#67 Patoarchitekci Short #23

Dziś o dramie Dockera, MSie w FinOps, Infrastructure as SQL i wiele więcej! Posłuchajcie, co tym razem ciekawego znaleźli Patoarchitekci!

Słuchasz Patoarchitektów dzięki Protopii. Sprawdź, jak Patoarchitekci i Protopia mogą Ci pomóc ➡️ protopia.tech

Linki i ciekawe znaleziska:

• Live - Zdobądź wymarzoną pracę przy pomocy Terraform!
• IaSQL - Infrastructure as data in PostgreSQL
• Docker is deleting Open Source organisations - what you need to know
• What to know about the end of Docker Free Teams
• GPT-4
• Introducing Microsoft 365 Copilot – your copilot for work - The Official Microsoft Blog
• Google announces AI features in Gmail, Docs, and more to rival Microsoft - The Verge
• Cedar: A new policy language – One Cloud Please
• Microsoft FinOps Foundation Profile
• FinOps Foundation - What is FinOps?
• Endor Labs Partners with Security and Technology Leaders to Identify Top 10 Open Source Software Risks of 2023

Transkrypcja

Szymon Warda: Cześć! Słuchacie Patoarchitektów. Prowadzą Szymon Warda.

Łukasz Kałużny: I Łukasz Kałużny. Odcinki do tego odcinka klasycznie gdzieś tam na dole albo pod linkiem patoarchitekci.io/67.

Szymon Warda: Chodziło Ci o linki?

Łukasz Kałużny: A co powiedziałem?

Szymon Warda: Odcinki.

Łukasz Kałużny: Odcinki… To odcinki niech będą. Idziemy.

Szymon Warda: Dobrze Łukaszu, to jak już zacząłeś to leć co masz tam w linkach.

Łukasz Kałużny: Dobra, z ciekawostek dziwny pomysł czyli jak infra as code, infra as data i dużo innych rzeczy. No to poleciał projekcik i trafił już do mnie od kilku osób o nazwie Infrastructure as SQL. Koncept jest sobie taki, żeby… Nie wchodziłem w architekturę tego rozwiązania. W ogóle. Popatrzyłem sobie na sam koncept, żeby zarządzać postgressem i infrastrukturą cloudową, czyli przykładowo tworzenie instancji jakichś EC2kowych i innych elementów, a z drugiej strony raportowanie, zczytywanie tych danych z takiego sql’a. Czyli założenie jest takie, że de facto każdy obiekt w cloudzie jest po prostu tabelką w SQL-u, do której możemy zrobić insert. Z której powoła nam się jakiś, powoła się jakiś cloudowy obiekt.

Szymon Warda: Ale ja powiem tak. Bo generalnie ten pomysł brzmi absurdalnie i no… Ciekawie. Brzmi jak żart, ale jak na to spojrzysz tak, odcinając się, że to jest sql, odcinamy się. No to tak tak, to wstawiamy do tabel, które mają strukturę, wstawiamy wartości. Między tabelami. Zakładam, że możemy linkować. Czyli możemy tworzyć dependency między obiektami. I do tego jeszcze mamy Object Store’a, czyli mamy plik stanu w formie bazy relacyjnej. Tylko jeszcze mamy składniowy język, który sprawdza strukturę pliku. Czy to jest tak dużo gorsze poza tym, że to jest SQL generalnie, niż taki JSON albo YAML?

Łukasz Kałużny: Dobra, jedna rzecz. Ile razy…

Szymon Warda: Raczej - nie użyłbym tego. Żeby nie było.

Łukasz Kałużny: Dobra, ja mam taką rzecz, pomyślałem sobie - samodzielnie dużo razy w życiu odwijałem złe ware’y w updacie na produkcji.

Szymon Warda: No to jak każdy. Kto złego…

Łukasz Kałużny: Jak każdy. Kto to robił w maintenance produkcji, wie o czym mowa. Już o zaoranych przemilczę, ilość zaoranych testów, DEVów i innych UAT-ów przez drobne, szybkie fixy z palucha.

Szymon Warda: Zgadza się, jak najbardziej, tak.

