认识一下JFrog的最新董事会成员——Citrix首席信息官和技术行业资深人士Meerah Rajavel

随着JFrog的持续发展，在我们的董事会中拥有可靠的指导和合适的人才组合对帮助我们实现目标非常重要。我们很荣幸最近请到了经验丰富的商业技术领袖，Meerah Rajavel，加入我们的董事会．Meerah在收入增长、进入市场和业务转型战略方面的丰富经验将是帮助JFrog完成下一阶段全球增长和产品扩展的关键，巩固我们在DevOps和DevSecOps市场。

Meerah是一位以商业为中心、屡获殊荣的技术领导者，目前担任思杰的首席信息官。她在企业软件、网络安全和应用性能解决方案方面拥有超过20年的经验，在Citrix、McAfee和Cisco Systems等大型公司以及几家快速增长的初创公司中，她通过创造性地使用新兴技术，帮助推动了盈利能力、灵活性和转型。作为变革推动者、母亲、妻子和创新领袖，Meerah以支持科技领域的女性而闻名，她将是JFrog继续致力于工作场所多样性的不可或缺的一部分。

为了帮助JFrog社区、客户和合作伙伴更好地了解Meerah，我们与她进行了一次非正式的问答，讨论了她是如何开始的，DevOps和DevSecOps趋势中最吸引她的是什么，以及它们在未来几年将如何影响市场等等。以下是她的回答:

1. 给我们介绍一下你自己吧
2. 对你的职业发展有帮助的导师是谁?为什么?
3. 你对其他想在网络安全领域发展的女性有什么建议?
4. 你觉得DevOps或DevSecOps领域最吸引你的是什么?
5. 对于刚刚开始数字化转型的公司，您有什么最佳实践建议?
6. Log4j是如何影响您组织的工作流程的，或者对于那些仍然在与Log4j作斗争的人，您认为有哪些关键的收获?
7. 你认为对2022年DevOps和/或DevSecOps影响最大的主要趋势是什么?

问:请介绍一下你自己——你在成长过程中是否知道自己想从事IT行业?你是怎么做出这个决定的?

我出生在印度南部的一个小镇上。我第一次接触电脑是在十年级的时候，当时我的邻居让我接触当时被称为“家用电脑”的电脑，向我展示电脑的计算能力。这款设备的性能和速度立刻给我留下了深刻的印象。那一刻我知道我想做一些与计算机有关的事情。虽然当时我并不清楚我的职业选择是什么，但我知道我想成为一名程序员，并决定在剑桥攻读计算机科学工程学位Thiagaraja工程学院在印度。

问:对你的职业发展有帮助的导师是谁?为什么?

我很幸运，在我的一生中，无论是在个人生活上还是在工作上，都有很棒的导师。我生命中的第一批向导是我的直系亲属，他们至今仍对我有很大的影响。我的父亲总是鼓励我去追求我的梦想，不要逃避机会，尽管路上可能有任何障碍。我的母亲是一个活生生的例子，说明了一个女性如何能够不受可能阻碍她们获得成功和影响力的社会限制。我的丈夫拉杰一直是我职业生涯的重要支柱。我们在我20岁的时候结婚了——刚从大学毕业——在我们结婚的那天，他告诉我，我需要成为一个独立的女人，他会尽他所能帮助我达到这个目标。当我们通过传统的包办婚姻的方式认识时，我几乎不会说英语，但他指导和指导了我的职业选择。还有我的女儿夏伊，她是任何人都能得到的最好的鼓励。

在我的职业生涯中，我也有幸与几位出色的女性专业人士共事，她们每一位都对我产生了深远的影响。苏·斯泰梅尔既是我的经纪人，也是我的好朋友。她告诉我，真正的领导力需要我的内心和头脑都付出努力。丽贝卡·雅各比向我展示了如何成为一个以业务为中心的领导者——始终牢记整个公司的利益，而不是只关注你的功能指标。Patty Hatter演示了如何在团队内部和团队之间建立联盟，以激励人们尽最大努力工作，取得最好的结果。

让我们成为先驱者，并让其他人与我们一起

问:作为一名在IT安全领域有成就的女性领导者，你是否觉得在平等获得此类机会方面，形势终于逆转了，还是还有更多的工作要做?你对其他想在网络安全领域发展的女性有什么建议?

