供应链

破绽概要Spring Cloud Gateway 是Spring Cloud 生态中的API网关，蕴含限流、过滤等API治理性能。Spring官网在2022年3月1日公布新版本修复了Spring Cloud Gateway中的一处代码注入破绽。当actuator端点开启或裸露时，能够通过http申请批改路由，路由中蕴含的歹意filter参数会通过SPEL表达式解析，从而导致近程主机执行任意代码。 影响范畴：org.springframework.cloud:spring-cloud-gateway-server@[3.1.0, 3.1.1)org.springframework.cloud:spring-cloud-gateway-server@[2.2.6.RELEASE, 3.0.7)修复计划：将组件 org.springframework.cloud:spring-cloud-gateway-server 降级至 3.1.1 及以上版本将组件 org.springframework.cloud:spring-cloud-gateway-server 降级至 3.0.7 及以上版本破绽链接：https://www.oscs1024.com/hd/M...以下内容来自公众号《平安日记》 Erikten 对该破绽的剖析： 0x00 环境搭建CVE-2022-22947 SpringCloud GateWay SPEL RCE 破绽剖析，间接去 GitHub 上下载即可。 git clone https://github.com/spring-cloud/spring-cloud-gatewaycd spring-cloud-gatewaygit checkout v3.1.00x01 破绽剖析首先这个破绽的实质就是一个Spel表达式注入。破绽的触发点位于org/springframework/cloud/gateway/support/ShortcutConfigurable.java#getValue，看diff点能够发现在平安版本中官网将StandardEvaluationContext更换为了GatewayEvaluationContext去执行Spel表达式 咱们回溯一下getValue这个办法，发现在org/springframework/cloud/gateway/support/ShortcutConfigurable.java#ShortcutType这个枚举中的DEFAULT被调用 那么就去跟一下哪里调了ShortcutType.DEFAULT，发现在org/springframework/cloud/gateway/support/ShortcutConfigurable.java#shortcutType调用了它 最终在org/springframework/cloud/gateway/support/ConfigurationService.java#normalizeProperties对filter属性进行解析，最初进入getValue执行SPEL表达式造成SPEL表达式注入。 持续向上，来到org.springframework.cloud.gateway.route.RouteDefinitionRouteLocator#loadGatewayFilters，依据这个办法的名字大略也能猜出它的做作用，就是增加路由filters 持续反复之前的操作（向上回溯），会找到这么一条调用链 RouteDefinitionRouteLocator#loadGatewayFilters ->RouteDefinitionRouteLocator#getFilters -> RouteDefinitionRouteLocator#convertToRoute -> RouteDefinitionRouteLocator#getRoutes -> GatewayControllerEndpoint#routes 整体流程大抵理解了，就是增加路由filter而后拜访，通过getValue触发Spel注入最终实现RCE，那么怎么增加路由呢？咱们去看下手册https://cloud.spring.io/sprin... 来到org.springframework.cloud.gateway.actuate.AbstractGatewayControllerEndpoint#save，能够看到POST的申请体对应的内容 Filters内容 0x02 结构PoC首先创立路由filter POST /actuator/gateway/routes/test HTTP/1.1Host: localhost:8080Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36Connection: closeContent-Type: application/jsonContent-Length: 212{ "id": "test", "filters": [{ "name": "AddResponseHeader", "args": { "name": "any", "value": "#{new ProcessBuilder(\"calc\").start()}" } }], "uri": "http://test.com"}发包能够发现payload曾经注入进filter了 ...

