht zu finden.

Innovationen in der Software-Lieferkette

  • Ereignisse wie das Equifax-Datenleck, der SolarWinds-Angriff und die Log4J-Schwachstelle entstanden durch mangelhafte Governance in der Supply Chain.
  • Teams erkennen inzwischen, dass die Verifizierung und Verwaltung von Projektabhängigkeiten Teil der Engineering-Practice sein müssen.
  • Supply chain Levels for Software Artifacts (SLSA)
  • CycloneDX: Bill of Materials für Software / SaaS / Operations
  • Syft: Open-Source-CLI-Tool zum Erzeugen einer Software Bill of Materials
  • Hacker nutzen die asymmetrischen Eigenschaften von Angriff und Verteidigung im Sicherheitsbereich immer stärker aus.
  • Angreifer müssen nur eine einzige Schwachstelle finden, Verteidiger hingegen die gesamte Angriffsfläche schützen.
  • Um Systeme sicher zu schützen, sind Anstrengungen zur Verbesserung der Supply-Chain-Sicherheit wichtig.

Warum entwickeln Entwickler für React immer weiter State Management?

  • Wenn ein Framework populär wird, ist es üblich, dass eine Reihe von Tools erscheint, um Schwächen zu verbessern, und dass sich anschließend die populären Ansätze integrieren.
  • Doch React State Management scheint diesem allgemeinen Trend nicht zu folgen.
  • Seit der Veröffentlichung von Redux erscheinen kontinuierlich Tools und Frameworks, die State auf leicht unterschiedliche Weise verwalten.
  • Den genauen Grund kennen wir nicht, aber wir können spekulieren:
  • Ist es eine natürliche Drift, die das JavaScript-Ökosystem bevorzugt?
  • Ist es ein grundlegender Mangel von React?
  • Ist es einfach ein interessantes und handhabbares Problem, mit dem Entwickler gern experimentieren?
  • Liegt es an der dauerhaften Impedanz-Diskrepanz zwischen dem Format zum Lesen von Dokumenten (Webbrowser) und der Umsetzung von Anwendungsinteraktionen auf Dokumenten?
  • Wir wissen nicht, warum immer wieder neue Lösungen erscheinen, freuen uns aber auf den nächsten Versuch, dieses dauerhafte Problem zu lösen.

Die endlose Reise zum Master-Datenkatalog

  • Es gab immer wieder Bemühungen, Unternehmensdaten zu sammeln und zu klassifizieren, doch Komplexität, Redundanz und Mehrdeutigkeit erschweren dies.
  • Intelligente Tools wie Collibra und Datahub sind erschienen.
  • Sie bieten einen konsistenten Ansatz über Daten-Lineage und Metadaten hinweg und können auf Governance/Management/Publishing ausgeweitet werden.
  • Im Gegensatz zu dieser Zentralisierung gibt es auch Bewegungen hin zu föderierter Governance und Suche auf Basis einer Data-Mesh-Architektur.

[ Techniques ]

Adopt

  1. Four key metrics
  2. Single team remote wall

Trial

  1. Data mesh
  2. Definition of production readiness
  3. Documentation quadrants
  4. Rethinking remote standups
  5. Server-driven UI
  6. Software Bill of Materials
  7. Tactical forking
  8. Team cognitive load
  9. Transitional architecture

Assess

  1. CUPID
  2. Inclusive design
  3. Operator pattern for nonclustered resources
  4. Service mesh without sidecar
  5. SLSA
  6. The streaming data warehouse
  7. TinyML

Hold

  1. Azure Data Factory for orchestration
  2. Miscellaneous platform teams
  3. Production data in test environments
  4. SPA by default

[ Platforms ]

Trial

  1. Azure DevOps
  2. Azure Pipeline templates
  3. CircleCI
  4. Couchbase
  5. eBPF
  6. GitHub Actions
  7. GitLab CI/CD
  8. Google BigQuery ML
  9. Google Cloud Dataflow
  10. Reusable workflows in Github Actions
  11. Sealed Secrets
  12. VerneMQ

Assess

  1. actions-runner-controller
  2. Apache Iceberg
  3. Blueboat
  4. Cloudflare Pages
  5. Colima
  6. Collibra
  7. CycloneDX
  8. Embeddinghub
  9. Temporal

[ Tools ]

Adopt

  1. tfsec

Trial

  1. AKHQ
  2. cert-manager
  3. Cloud Carbon Footprint
  4. Conftest
  5. kube-score
  6. Lighthouse
  7. Metaflow
  8. Micrometer
  9. NUKE
  10. Pactflow
  11. Podman
  12. Sourcegraph
  13. Syft
  14. Volta
  15. Web Test Runner

Assess

  1. CDKTF
  2. Chrome Recorder panel
  3. Excalidraw
  4. GitHub Codespaces
  5. GoReleaser
  6. Grype
  7. Infracost
  8. jc
  9. skopeo
  10. SQLFluff
  11. Terraform Validator
  12. Typesense

[ Languages & Frameworks ]

Adopt

  1. SwiftUI
  2. Testcontainers

Trial

  1. Bob
  2. Flutter-Unity widget
  3. Kotest
  4. Swift Package Manager
  5. Vowpal Wabbit

Assess

  1. Android Gradle plugin - Kotlin DSL
  2. Azure Bicep
  3. Capacitor
  4. Java 17
  5. Jetpack Glance
  6. Jetpack Media3
  7. MistQL
  8. npm workspaces
  9. Remix
  10. ShedLock
  11. SpiceDB
  12. sqlc
  13. The Composable Architecture
  14. WebAssembly
  15. Zig

1 Kommentare

 
dodok8 2022-04-04

Ich habe nachgeschlagen, was Die Kathedrale und der Basar ist, weil ich neugierig war, und es gibt offenbar sogar eine kostenlose E-Book-Ausgabe der Übersetzung. Vor Kurzem gab es ja auch den Vorfall mit faker.js und color.js; die Frage, wie Open Source Geld verdienen kann (und wie es nachhaltig sein kann), wird in einer Zeit, in der wir immer stärker vom Open-Source-Ökosystem abhängig sind, zu einem immer wichtigeren Thema.