虽然在女性获得IT领导职位方面已经取得了显著的进展，但仍有更多的工作要做。我们看到，在1995年至2000年间，女性担任IT领导职位的数量急剧增加(增长11%)，如今，女性在IT领导中约占24%。然而，当涉及到it安全(现在还包括隐私、风险、合规和审计职位)的女性代表时，女性仅占领导职位的13%。IT行业(更具体地说，是安全行业)的这种职位多元化不仅对作为一名IT安全女性领导的我来说很重要，而且还具有良好的商业意义。我想我们都同意男性和女性倾向于优先考虑不同的领域，在团队和企业中看到不同的发展机会。因此，确保在两端拥有平等的度量和发言权是有利的。为了达到这个目的，我建议公司考虑以下三个步骤:

1. 给水管道:建立你自己的或与当地的STEM项目合作，该项目为对数学、科学和技术感兴趣的年轻女孩提供“早期开始”项目。
2. 防止消极后果:实施公司和同行支持项目，提供灵活性、包容性，并鼓励女性留在职场。
3. 为未来做准备:建立导师计划和内部学习课程，帮助激励和指导希望打破玻璃天花板的年轻女性专业人士。大约5年前，我们启动了一个女性CXO网络——T200 (https://www.t200.org)，目的是提升女性在科技领域的地位。然后在2021年，我们推出了T200-LIFT，专注于提拔更多的女性领导者进入高管层。

此外，重要的是要记住，多样性不应该局限于性别。今天的公司应该努力拥抱各种形式的多样性——性别、种族、宗教、认知和性。Meerah是T200组织的一员，该组织致力于提升女性在科技领域的地位。

问:总的来说，你觉得DevOps或DevSecOps领域最吸引你的是什么?更具体地说，是什么吸引你来到JFrog?

毫无疑问，在过去的十年里，所有东西的数字化已经导致了所有公司——无论哪个行业——都变成了软件公司。无论你是一家高科技软件公司，还是一家没有任何物业的基于应用程序的酒店公司，还是一家车队中没有一辆车的运输公司，还是一家没有分支机构的金融机构。从移动银行和虚拟医疗访问，到自动驾驶汽车和自动化食品准备和配送服务，软件应用程序几乎嵌入到经济和我们生活的每个方面。这就是为什么所有的公司——无论什么行业——都需要DevOps。

传统上讲，软件有两个重要方面需要记住:制造和分发。首先您需要开发软件，然后您需要交付它。但在当今威胁日益增加的环境中——网络攻击的数量和复杂性每天都在增加——安全成为其中的第三个支柱是必要的。在今天的市场中，无论何时你提供一种产品或服务，人们都希望它是安全的。因此，在DevSecOps中，安全性是“嵌入”到软件开发中，而不是在软件已经投入使用后才“附加”，这种做法正在兴起。我认为DevSecOps不是一项技术，而是一种框架，需要应用于跨企业创建或更新的每一个软件。这就是JFrog提供的秘密武器:跨整个软件供应链提供安全二进制管理的能力，这也是吸引我加入他们董事会的原因。

问:DevOps通常被描述为数字转型的推动者。作为一个在领导大型团队和组织经历广泛的技术变革方面拥有丰富经验的人，您对那些刚刚开始数字化转型的公司有什么最佳实践建议?