背景现在，软件供应链平安问题曾经成为一个全球性的难题。依据数据统计，2017年寰球蒙受网络攻击的公司比例曾经达到了93％，其中很大一部分是因为软件供应链平安问题导致的。而在中国，据统计，2019年全国共产生了2.7万起网络安全事件，其中不乏因软件供应链平安问题而导致的事件。 软件供应链平安问题的呈现起因也较为简单，包含第三方供应商的平安危险、源代码泄露、恶意软件等，并波及到软件生命周期的所有环节，包含开发、测试、交付、保护等。因为软件供应链中各环节之间相互依赖，一旦其中某个环节呈现安全漏洞，将会影响整个供应链，给企业带来不可估量的损失。越来越多的企业开始关注软件供应链平安问题，为了保障软件供应链的平安，许多企业都开始寻求解决方案。在这种状况下，墨菲平安应运而生。 墨菲平安是一款功能强大的软件平安检测工具，它能够对软件进行全面的平安检测和剖析，帮忙企业和开发者发现软件中存在的安全隐患和危险。墨菲平安能够对代码进行检测，剖析软件的成分和许可证合规性等，让用户更加安心地应用软件。以下将具体介绍墨菲平安的检测工具及应用办法。 墨菲平安平台的五大产品墨菲平安的“苏木-软件成分剖析”、“京墨-源平安治理网关”、“南星-云原生容器平安”、“赤剑-许可证合规治理”、“贯众-破绽情报预警”这五大产品，夯实了软件供应链平安平台的能力。 苏木-软件成分剖析苏木领有行业当先的破绽知识库，反对10min疾速接入各开发流程，将代码我的项目存在的平安危险清晰展现，并反对IDE插件、GitHub等形式疾速实现破绽修复，轻松治理开源危险。 无需依赖源码，只需二进制软件包/固件即可疾速检测检测二进制软件包/固件中存在的破绽、许可证类型及合规危险，并提供修复倡议反对多种资产辨认形式：如源代码、二进制，编译包辨认，笼罩全支流开发语言：如java，python，JavaScript...高准动静SBOM清单剖析，树状层级清晰展现组件依赖关系领有业余的破绽库，可确定代码缺点点及利用条件，防止误报或修复大量无奈利用的破绽清晰定位缺点组件，各版本升级兼容性评分目了然，一键修复省时省力更省心 京墨-源平安治理网关京墨从源头卡住平安危险，平安能力左移前置，使代码平安检测用于从开发到测试的DevSecOps全流程之中。可无缝对接Nexus，Jfrog，反对黑白名单配置管理、卡位治理及制品检测，升高企业的老本和危险。 10分钟疾速接入，深度交融DevOps，减速平安开发辨认官网源是否被投毒，轻松实现高风险组件的基线治理及外部二次开发引入高危组件风险管理全量检测制品库，辨认制品存在的破绽、许可证合规危险及SBOM清单辨认构建过程中引入的高危组件及高危破绽，提供投毒检测能力，升高后续平安老本 南星-云原生容器平安南星可提供容器镜像治理，通过极低的接入老本、对镜像根底组件辨认和容器镜像利用检测，来继续升高交付平安危险。 辨认容器镜像中的破绽信息并提供修复倡议辨认容器镜像中依赖的组件的许可证类型及合规危险提供残缺的资产清单，理清资产间依赖关系 赤剑-许可证合规治理赤剑会自动识别开源组件协定，来升高许可证侵权危险。目前已笼罩3000+许可证类型，可做到对精准辨认及合规危险疾速治理。 反对函数级代码片段剖析，清晰展现组件依赖，高准确度笼罩反对二进制及嵌入式固件检测，通过文件提取接入检测，压缩壳、安装包等，满足多种检测形式需要判断许可证危险等级、合规危险及疾速治理，躲避产权危险 贯众-破绽情报预警贯众笼罩超6w+支流组件，并已寰球首发多个0day预警，破绽预警已达分钟级，从容应对平安危险。 最齐备的破绽知识库，助你疾速响应排查宏大的规范缺点常识数据，帮你疾速定位和修复已胜利屡次预警大范畴通用组件破绽全准快精的破绽情报，90%快于同行，通告信息蕴含修复计划、攻击方式、攻打评估 如何应用墨菲平安来实现一次检测？墨菲平安是一款简略易用的软件供应链平安检测工具，以下是具体的应用办法： 第一步：关上墨菲平安官方网站 - 点击进入控制台官网地址：https://www.murphysec.com 第二步：点击创立工作 - 进入抉择接入形式页面 - 抉择适宜你的接入形式目前已反对“JetBrains IDE插件接入”、“GitLab疾速接入”、“CLI检测接入”、“GitHub疾速接入”、“源文件上传接入”等多种形式 第三步：开始进入接入配置 - 设置后果处理规定 - 设置工作执行规定抉择适合的接入形式后，实现对应配置，抉择检测的代码我的项目范畴后就能够检测了（见图一）。