认识一下JFrog的最新董事会成员——Meerah Rajavel,思杰首席信息官和技术行业资深人士
通过
13分钟阅读
随着JFrog的持续发展,拥有坚实的指导和正确的董事会人才组合对于帮助我们实现目标非常重要。我们很荣幸邀请到经验丰富的商业技术领袖,Meerah Rajavel,董事会成员.Meerah在收入增长、市场进入和业务转型战略方面的丰富经验将有助于指导JFrog完成下一阶段的全球增长和产品扩张,巩固我们在DevOps和业务领域的领导地位DevSecOps市场。
Meerah是一位以业务为中心、屡获殊荣的技术领导者,目前担任Citrix的首席信息官。她在企业软件、网络安全和应用程序性能解决方案方面拥有20多年的经验,她通过创造性地使用新兴技术,帮助Citrix、McAfee和思科系统等大型公司以及几家快速增长的初创公司提高了盈利能力、灵活性和转型。作为一名变革推动者、母亲、妻子和创新领导者,Meerah以支持技术领域的女性而闻名,她将成为JFrog继续致力于工作场所多样性的不可或缺的一部分。
为了帮助JFrog社区、客户和合作伙伴更好地了解Meerah,我们与她进行了一次偶然的问答,讨论了她是如何开始的,她认为DevOps和DevSecOps趋势中最吸引人的是什么,以及它们在未来几年将如何影响市场,等等。她是这么说的:
- 告诉我们一些你自己的情况
- 谁是影响你职业发展的一些导师,为什么?
- 你对其他想在网络安全领域发展的女性有什么建议?
- 你觉得DevOps或DevSecOps领域最吸引你的是什么?
- 对于刚刚开始数字化转型的公司,您有哪些最佳实践建议?
- Log4j是如何影响您组织的工作流程的,或者您认为对于那些仍在与Log4j作斗争的人来说,有哪些关键的收获?
- 你认为2022年对DevOps和/或DevSecOps影响最大的一些关键趋势是什么?
问:告诉我们一些关于你自己的情况——你在成长过程中是否知道自己想从事IT行业?你是怎么做出这个决定的?
我出生在印度南部的一个小镇上。我第一次接触电脑是在10年级,当时我的邻居给我展示了一台当时被称为“家用电脑”的电脑的计算能力。这款设备的功能和速度立刻给我留下了深刻的印象。在那一刻,我知道我想做一些与计算机有关的事情。虽然当时我并不清楚自己的职业选择,但我知道我想成为一名程序员,并决定在哈佛大学攻读计算机科学工程学位Thiagaraja工程学院在印度。
问:哪些导师影响了你的职业发展,为什么?
我很幸运,在我的一生中,无论是个人生活还是职业生涯中,都有很棒的导师。我生命中的第一批导师是我的直系亲属,他们至今仍对我有很大的影响。我的父亲总是鼓励我去追求我的梦想,不要逃避机会,尽管有任何障碍可能在路上。我的母亲是一个活生生的例子,告诉我们一个女人可以不顾可能阻碍她进入社会的社会限制而取得成功和有影响力。我的丈夫拉杰一直是我职业生涯的重要支柱。我20岁那年,大学刚毕业,我们就结婚了。在婚礼那天,他告诉我,我需要成为一个独立的女人,他会尽他所能帮助我实现这个目标。当我们通过传统的包办婚姻的方式相遇时,我几乎不会说英语,但他指导我如何选择自己的职业。还有我的女儿谢伊(Shay),她是任何人都能得到的最好的鼓励。
在我的职业生涯中,我也有幸与几位出色的女性专业人士共事,她们每一位都对我产生了深远的影响。Sue Stemel既是我的经纪人,也是我的好朋友。她告诉我,真正的领导需要我的心和我的头脑的努力。Rebecca Jacoby向我展示了如何成为一个以业务为中心的领导者——始终牢记整个公司的利益,而不是仅仅关注你的功能指标。帕蒂·哈特展示了如何在团队内部和团队之间建立联盟,以激励人们尽最大努力工作,取得最好的结果。
让我们成为开拓者,带领其他人一起前进
问:作为一名在IT安全领域颇有成就的女性领导者,你是否觉得在平等获得此类机会方面,潮流终于发生了转变,还是还有更多的工作要做?你对其他想在网络安全领域发展的女性有什么建议?