Łukasz Kałużny: Więc patrząc się, nie, pomysł jest… To tak jak mówisz, to jest po prostu gdzieś plik stanów zrobiony na nowo. Tylko ten interfejs na zasadzie komunikacji, czyli SQLem. Dla mnie on jest taki bugogenny.

Szymon Warda: Znaczy nie, no przede wszystkim największym jego minusem jest to, że tak naprawdę trzymamy to w… no w bazie. Nie, generalnie, nie w jakimś repo gitowym, więc baza jest fajna, mamy transakcyjność, mamy kilka fajnych rzeczy, mamy właśnie linki itd. To jest fajne, możemy super fajnie odpytywać, bo nie oszukujmy się, ale joiny w SQL-u: to fajnie działa. No ale minus jest taki, że nie mamy w całej historii de facto też zmian. Jak to wygląda? Więc dalej wersja trzymana jako tekst w gicie jest lepsza. Idea np. załóżmy taka: sprawdzenia zależności, przez właśnie wstawienie albo właśnie budowania drzewa, zależności itd. To debilne to bardzo nie jest. Nie jest też dobre, ale no debilne no nie jest.

Łukasz Kałużny: Raczej ciekawostka nigdy nie do użycia dla mnie.

Szymon Warda: Tak, tak, nie, absolutnie. To jest… To jest nie do użycia. Zdecydowanie nie, nie, nie, nie. Chociaż czekaj, tak myśląc generalnie no to zawsze problemem jeżeli chodzi o zarządzanie infrastrukturą są bazodanowcy. W ogóle obszar data to jest taki obszar, który generalnie jest nahakowany jak tylko można tak naprawdę. Natomiast wyobraź sobie, że dajesz im takiego SQL’a, a oni na tym SQL’u wystawiają itd. A Ty robisz po prostu select i z tego sobie generujesz bicepsa albo terraforma.

Łukasz Kałużny: Tak, dobre, dobre.

Szymon Warda: To nie jest taki zły pomysł wbrew pozorom.

Łukasz Kałużny: Dobra, to lećmy sobie dalej. Następna rzecz - drama Dockera. Docker wygaszał coś takiego jako coś co się nazywa Docker Free Teams, czyli ta jedna z darmowych licencji i komunikacja była tak zła, że różne organizacje zaczęły spierdalać z Dockera np. do jakichś innych rejestrów githubowych, google’owych, które można wyhostować publicznie z tego względu, że nie było wiadomo czy przypadkiem nie stanie się tak, że będą kasowane organizacje z opensourcem, które wykorzystujemy.

Szymon Warda: Podejrzenie, że będą kasowane organizacje z open source’em to… Ja trochę tej paniki nie rozumiem do końca, bo gdyby Docker chciał usunąć opensource’owe organizacje to to jest strzał w kolano i w tym momencie usuwają największą wartość jaką mają - Dockerhub. Mianowicie to, że w każdej instytucji… Nie wiadomo jak, nawet przez bezpieczniki zabezpieczonej… Zawsze będzie opcja pobierania obrazu z dockerhuba. Dockerhub będzie zawsze whitelistowany, bo potrzeba tego. Po prostu to jest wymagane. Więc gdyby usunęli te organizacje to nie ma żadnej wartości żeby na dockerhubie to hostować. Wydaje mi się, że cała drama trochę za bardzo wyeskalowała w ogóle.

Łukasz Kałużny: Bo wiesz co? Bo de facto zaczęło się od początkowego kijowego maila, na zasadzie nie stargetowanego dla ludzi, którzy to wykorzystują, tylko po prostu dla ludzi, którzy lecą na free. Na zwykłych kontach i sobie poleciało, że hej, dzięki, na razie. Czyli całość i komunikat był taki: If you don’t upgrade to a paid subscription Docker, we’ll retain your organization data for 40 days, after which they will be subject to deletion. Czyli taki wiesz, mail, który tam poleciał do ludzi, którzy mieli te konta, inne rzeczy. No był słaby, w sensie był bardzo źle stargetowany, stąd ta drama.

Szymon Warda: Rozumiem, rozumiem, ale z mojej perspektywy to jest na zasadzie: ok, poszedł email. To byłby debilny pomysł, żeby to zrobili. Odczekajmy chwilę, to się będzie działo, no nie panikujmy za każdym razem.