当然也能够抉择对检测后果设置处理规定，开启音讯告诉将会更有利于施行主动治理，只有达到预警要求将会第一工夫告诉各方人员（见图二）。还可抉择不同检测模式、是否同时检测许可证合规剖析及整个工作执行规定（见图三）。 （图一） （图二） （图三） 第四步：依据设置的工作执行规定进行检测 - 失去检测后果（1）缺点组件代表该版本的组件存在破绽需解决，处理倡议分为强烈建议修复、倡议修复、可选修复3个等级来示意需解决的紧急水平； （2）显示可一键修复的缺点组件，能够通过IDEA或GitHub进行疾速修复 （3）许可证危险：可辨认组件的许可证类型，判断是否存在抵触危险； （4）反对显示残缺SBOM清单，能够切换树状/列表展现，并反对导出； （5）反对多种分享形式，及时同步每一个危险给团队。 以上就是墨菲平安检测工具的应用介绍。 最初，附上流程图不便了解： 对于墨菲平安墨菲平安是一家为您提供业余的软件供应链平安治理的科技公司，外围团队来自百度、华为、乌云等企业，领有超过十年的企业平安建设、平安产品研发及平安攻防教训。外围能力包含代码平安检测、开源组件许可证合规治理、云原生容器平安检测、软件成分剖析(SCA)等，丰盛的平安工具助您打造齐备的软件开发平安能力(DevSecOps)。 墨非平安为客户提供从供应链资产辨认治理、危险检测、安全控制、一键修复的残缺控制能力。同时产品能够极低成本的和现有开发流程中的各种工具一键买通，包含 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。产品反对SaaS、私有化部署，目前已服务多家互联网、金融、人工智能、IOT行业头部企业客户，目前墨菲平安曾经服务包含蚂蚁、安全、快手等在内的数百家企业客户。 官网地址：https://www.murphysec.com/ 开源我的项目：https://github.com/murphysecu... 首发地址：https://www.murphysec.com/blo... 转载请注明出处

2023年2月16日，首届ICT软件供应链平安治理论坛暨信息通信软件供应链平安社区第二届成员大会在北京胜利举办，多位业界顶级专家与工业和信息化部网络安全管理局相干领导缺席，为现场观众分享了关于软件供应链可持续性与平安治理行业的前瞻与思考。 会议期间，墨菲平安自主研发的【软件供应链平安治理平台】被授予自主研发翻新成果奖。会议下午，墨菲平安帮助中国移动举办分会场论坛《推动规范体系建设与评估 保障软件供应链平安可信》，墨菲平安联结创始人在现场带来了精彩技术分享，博得了现场专家及企业代表的好评。 会议颁奖大会现场举办了颁奖仪式，墨菲平安【软件供应链平安治理平台】荣获自主研发翻新成果奖。 当日下午分会场，墨菲平安帮助中国移动举办分会场论坛《推动规范体系建设与评估 保障软件供应链平安可信》，墨菲平安联结创始人兼实验室负责人欧阳强斌带来分享 《软件供应链破绽及投毒情报在合规场景中的利用》 。分享基于 《信息安全技术软件供应链平安要求》国家标准（已于2022年公布征求意见稿），深度分析了破绽利用与软件后门植入危险，以及如何通过情报进步危险应答能力，帮忙企业满足合规要求。 《信息安全技术软件供应链平安要求》可能成为将来软件供应链平安合规的根本要求，其中提到了10类危险，破绽利用和软件后门植入是重点关注的危险。从软件供应链的角度来看，依赖的开源组件、部署的开源利用以及应用的商业软件是三类典型的破绽利用危险引入场景。在规范中针对软件后门植入的危险又细分为供方预留的后门以及攻击者歹意植入的场景，从历史案例来看，软件产品后门以及在通信行业中大量波及到的路由器、防火墙等网络设备存在较大的后门隐患；在攻击者歹意植入后门的场景中，还存在着2022年NPM中存在着faker.js和node-ipc这样典型的热门组件开发者化身攻击者在代码中退出歹意逻辑的事件。 