雲計算

SBOM 雖說 VEX 並不盡然需要依賴於 SBOM，但在討論 VEX 之前，肯定必須先了解一下 SBOM（Software Bill of Materials, 軟體物料清單），因為這樣才能了解 VEX 的必要性和它所想解決的問題。 軟體物料清單提供了軟體組成的相關資訊。這些相關資訊會說明這些組成是由誰提供、由誰開發、包含哪些項目、何時建置和依賴訊息等訊息。這些資訊對於提升軟體的透明度相當有幫助。因為使用者能夠透過這些資訊了解該軟體所採用的套件或其他工具是否存在可被利用的漏洞而需要立即進行修補。 SBOM 之所以受到關注還是要歸因於從 2020 年後的三起重大的資安事件，包括 Solarwinds[1]、燃油管事件[2]和 Log4j[3]。這三個重大資安事件促使美國總統在 2021 年時簽署了行政命令，責令美國商務部和美國國家電信暨資訊管理局（National Telecommunications and Information Administration, NTIA）需要在 60 天內制定 SBOM 的最基本要件。雖然 SBOM 對提升透明度的確有所幫助，但它畢竟仍是一個靜態的資訊。軟體使用者仍需要從軟體供應者處取得該軟體相關組成的漏洞狀態，才能夠進一步確認當前軟體受到漏洞影響的狀態，而 VEX 正是提供此關鍵訊息的機制。

由 FinOps 的權威機構：FinOps 基金會（FinOps Foundation, F2）所訂定的 FinOps 框架在 2024 年迎來了改版，包含更新 FinOps 一詞的定義[1]、擴展參與和關聯的角色等，而最大的變動在於簡化 FinOps 框架中的實踐領域，並更完善各實踐領域下所需具備的執行能力[2]。下圖是 FinOps 基金會官網最新版的框架總覽圖： 資料來源： FinOps 基金會官網：Framework overview 重點更新：FinOps 定義 早期的時候，雲端的財務管理包含了使用 Cloud Cost Management（雲端成本管理）、Cloud Financial Management（雲端財務管理）一詞。 (2021): “FinOps is an evolving cloud financial management discipline and cultural practice that enables organizations to get maximum business value by helping engineering, finance, technology and business teams to collaborate on data-driven spending decisions.

FinOps 趨勢 近年來，為加速推動數位轉型與 IT 現代化，企業紛紛開始投向雲端的懷抱，期望利用雲端的優勢以提供更快速、更可靠的服務。企業在邁向雲端的初期，通常優先考量應用場景的服務選用、技術的重構與遷移、安全與合規性等議題，但隨著在雲端的業務趨於穩定後，攀升的雲端成本卻帶來了另一項挑戰。 根據 Google 關鍵字搜尋趨勢，從 2021 年的下半年開始，FinOps 熱議度明顯的攀升。在國際上，不論是相關的職缺，或是 DevOps、雲端等調查報告，多指出 FinOps 是 2022 的關注焦點[1][2]，從 CIO 的訪談也不難看出企業正努力應對不斷上漲的雲端成本[3]。我們可以從調查報告[4][5]發現當前企業採用雲端的普遍現象： 雲端成本大幅增加，但大部分的受訪者表示存在著雲端浪費，且浪費的佔比還不低！ 另外值得一提的是，根據 Hashicorp 2021 的調查報告[6]指出，超出預算者多為雲預算較高的企業！ 因此，企業必須進一步思考： 雲預算逐年增加，是否真的來自業務增加？抑或因爲無法識別過去超支的原因，只能不斷地提高預算以持續業務？ 同時，雲端支出所面臨的痛點導致業務、財務、工程團隊產生隔閡。這是因為使用雲端資源的人無法即時性的洞察支出，而事後的帳務報表檢閱者無法識別責任單位。

作為基礎設施的工具，Pulumi 主要可以採用以下三種方式進行測試，而除了驗證的範疇外，在程式語言的支援上也有所不同，下方的表格總結了三種方式主要的差異： 表格一：Pulumi 測試方法比較 單元測試 屬性測試 整合測試 實際部署基礎設施 否 是* 是 需要 Pulumi CLI 否 是 是 執行時間 毫秒 秒 分 語言 同 Pulumi 支援的程式語言 Node.