虽然在女性获得IT领导职位方面取得了显著进展,但仍有更多工作要做。1995年至2000年间,女性担任IT领导职位的人数急剧增加(增长了11%),如今女性在IT领导职位中约占24%。然而,在it安全领域——现在还包括隐私、风险、合规和审计职位——女性在领导层中的比例仅为13%。在整个IT领域,更具体地说,在安全领域,这种级别的多样化不仅对我作为一名女性IT安全领导者很重要,而且也有很好的商业意义。我认为我们都同意男性和女性倾向于优先考虑不同的领域,并在团队和业务中看到不同的发展机会。因此,确保你在两端有平等的措施和声音是有利的。为了帮助实现这一目标,我建议公司考虑以下三个步骤:
- 输油管:建立自己的或与当地的STEM项目合作,为对数学、科学和技术感兴趣的年轻女孩提供“早期开始”的项目。
- 防止消极后果实施公司和同事支持计划,提供灵活性、包容性,并激励女性留在工作岗位上。
- 未来的新郎创建导师计划和内部学习课程,帮助激励和指导希望突破玻璃天花板的年轻女性专业人士。大约5年前,我们创建了一个女性CXO网络——T200 (https://www.t200.org)——目标是提升女性在技术领域的地位。然后在2021年,我们推出了T200-LIFT,专注于将更多女性领导者提升到高管层。
此外,重要的是要记住,多样性不应该仅限于性别。今天的公司应该努力拥抱各种形式的多样性——性别、种族、宗教、认知和性别。
Meerah和T200组织——一个致力于提升科技领域女性地位的组织。
问:总的来说,你觉得DevOps或DevSecOps领域最吸引你的是什么?更具体地说,是什么吸引你来到JFrog?
毫无疑问,在过去的十年里,一切事物的数字化已经导致每家公司——无论哪个行业——都成为了软件公司。无论你是一家没有一处房产的高科技软件公司,还是一家基于应用程序的酒店企业,无论你是一家车队中没有一辆车的运输企业,还是一家没有一家分支机构的金融机构。从移动银行和虚拟医疗访问,到自动驾驶汽车和自动食品准备和配送服务,软件应用程序几乎嵌入了经济和我们生活的方方面面。这就是为什么所有公司——无论哪个行业——都需要DevOps的原因。
传统上讲,软件有两个重要的方面要记住:制造和分发。首先你需要开发软件,然后你需要交付它。但在当今日益增长的威胁形势下——随着网络攻击的数量和复杂性日益增长——必须将安全作为组合中的第三个支柱。在今天的市场上,无论何时提供产品或服务,人们都希望它是安全的。因此,DevSecOps(将安全性“嵌入”到软件开发中,而不是在软件已经投入使用后才“添加”)正在兴起。我认为DevSecOps不是一种技术,而是一个框架,需要应用于每个企业创建或更新的每个软件。这是JFrog提供的秘密武器:能够在整个软件供应链中提供安全的二进制管理,这也是吸引我加入他们董事会的原因。
问:DevOps经常被描述为数字化转型的代理人。作为一个在领导大型团队和组织进行广泛的技术变革方面拥有丰富经验的人,您对刚刚开始数字化转型的公司有什么最佳实践建议?