在《信息安全技术软件供应链平安要求》中对于这些危险要求： 对开源软件、第三方组件中的破绽进行修复/缓解 需方应要求供方承诺所应用的开源软件和第三方组件不存在已公开破绽未修复的状况，或者对于存在已公开破绽未修复的状况，但通过评估后存在补救措施的，提供相应的平安剖析报告；不得在软件产品中设置后门 需方应要求供方不在软件产品中设置后门，或利用软件产品的便当条件非法获取用户数据、管制和操纵用户零碎和设施，不会利用软件产品的依赖性谋取不正当利益，不得在未受权状况下对软件产品进行降级或更新换代；发展检测评估 需方应明确发展软件产品或服务的性能、性能及平安危险检测评估等要求，明确检测评估的范畴，包含但不限于软件资产辨认、破绽、后门、浸透测试等，波及第三方机构的应明确第三方机构的资质能力；继续监测，及时发现危险 供需双方应依据协定造成常态化危险监测机制，及时发现并处理软件中断供给、进行受权、进行提供产品升级等继续供给危险，破绽、后门等技术平安危险和信息泄露、数据篡改等数据安全危险；针对这样的危险，通过以破绽情报、投毒情报为代表的情报数据，可能帮忙企业实现三类种典型控制能力：引入前的准入与卡位，引入中的检测与修复，引入后的危险监测与处理。 在以后破绽和投毒情报的构建还面临许多挑战，如公开破绽库的数据不全、品质不高，投毒情报没有公开数据。 墨菲平安在继续建设破绽和投毒的情报能力，通过自建破绽库、投毒情报开掘能力，提供无效的情报可能帮忙企业实现危险的事先排查和继续监测，晋升平安工程师经营处理效率，实现软件供应链平安合规治理。 会议下午，电信分论坛《打造供应链评估体系 应答平安威逼挑战》上，墨菲平安联结创始人兼产品负责人车志远带来分享 《笼罩全文件对象的高精检测及主动修复的软件供应链平安技术》 。 分享围绕企业在根据 SBOM 进行软件供应链平安危险治理时，依赖的全文件类型对象的笼罩能力、高精度的检测能力、主动修复等关键技术能力： 全文件类型对象的笼罩能力解决简单的供应链软件类型：源代码SBOM剖析的难点和技术；二进制SBOM剖析的难点和技术及其利用场景。高精度的检测能力解决了危险检测呈现的漏报、误报：从破绽知识库的精准，难点和技术上切入，以及代码破绽实在危险评估的业务场景。主动修复能力解决了危险的修复老本高：版本升级的兼容性问题、代码补丁的生成问题、二进制文件破绽修复。具体介绍了软件供应链平安治理依赖的SBOM关键技术的利用场景以及痛点解决，为企业在危险治理的落地上提供建设思路。 会议全程期间，墨菲平安展区随时为各位参会者筹备了相干材料以及电子版各行业残缺材料包，为大家提出的疑难进行介绍和解说。 将来，社区将在领导单位的关怀和反对下、在社区会员的共同努力下持续蓬勃发展，墨菲平安作为其中一员将致力为软件供应链平安治理奉献本人的一份力量！ 墨菲平安是一家为您提供业余的软件供应链平安治理的科技公司，外围团队来自百度、华为、乌云等企业，公司为客户提供残缺的软件供应链平安治理平台，围绕SBOM提供软件全生命周期的平安治理，平台能力包含软件成分剖析、源平安治理、容器镜像检测、破绽情报预警及商业软件供应链准入评估等多个产品。 墨非平安为客户提供从供应链资产辨认治理、危险检测、安全控制、一键修复的残缺控制能力。同时产品能够极低成本的和现有开发流程中的各种工具一键买通，包含 IDE、Gitlab、Bitbucket、Jenkins、Harbor、Nexus 等数十种工具无缝集成。目前墨菲平安曾经服务包含蚂蚁、安全、快手等在内的数百家企业客户。 官网地址：https://www.murphysec.com/ 开源我的项目：https://github.com/murphysecu...

随着市场的疾速倒退，企业之间的竞争进入了白热化的时代，如何在竞争中怀才不遇是所有企业关注的，而信息化治理作为一种无效的管理手段也逐步为公众所承受。因为供应链是企业前沿的命根子，供应链管理系统往往也是企业优先选型的信息化我的项目。 “供应链+服务”将使服务业在供应链零碎模式下失去更加细分和交融，实现服务业降级。“供应链+技术”将促成大数据等新兴技术推动供应链管理系统模式的全面转型。 供应链治理包含打算、洽购、制作、配送、退货五大根本内容，而供应链管理系统是基于协同供应链治理的思维，配合供应链中各实体的业务需要，对整个供应链零碎进行打算、协调、操作、管制和优化，使操作流程和信息系统紧密配合，做到各环节无缝链接，造成物流、信息流、单证流、商流和资金流五流合一的当先模式。其指标是要将顾客所需的正确的产品、可能在正确的工夫、依照正确的数量、正确的品质和正确的状态，送到正确的地点，并使总成本达到最佳化。 