Życie zaczyna się po spłaceniu długów, czyli jak automatyzacja pomiaru długu wspiera płynność technologiczną aplikacji PZU
W PZU od 4 lat wyznacznikiem poziomu aktualności technologicznej aplikacji jest tzw. Dług Architektoniczny. Pod tym pojęciem, często używanym w IT, kryją się wszystkie odchylenia od standardów naszej organizacji, jasno określonych w Katalogu Technologii i Narzędzi (KTN). Aby sprawnie dokonywać detekcji tych nieprawidłowości, zaczęliśmy od wypracowania autorskiej metody pomiaru. Nie był to skończony proces – do dzisiaj wprowadzamy narzędzia automatyzujące zbieranie danych i sam pomiar. Pozwala nam to na lepsze zarządzanie bezpieczeństwem i zgodnością z wymaganiami prawnymi oraz regulacjami, takimi jak na przykład DORA.
Autor
Andrzej Borawski
Dlaczego to robimy
Dług technologiczny jest „hamulcowym” firmy w efektywnym wykorzystaniu najnowszych technologii do budowania rozwiązań biznesowych. Już w początkowej fazie pomiarów zastosowane przez nas narzędzia pozwoliły sukcesywnie zmniejszać zadłużenie. Niestety, ze względu na zależność całego procesu od „czynnika ludzkiego”, wyniki były obciążone znacznym błędem pomiaru. To właśnie dało nam impuls do wdrożenia automatyzacji.
Jak do tego podeszliśmy
Chcieliśmy ewolucyjnie udoskonalać to, co już działa. W tym celu zaadaptowaliśmy jedno z istniejących w firmie rozwiązań ekstrakcji technologii i zależności aplikacyjnych. Wytworzyliśmy narzędzia do mapowania tych informacji na format KTN rozumiany przez naszą metodykę pomiaru. Ale wciąż nam było mało 😊 Za cel wyznaczyliśmy sobie uniezależnienie się od platform technologicznych typu Java, PHP, .NET, Python etc. Jednocześnie mieliśmy świadomość, że dotychczasowa metoda pomiaru wymaga rozbudowy o dodatkowe narzędzia, pozwalające na automatyczną analizę podatności, zgodności licencyjnej i cyklu życia technologii. Nasze poszukiwania doprowadziły nas do wyboru formatu Bill of Materials (SBOM) jako standardu opisu technologii i narzędzi klasy Software Composition Analysis (SCA) jako źródła wymaganej wiedzy.
Jakie technologie za tym stoją
„Core” platformy pomiarowej stanowi nasze autorskie rozwiązanie SELF/CRA, które potrafi pobierać z kodu źródłowego dane o technologiach wykorzystywanych w aplikacjach, integrować je, mapować i generować wynik miary długu. O technologiach wykorzystywanych w SELF/CRA czytaj tutaj.
W pierwszej fazie do identyfikacji technologii posłużył nam Apache Maven Dependency, ostatecznie zdecydowaliśmy się na jednak OWASP CycloneDX i jego generatory dedykowane różnym technologiom, m.in. CycloneDX Maven Plugin, CycloneDX Gradle Plugin, CycloneDX SBOM for npm. Do analizy technologii w oparciu o zewnętrzne źródła wiedzy stosujemy OWASP Dependency Track.
Liczby, tego projektu 
- 161 - liczba systemów objętych pomiarem.
- 86 – liczba systemów analizowanych automatycznie.
- 10,5 tys. - liczba zidentyfikowanych wystąpień technologii w formacie KTN.
- >80% - odsetek wystąpień technologii w formacie KTN identyfikowanych automatycznie.
- >100 tys. - liczba zidentyfikowanych wystąpień technologii w formacie SBOM gotowych do analizy w narzędziach SCA.