Łukasz Kałużny: Nie, z tego już się wycofali, oczywiście. Wyprostowali to. Tylko też też zobacz, że w tych programach open source’owych Dockera; w tych oficjalnych image’ach dużo projektów nie uczestniczyło. Trzymało sobie zwykłe organizacje, a nie w ramach tych programów dockerowych, które były Docker verified.

Szymon Warda: I super. Znaczy się, że trzeba to uporządkować. I tu Docker ma w pełni rację, że powinny być pewne organizacja, żeby wiedzieć co, jak gdzie wygląda i nie odmawiam im absolutnie tego, tego usunięcia, usunięcia free tiera. Rozumiem dramę, trochę poziom wyeskalowania tak? Może kwestia wieku. Że w zasadzie gadanie: eee, poczekajmy, coś się wyjaśni. To tak nie wygląda.

Łukasz Kałużny: No, tylko, że pewnie bez tej dramy by tego nie wyprostowali.

Szymon Warda: No, możliwe. Tu nie będę dyskutował generalnie, ale dobrze też z drugiej strony, że jest też siła przebicia community, która mówi, że pomysł jest głupi, jakiś tak naprawdę.

Łukasz Kałużny: Dobra.

Szymon Warda: Dobra.

Łukasz Kałużny: I ostatnia rzecz…

Szymon Warda: Wcisnę ci się jeszcze.

Szymon Warda: Dobra. Dajesz.

Szymon Warda: Bo żeby nie było, że to jest całość. Co generalnie u mnie? Jeden, jeden fakt. Też odnośnie… Odnośnie… Nawiązujący do tego, co powiedziałeś przed chwilą. Mianowicie do rozdmuchiwania trochę spraw, ale pozytywnie. AWS, jak doskonale wiemy, jeżeli chodzi o policy zarządzania. Takie trochę kulawe było, ale co zrobili? Wypuścili Cedar, który został nazwany językiem do polityk w chmurze. I tutaj przyczepię się do określenia język. Jak mówimy język to nam się kojarzy generalnie coś co będzie no przynajmniej na poziomie jakiegoś SQL’a coś na poziomie. Coś, gdzie można jakiś przynajmniej warunek dać tak naprawdę. No nie. Cedar jest de facto czymś dużo bliższego do YAMLa. Tak naprawdę. Który nie uważam, że jest…

Łukasz Kałużny: Znaczy, jest DSL-em. Chyba to jest najlepsze określenie.

Szymon Warda: Tak, jest takim… No taką uporządkowana składnią do zapisu de facto i to jest tyle, to nie jest pełnoprawny język; ale poza tym, że uważam, że słowo język jest nadmuchane i niestety trochę nadużywamy pewnych, pewnych tematów, to jest to kawałek fajnego kodu. Co to umożliwia? Umożliwia, umożliwia kilka rzeczy. Przede wszystkim definiowanie co jest pozwolone, co zabronione itd. itd. Na poziomie obiektów. Na poziomie poszczególnych warunków. Dodawanie ifów, zagnieżdżeń, elementów typu coś się w czymś zawiera, co jest ważne: umożliwia deklarowanie dość zaawansowanych warunków. Inaczej: property na obiektach. Możemy powiedzieć, że zezwalamy dostęp wszystkim użytkownikom, których atrybuty wyglądają tak, albo których rodzice mają atrybuty wyglądające tak albo załóżmy wszystkie requesty dla tego obiektu… Jeszcze wszystkie dostępy do tego obiektu, requesty http, post itd. Czyli daje całkiem fajną elastyczność, bo składa się tam właśnie z obiektu. Z obiektu, z principala i z resource’a. I do tego dochodzą jeszcze warunki generalnie. Czyli kiedy ten… Uprawnienie może być nadane albo zabrane. Składnia jest naprawdę fajna, jest prosta. Raczej.. powiem z drugiej strony tak: dużo się nie różni od azure’owych de facto polityk tak naprawdę. Trochę składniowo, tak naprawdę, jeżeli chodzi o…

Łukasz Kałużny: Składniowo jest przyjemniejsza. Na pierwszy rzut oka.

Szymon Warda: Jest przyjemniejsza, zdecydowanie.