应用LeaRun疾速开发平台搭建企业供应链管理系统为企业提供产品全过程治理，提供工厂从原料洽购、生产、销售闭环零碎上的信息自动化治理计划；进而保障产品的生产品质，为客户提供平安、释怀的产品，晋升企业产品品牌及产品终端消费者的附丽度，从而为企业发明价值。 供应商治理是供应链体系中重要的一部分，LeaRun疾速开发平台提供的供应链管理系统解决方案对不同供应商和折扣信息进行了具体记录，通过减少和删除供应商及对应洽购物品、录入和保护供应商根本信息，及时定义和细化企业洽购范畴，实现对企业供应商群体的动静治理。 用户能够通过销售治理模块疾速录入订单，供应商也能实时查问订单状态，理解到本人所生产货品在门店的库存及销售状况，好做出正当的补货策略，从而达到了供应商与营运商之间的互动。 洽购治理模块将企业治理与外围企业治理有机地联合在一起，解决了因供应商扩散不集中、产品品种太多、订单过于频繁等状况而导致的品牌营运商与供应商之间存在的沟通问题、数据传输及时性问题、数据安全性问题、数据完整性问题等，整合品牌运营商与上游资源，实现效率的极大晋升。 LeaRun仓储治理模块通过对库存物品的入库、出库、挪动和盘点等操作，让用户动静查看各种物料库存、各类物品进出状况等，从而实现对企业的物流进行全面的管制和治理，在分销模式下进行更快的外部订单调拔，以达到降低库存、缩小资金占用，杜绝物料积压与短缺景象，进步服务水平，保障生产经营流动顺利进行的目标。 基于ERP的供应链模块，难以实现对业务需要的疾速响应，并且会面临昂扬的定制施行老本以及较长的开发工夫周期。而LeaRun这样的低代码供应链管理系统，容许企业依据业务变动自行疾速调整，疾速优化业务往来间的流程，从而显著降低成本和响应周期，才是企业在竞争中怀才不遇的优选零碎。 更多功能可返回www.learun.cn/Home/VerificationForm进行体验。

近日，上海安势信息技术有限公司（下称安势信息）对外发表正式成为DevSecOps畛域中国首家OpenChain我的项目会员。安势信息将同高通、谷歌、微软等其余寰球企业共建可信、平安的软件供应链，独特保护开源许可证合规畛域的国际标准OpenChain ISO/IEC 5230。作为中国市场当先的软件供应链平安治理工具提供商，安势信息的退出标记着市场在自主抉择平安、许可证合规的工具等方面又迈出了重要一步。 OpenChain我的项目是由Linux基金会发动的一项旨在制订开源软件供应链规范，帮忙寰球企业更高效地解决开源许可证一致性的问题。 安势信息创始人兼总裁薛植元示意："咱们很快乐在开源生态畛域与寰球其余成员一起退出OpenChain。从2016年开始，OpenChain始终致力于为市场上不同规模的企业提供可信赖与合规统一的开源供应链。安势信息将携手OpenChain，在工具、培训、钻研、最佳实际和征询方面，为开源社区做出继续奉献。开源社区和OpenChain的合作基因也将有助于咱们协调和利用业内最佳资源。咱们置信，这样的严密单干将会让软件供应链变得更加平安和牢靠。" 在混源开发不可避免的同时，一系列的平安和合规危险也随同着整个软件开发生命周期，并影响着整个软件供应链。安势信息以行业当先的SCA产品作为切入点，围绕DevSecOps流程，从工具到流程再到组织，保持继续翻新，打造独具特色的端到端最佳实际。通过团队成员多年的继续积攒，安势信息目前已与多家高科技头部企业建设了深厚的单干关系。 "就人口而言，中国是世界上最大的繁多市场，也是寰球供应链中最重要的一部分，"OpenChain的总经理Shane Coughlan说到："安势信息代表了围绕开源的外乡企业当先实力的倒退。与产品交付能力严密相干的是，产品的反对与服务流程须要一直改善。在这个十年的开始，SCA始终是开源供应链中重要的组成部分，在将来几年里，它仍将是至关重要的。" 在随后OpenChain组织召开的第42期线上研讨会上，上海安势信息技术有限公司（下称安势信息）的技术市场总监王峰受邀缺席并发表名为《SCA厂商在中国市场面临的时机与挑战》的全英文主题演讲。 