在开始任何数字化转型计划之前,明智的做法是与你的业务对手保持一致,并确保你们从内到外、公司范围的角度共同解决问题——因为将新技术应用于一个破碎的流程并不能解决问题。
对我来说,任何类型的变更管理都需要被分解成三个重点领域:人员、过程和技术.但你必须从人因为如果不首先建立一种围绕变革的文化,就很难取得成功。这也是我支持DevSecOps的另一个原因;它的基础是将这三个要素结合在一起,以加速开发和交付高质量、安全的软件。
当涉及到人试图实现变革的IT领导者需要注意两个重要因素:文化和培训。首先,你必须建立一种文化,鼓励冒险和组织成功,而不是个人成功。作为一个团队工作,作为一个团队赢得胜利,没有人会独自失败。其次,你应该建立培训计划,使个人能够自信地过渡到新的系统或工作方式,并立即有效。如果在过渡期间有太多的停机时间,就很难恢复并获得对未来努力的信心。
为过程,我建议锚定像安全敏捷框架(safe)这样的标准,它使文化和运营效率成为任何项目的关键支柱,以帮助简化在所有业务领域的采用。
最后,一定要在正确的地方投资技术帮助自动化和集成工作流,这样您就可以减少生产时间,最大限度地减少对业务的中断,并提高效率。
问:最近的Log4j/Log4Shell漏洞对各种规模的公司和政府机构都产生了显著影响。Log4j是如何影响您组织的工作流程的,或者您认为对于那些仍在与Log4j作斗争的人来说,有哪些关键的收获?组织可以做什么,也应该做什么,以帮助最大限度地减少Log4j等漏洞的风险?
的Log4Shell把重点放在对DevSecOps和s的需求上软件组合分析(SCA),这将创建一个软件物料清单(SBOM)用于应用程序中的开源包,包括许可证遵从性和安全漏洞。像Apache Log4j这样的开源组件在现代软件开发中已经变得非常普遍,大多数现代应用程序的代码库都是由这些包组成的。拥有一个SBOM方法允许开发人员更快地移动,因为他们不需要重新创建已经免费提供并经过社区审查的代码。
像Log4j这样的事件对于企业、技术和政府组织都是高度破坏性的,因为它具有连锁反应,其影响尚未看到。此外,就像任何病毒一样Log4j脆弱性不断变形和变化,这意味着补救将既具有挑战性又耗时。
Log4j事件无疑会对其影响产生长尾效应,但是作为近期的战术方法,我建议安全专业人员集中精力处理他们的资产清单。利用免费的开源扫描工具由JFrog等供应商提供,以帮助快速检测源代码和二进制文件中Apache Log4j的存在和使用情况,以便您可以集中精力进行修复工作并加快解决问题的速度。我还将与您合作的商业现货软件(COTS)供应商保持密切沟通,以了解他们在适当管理Log4j修复方面的最新进展。
从长远来看,为了帮助避免Log4j和其他病毒在未来的破坏性影响,最好将DevSecOps、SCA和SBOM框架合并到所有软件部署中,以帮助更好地保证整个软件供应链的安全性。
问:随着年底的临近,您认为2022年对DevOps和/或DevSecOps影响最大的一些关键趋势是什么?
当我看到今天的形势时,我看到两个向量将继续推动DevSecOps在2022年及以后的扩散-混合工作场所和日益增长的威胁形势。
在过去的12个月里,我们见证了SolarWinds和Log4j对软件供应链的两次重大攻击。第一个例子是恶意代码可以轻松地远程注入到一个简单的软件更新中,并将其交付给全球数千家企业和政府机构。第二点强调了威胁参与者如何越来越多地瞄准第三方软件组件中的漏洞,以造成广泛的破坏。
Forrester最近的研究表明,80%的安全和商业领袖表示,由于远程工作,他们的组织更容易面临风险。根据研究,超过一半的远程工作人员使用个人设备访问工作数据,71%的安全负责人对远程员工家庭网络缺乏足够的可视性,导致大部分网络攻击(67%)针对远程员工。
像这样的情况通常伴随着这样一个事实,即许多公司在任何给定的时间都有同一软件的多个版本在公司内部运行,并且不完全了解正在使用的是什么。作为一个从软件工程师成长起来的人,现在是负责公司安全和员工生产力的首席信息官,我强烈地感觉到所有这些因素都强调了确保软件供应链安全的重要性,更具体地说,是二进制管理在软件开发过程中所起的关键作用。