Łukasz Kałużny: Przyjemniejsza i lepiej wygląda od rego policy, który jest w open policy agencie.

Szymon Warda: Tak, chociaż zescrolluj jeszcze na sam dół. Przy tych bardziej skomplikowanych to już zaczyna wyglądać dużo bardziej podobnie do…

Łukasz Kałużny: Do azure’owych, tak, tam dużo jest JSONa. Przy czym my narzekamy, trzeba… Warto jeszcze zobaczyć IAMa, który jest w AWSie. Jeżeli ktoś z Was nie oglądał. Też jest niewesoło.

Szymon Warda: Zgadza się. Więc kierunek uporządkowania naprawdę fajny. Cieszę się, że odchodzimy od takiego głupiego JSONA, na którym zapisujemy te wszystkie warunki tak bardzo obiektowo, bo to nie jest mało czytelne. Nie oszukujmy się, to wygląda dużo lepiej i ma… Parę rzeczy mnie cieszy właśnie typu, że jest dużo większa granulacja na actiony i niejako odpytywanie, jeżeli chodzi o obiekty nadrzędne, poszczególnych property. To też jest fajne, bo to można fajnie użyć w kontekście tagów, także naprawdę, naprawdę nieźle. No i to mnie…

Łukasz Kałużny: Chyba tak, trzeba dodać jeszcze gdzie to jest teraz, bo to jest do usługi AWS Verified Access. To tam się to…

Szymon Warda: Tak, tylko przy Verified Access.

Łukasz Kałużny: Tak, to jest warto tam dodać, ale patrząc się pewnie, że trochę tam pracy było włożone. Patrząc się na tą składnię to być może pójdzie dalej do innych usług AWSowych.

Szymon Warda: A czy ma to sens? Wygląda to… Jeżeli nawet nie jest jakieś super działające…

Łukasz Kałużny: A, no i przepraszam, jeszcze też… Verified Permissions.

Łukasz Kałużny: Przepraszam, jeszcze Amazon Verified Permissions czyli Manage fine grained permission and authorization with Custom Application.

Szymon Warda: Tak, więc ma to sens. Mam nadzieję, że w tym kierunku pójdziemy, bo uproszczenie tej składni zarządzania politykami jest potrzebne w każdej chmurze, bo one wyglądają strasznie z reguły.

Łukasz Kałużny: Tylko jeżeli popatrzysz… Filozofia wszędzie jest, tak jak nawet na ten Cedar popatrzysz sobie, to wszędzie ta filozofia jest dokładnie taka sama, czyli akcja, kto, do czego i potem już szczegóły.

Szymon Warda: Tak, to tu się nie zmieni. Nie oszukujmy się, nie planujemy odkrywać Ameryki, to jedyne dla mnie się zmieniło to jest to, że możemy odpytywać obiekty nadrzędne po propertach, a nie po bezpośrednim ID-ku. To jest, no fajna rzecz.

Łukasz Kałużny: Tak, to jest troszeczkę… Tak, jest przyjemniejsze jak tam popatrzymy.

Szymon Warda: Ale mnie tu bardziej cieszy składnia. Że składnia faktycznie jest mniejsza porównując to z tym, co mamy obecnie po prostu.

Łukasz Kałużny: Wiesz co, dla mnie to jest po prostu język napisany na bazie… jakiś DSL zrobiony na bazie JavaScripta.

Szymon Warda: Tak, oczywiście, tutaj to nie ma żadnego w ogóle odkrycia, jakiś taki javaScript lub coś w tym stylu. Tutaj rewolucji nie ma. To jest bardzo miłe ułatwienie życia. Dobra, nie rozciągając się, jeszcze parę innych rzeczy. Pamiętasz jak rozmawialiśmy… jakiś czas temu odnośnie FinOpsa i że jest to jeden z ruchów, który pewnie się ruszy w tym roku? No i się ruszyło, bo Microsoft dołączył do FinOpsa jako tam Platinium, czy tam… Jeden z najwyższych partnerów. Wiadomo, jak się ma kasę to się wydaje kasę.

Łukasz Kałużny: Hehehehehe.