在开始任何数字化转型计划之前，明智的做法是与你的业务伙伴保持一致，并确保你们都是从由内而外、从全公司的角度来处理这个问题——因为将新技术应用到一个破碎的过程中并不能解决问题。

对我来说，任何类型的变更管理都需要分解为三个重点领域:人员、过程和技术．但你必须从人因为如果没有围绕变革建立起一种文化，就很难取得成功。这也是我推崇DevSecOps的另一个原因;它的基础是将这三个要素结合在一起，以加速高质量、安全的软件的开发和交付。

当涉及到人在美国，试图实现变更的IT领导者需要注意两个重要的元素:文化和培训。首先，你必须建立一种文化，鼓励冒险和组织成功，而不是个人成功。团队合作，团队胜利，没有人会独自溺水。其次，你应该建立培训计划，使个人能够自信地过渡到新的系统或工作方式，并立即生效。如果在过渡期间有太多的停机时间，就很难恢复过来，也很难对未来的努力获得信心。

为过程在美国，我建议你固定在安全敏捷框架(safe)这样的标准上，这些标准使文化和运营效率成为任何项目的关键支柱，以帮助在业务的所有领域轻松采用。

最后，一定要投资正确的领域技术帮助自动化和集成工作流，从而减少生产时间，最小化对业务的破坏，并提高效率。

问:最近的Log4j/Log4Shell漏洞对各种规模的公司和政府机构都产生了显著的影响。Log4j是如何影响您组织的工作流程的，或者对于那些仍然在与Log4j作斗争的人，您认为有哪些关键的收获?组织能够并且应该做些什么来帮助最小化他们与Log4j等漏洞相关的风险?

的Log4j脆弱性将对DevSecOps和s的需求放在聚光灯下软件组成分析(SCA)，这将创建软件物料清单(SBOM)用于应用程序中的开源包，包括许可证遵从性和安全漏洞。像Apache Log4j这样的开源组件在现代软件开发中已经非常普遍，大多数现代应用程序的代码库都是由这样的包组成的。有了SBOM方法，开发人员可以更快地进行开发，因为他们不需要重新创建已经由社区免费提供和审查的代码。

像Log4j这样的事件对企业、技术和政府组织都具有高度破坏性，因为这有一个连锁反应，其后果还有待观察。此外，与任何病毒一样，Log4j漏洞也在不断变异和变化，这意味着修复既具有挑战性又耗时。

Log4j事件无疑会产生长期的影响，但作为一种短期的战术方法，我建议安全专业人员专注于处理他们的资产库存。利用免费的开源扫描工具由JFrog等供应商提供，以帮助快速检测源代码和二进制文件中Apache Log4j的存在和使用情况，这样您就可以集中精力进行补救，并加快解决问题的速度。我还会与您合作的商用现货软件(COTS)供应商保持密切沟通，了解他们在适当管理Log4j补救方面的进展。

从长远来看，为了避免Log4j和其他病毒在未来的破坏性影响，最好将DevSecOps、SCA和SBOM框架合并到所有软件部署中，以帮助更好地保证整个软件供应链的安全性。

问:随着年底的临近，你认为对2022年DevOps和/或DevSecOps影响最大的主要趋势是什么?

当我审视今天的形势时，我看到了两个将在2022年及以后继续推动DevSecOps扩散的因素——混合工作场所和日益增加的威胁形势。

在过去的12个月里，我们见证了SolarWinds和Log4j对软件供应链的两大攻击。第一个例子表明，恶意代码可以很容易地远程注入到交付给全球数千家企业和政府机构的简单软件更新中。第二点强调了威胁行为者如何越来越多地瞄准第三方软件组件中的漏洞，以造成广泛的破坏。

Forrester最近的研究显示，80%的安全和商业领袖表示，由于远程工作，他们的组织更容易受到风险的影响。根据研究，超过一半的远程员工使用个人设备访问工作数据，71%的安全主管对远程员工的家庭网络缺乏足够的可见度，导致大部分针对远程员工的网络攻击(67%)。

像这样的情况经常伴随着这样一个事实:许多公司在任何给定的时间内都有同一软件的多个版本在公司内部运行，而不完全知道在使用什么。作为一名软件工程师，现在是负责公司安全和员工生产力的CIO的人，我强烈地感到所有这些因素都强调了确保软件供应链的重要性，更具体地说，是二元管理在软件开发过程中扮演的关键角色。