Szymon Warda: No taka prawda. Oczywiście, FinOps jako organizacja to ma już swoich trenerów, ma swoje certyfikacje i w ogóle tego dość dużo się zrobiło tak naprawdę. Może trochę za dużo generalnie względem tego, co właściwie powinno być, ale co mi się spodobało; spodobało mi się bardzo mocno to, co przy okazji FinOpsa przeglądałem. To jest to, jak fajnie uporządkowali drogę, czym jest FinOps. Na stronce swojej wyjaśnili drogę optymalizacji chmurowych… Osób, które biorą udział… Ról, jak to powinno brać odpowiedzialności, kto co robi i też poziomy dojrzałości firmy. I to się przydaje. Jak ktoś potrzebował to ten opis na tej stronie jest niezły.

Łukasz Kałużny: Jest taki jeden cytat, z którego osobiście mam polewę. If it seems, that FinOps is about saving money, then think again. FinOps is about making many. To taki trochę też statement mocny do, nazwijmy to trochę, do managementu. A nie do ludzi, którzy się tym faktycznie mają zajmować.

Szymon Warda: Ależ oczywiście. Wiadomo, że generalnie MS nie dołączałby do całej organizacji, jeżeli mieliby na tym stracić kasę, nie oszukujmy się. Nie. Ale bardziej to się przydaje w kontekście takich… Bo są czasem takie zrywy, “ooo, wydajemy tyle na chmurę. Musimy coś z tym zrobić. Zmniejszamy użycie.” No nie? Chodzi bardziej o ustrukturyzowane podejście do całego problemu, żeby nagle z tej paniki, która czasami… Szczególnie, że czasy są ekonomiczne różne, móc to ustrukturyzować i móc z tego zrobić realny proces, czyli żeby podejmować decyzje rozsądnie, a nie w wyniku nagłej paniki. Więc tylko tu jest dla mnie wartość tak naprawdę, żeby decyzje były sensowne, a nie spanikowane. Dobrze, ostatni link sobie jeszcze zostawiam, ale… Więc leć ze swoim, co tam jeszcze miałeś.

Łukasz Kałużny: Dobra - i ostatnia rzecz, chyba taka dla kronikarskiej powinności. Zeszły tydzień obrodził w obwieszczenia w ramach modeli LLM, czyli tego co znamy na przykład jako GPT-4, które się pojawiło. Te OpenAI, Chat GPT. I poleciało, że tak powiem, w ogłoszenia. Samo GPT-4, które wszyscy zakładali, że pewnie pod koniec roku wypuszczą, to już się pojawiło. Po testach powiem tak, bo sam przetestowałem sobie na kontekście naszego… Naszego podcastu i transkryptów, no robi wow. O tak, jeżeli popatrzymy.

Szymon Warda: Robi wow, tak.

Łukasz Kałużny: I całość z tych, całość z tych ogłoszeń… 2 najciekawsze, że ogłoszenia googla przeszły bez echa. Pokazali swój filmik integracji swojego AI-a w Docsach, żeby pomógł pisać za nas. Ale co ciekawsze, koncepcja Microsoft 365 copilota.

Szymon Warda: Tak.

Łukasz Kałużny: I to jest tak, GPT-4 jako silnik no sobie jest, ok. Tak, w niektórych kontekstach potrafi urwać szczenę patrząc się… Jeżeli wiesz, o co go, w jaki sposób chcesz przetworzyć dane korzystając z tego modelu, bo to jest chyba najlepsze określenie, bo to nie jest istota rozumna, Ty musisz wiedzieć co chcesz z tego uzyskać i nim pokierować. Ten prompt engineering faktycznie występuje. Ale za to co urywa dupę, to jest koncepcja copilota.

Łukasz Kałużny: Tak jak mamy githubowego copilota do kodu, tak zaczyna powstawać sobie idea copilota dla pracy biznesowej. Dla takich normalnych czynności władowanej i w Office’a 365, który ma działać w każdej aplikacji i ma feedować użytkownikowi dane ze wszystkich rzeczy, które są dostępne w ramach jego konta w tym ekosystemie.

Szymon Warda: Tak. I mnie rozwaliła jedna rzecz, streszczenie całej historii maili. Masz, wielkiego coś, jak… Maile i mówisz mu: streść mi to, i ci streszcza. Jezu, jakie to jest przydatne.

Łukasz Kałużny: Tak, to było… Tak, to było piękne. I jeszcze jeden ficzer, który jest piękny. Tak patrząc się, bo mówię, że ma dostęp do wszystkiego. Ficzer, na który taki… Który jest jedny: zrób prezentację z tego Excela. To było… Zajebiście wyglądało. A największy feature: co straciłem, spóźniając się na spotkanie?

Szymon Warda: Tak.

Łukasz Kałużny: Żeby zrobił podsumowanie spotkania, to patrząc się z tych funkcjonalności to jest już mega.

Szymon Warda: Ale też rzeczy ważne, bo ty powiedziałeś o jednej rzeczy, powiedziałeś odnośnie spóźnienia. On jest w stanie powiedzieć Ci powiedzieć, co straciłem, spóźniając się na spotkanie. Będąc w tej… W tej roli. Więc nie da Ci generycznego streszczenia, da Ci streszczenie w kontekście tego, co jest dla Ciebie istotne.

Łukasz Kałużny: No to już wiesz…

Szymon Warda: I dla mnie to jest otwarcie tego, żeby po prostu wyeliminować spotkania! W dużej mierze.

Łukasz Kałużny: Tak. Raczej, czy wiesz… i teraz jest, zauważ… To jest teraz trochę dowcip, bo jeżeli ludzie by zaakceptowali to, że nie trzeba pisać pełnych zdań i poematów, tylko krótkie bullety, które ci przekazują wiedzę… Bo nagle się będzie okazywało, że ludzie będą te krótkie punkty rozpisywali w poematy, a z drugiej strony inni ludzie będą to skracali do tych pierwotnych bulletów.

Szymon Warda: Tak, tak, tak. Bo te całe takie piękno zdaniowe formy piszesz po tego, żeby była ładna komunikacja firmy… I żeby to wyglądało ładnie. A potem będzie streszczane, dokładnie, taki będzie łańcuszek. Tak. Dla mnie, odnośnie tego, co powiedziałeś, to jeszcze jest… No pewnie słyszałeś o tym właśnie, jak wewnętrzna forma Chat GPT przekonała, mając do inservice’ów chyba pracownika Rabbit, udając osobę upośledzoną wzrokowo, po prostu niedowidzącą po to, żeby odczytała captchę dla niej. No więc tak. Więc mając dostęp do API, przekonała… Wynajęła pracownika po to właśnie, żeby po to, żeby rozszyfrował captchę. Także, no… Także, to tak, przerażające, ale w tym kierunku to idzie. Ale ogólnie, wydaje mi się, że jeżeli chodzi o cały temat AI-a, to Microsoft po prostu wygrał i strzelił w dziesiątkę, jeżeli chodzi o inwestycję w OpenAI-a, bo ewidentnie odstawił wszystkich innych daleko, daleko, daleko i mają pomysł jak to…

Łukasz Kałużny: Raczej, wiesz co…

Szymon Warda: …włączyć w swoje aplikacje.

Łukasz Kałużny: Raczej: mają świetną bazę do komercjalizacji. To tak jak Teamsy versus Slack. I że Salesforce’owi sprzedaż tego Slacka w ogóle nie idzie.

Szymon Warda: Opinia o teamsach jaka jest, taka jest generalnie, ale…

Łukasz Kałużny: Jest, ale wiesz, jak popatrzysz kosztowo. Jak mówiliśmy o FinOpsie, no to jest to proste.

Szymon Warda: Dobrze, to jeszcze jeden na koniec dorzucę link. Raport odnośnie podatności open source’u. Taki OWASP, tylko dla open source’u. I wszystko fajnie tak naprawdę, jak to usłyszałem szukając: “o, coś ciekawego może będzie, tak naprawdę”. Wielkie rozczarowanie, bo de facto nie mówi kompletnie o niczym nowym. I moja taka refleksja: podatności typu właśnie, że znane…

Łukasz Kałużny: Znane podatności…

Szymon Warda: Znane podatności, tak, że możemy się podszyć, po to, że to jest niedojrzałe, po to, żeby nas może wprowadzić w błąd. Po to, że ktoś może to usunąć. Totalnie nic, absolutnie nic nowego tam generalnie nie było tak naprawdę, ale to mnie może nawet trochę cieszy de facto. Bo tak samo jak OWASPa zawsze otwieram, że może coś nowego się pojawiło. Tam nigdy nie ma nic nowego. Ale tak wygląda realność, po prostu, że nie pojawiają się nowe podatności, są podatności, o których już dawno, dawno, dawno wiemy. Więc odnośnie opensource’u nie ma nic nowego, kompletnie. Nic, co by zaskoczyło. No ale w sumie używamy tego open source’u już na tyle, na tyle dużo, że no nie ma co się pojawić.

Łukasz Kałużny: Jedna jest fajna… To sobie popatrzeć, dziwi mnie tak, że nisko jest ryzyko związane z licencją.

Szymon Warda: Też właśnie na nie patrzę, tak.

Łukasz Kałużny: Tak, że to jest nisko. Następna rzecz to jest immature software, to jest taka rzecz też normalna, że na świeżynki się nie rzucamy, jeżeli nie potrzebujemy. I under oversized dependency. To jest taka ciekawa rzecz, jeżeli popatrzymy, bo tam akurat mało się nie patrzę. Jest ten piękny mem, który mówi, że jakiś facet z Teksasu maintenuje paczkę, która utrzymuje pół CNCF’u, był sobie taki piękny, ten… Piękny mem z tego i to fajnie pokazuje.

Szymon Warda: Zgodzę się. Licencje? Wydaje mi się, że licencja jest dość nisko z tego powodu, że to po prostu… Tu nie będziesz miał włamu. Na poziomie organizacyjnym to jest dość dużo, bo nagle może okazać się, że musisz płacić absurdalne pieniądze i musisz nagle się tego wycofać. Więc pewnie pod tym kątem to zrobili. Ale tak, ale co ciekawe? Nie wydaje mi się, żebyśmy mieli dobrą odpowiedź na większość z tych tematów tak naprawdę na poziomie zarządzania, bo nie ma. Tego po prostu jest zbyt dużo, a szczególnie, że mówimy o…

Łukasz Kałużny: Jeżeli sobie tak popatrzysz… Może inaczej, jak ja sobie patrzę na to: część z tych rzeczy to jest IT governance, i to jest pilnowanie…

Szymon Warda: Jak najbardziej tak.

Łukasz Kałużny: Inaczej - de facto dużą część z tych ryzyk adresujesz po prostu zarządzaniem. Jeżeli popatrzą…

Szymon Warda: Ja bym nie powiedział, że dużą. Część, Łukasz, część, bo to nawet nie jest więcej, niż połowa.

Łukasz Kałużny: Raz… Czekaj, liczymy sobie. Czyli tak. Name confusion attacks - to robisz governance’em. Unmaintained software, to jest zarządzanie tak naprawdę długiem technologicznym.

Szymon Warda: Ale to też jest gadanie tego, że zależnie na jakiej paczce… Potem musisz to wycofywać, albo że paczka jest nieużywana i musisz nagle Ty ją utrzymać jako organizacja.

Łukasz Kałużny: Tak, dokładnie tylko, mówię, są wiesz… Tylko, że mówię takie albo outdated software to jest w ogóle… Już w ogóle inna klasa problemu, która też jest…

Szymon Warda: Jest dużo worków tutaj pojemnościowych, ktoś chciał zrobić ten raport, żeby był, żeby pojawiło się w mediach. I on jest mocno reklamowy. Nie oszukujmy się, jest tak naprawdę, ale no część rzeczy… Tak będzie, po prostu będzie, będzie tak wyglądała, bo jednak mimo wszystko nie czas, że mamy zupełnie wydzielone jedno centralne repo i jeden centralny człowiek dodaje paczki, bo ktoś mu wysłał maila i robimy skan. Nie, to z reguły wygląda tak, że po prostu deweloperzy dodają. A my potem robimy retroaktywnie… Robimy - dodajemy je, skanujemy i budujemy wokół tego governance. To nie jest taki governance upfront, że my pozwalamy którą paczkę możesz, tylko będzie taki governance na zasadzie, że skoro już mamy to musimy tym zarządzić. Tak to z reguły wygląda. Dobra, tyle chyba! Tak?

Łukasz Kałużny: No to kończymy, na razie.

Szymon Warda: Kończymy. Na razie.