王峰发表名为《SCA厂商在中国市场面临的时机与挑战》的全英文主题演讲 王峰领有威斯康星大学麦迪逊分校电子工程学士、宾夕法尼亚大学电子工程硕士学位，曾负责美国有线电视运营商Comcast高级软件工程师，负责网络自动化软件开发等工作，作为企业外部开源贡献者（Innersource Contributor）将我的项目和软件在企业外部进行分享应用。他在美国工作学习11年，在感触到开源软件在中国市场的蓬勃发展后，王峰抉择回国并退出安势信息。 正如王峰在《SCA厂商在中国市场面临的时机与挑战》主题演讲中提到的，开源软件在中国市场经验了由萌芽到蓬勃发展的阶段。 开源软件在中国的缘起、落地及倒退 中国的开源软件产业相较于欧美发达国家而言起步绝对较晚，大抵经验了从萌芽、云计算&人工智能减速落地和高速倒退的三个阶段。目前，中国曾经逐渐建设了绝对成熟的开源生态系统。 在中国的开源生态畛域，由云计算、科技企业孵化、开办的开源企业/我的项目和由开发者社区、代码托管平台、开源基金会、开源联盟独特形成了开源软件市场的参加主体。 中国企业在积极参与寰球开源生态建设的过程中，影响力一劳永逸。截止目前GitHub有755万名中国开发者，人数位居寰球第二；更多的中国企业进入寰球开源畛域行业的前列；中国正成为寰球开发者社区中不可漠视的重要力量。 此外，在这一时期，中国外乡开办了很多的开源组织和社区，企业踊跃募捐开源我的项目，相干开源基金会的成立，独特推动中国开源产业发展壮大。安势信息此次退出OpenChain，很荣幸能与中国信通院、华为和OPPO等搭档共建可信、平安的软件供应链。 开源产业同样引起了国家层面的高度重视。政府将开源明确列入"十四五"布局中，并从法律层面明确增强对知识产权的爱护。一些因违反开源许可证应用协定（ 例如: GPL 3.0 ) 引发的版权纠纷案也引起了企业对开源许可证合规的器重。 国内的开源生态倒退经验了一个从无都有，再到蓬勃发展过程，对寰球开源的奉献和影响力也会越来越大。 SCA的倒退 挑战与时机并存 Apache Log4j破绽事件的暴发，让开源软件供应链平安的话题热度继续走高的同时，也为网络安全市场吹来了新的风向。随着开源危险的继续扩充，SCA（Software Composition Analysis，软件成分剖析）正在失去更宽泛的利用。 为了在SCA产品需要爆发式增长的市场中抢占洼地，利用平安赛道涌现了一大批新的SCA厂商。据统计，中国SCA初创公司的数量较去年增长了1倍，资本也纷纷入局，开源畛域的融资案例数量和资金总额不断创新高。 放眼寰球，以后国内企业在软件平安方面的资金投入仅占寰球企业软件平安均匀投入金额的三分之一，中国网络安全市场的空间微小。 随后，王峰别离从政治、经济、文化和技术四个角度别离阐释了SCA厂商以后面临的时机和挑战。时机来自于在国家产业转型降级的大环境下，政府对开源产业高度重视，相干政策和知识产权法律爱护程度都有了显著晋升。 对于SCA厂商面临的挑战，王峰别离列举了外乡SCA厂商和海内SCA厂商亟需解决的问题并开展阐明。中国开源软件产业起步绝对较晚，相干业余技术人才绝对匮乏；另一方面，企业对开源合规的重要性意识还不够；很多厂商提供的SCA工具往往更多的是基于平安而非合规，对于提供成熟的开源合规治理工具方面仍有很多教训须要积攒 海内SCA厂商在进入中国市场时也同样面临挑战。例如：对本地反对较弱，不能提供二次开发服务，短少灵活性；而随着SaaS技术的倒退，海内SCA供应商也在逐步缩小对本地化部署的反对，不能满足局部有本地化部署需要的用户；或因为一些其余因素对国内客户断供，无奈为国内企业提供继续牢靠的反对。 以上的内部因素和外部因素独特形成了中国SCA厂商面临的时机与挑战。 拥抱开源，携手OpenChain共建开源生态 作为中国市场当先的软件供应链平安治理工具提供商，安势信息退出OpenChain组织，将极大地促成开源许可证合规畛域的国际标准OpenChain ISO/IEC 5230在中国市场的推广，并帮忙其在企业落地施行。 同时，作为OpenChain的一员，安势信息将继续对市场输入建设平安、牢靠软件供应链的重要性的理念，一直进步市场对SCA工具和开源合规的重要性的意识。 安势信息在高速倒退的同时，始终高度重视与开源生态各畛域的合作。公司近期也退出了OpenSSF (开源软件平安基金会)，有幸成为国内第一家退出该基金会的SCA厂商。并放眼寰球，与寰球当先的国内开源组织和微软、谷歌、华为等搭档一起携手共建安全可靠的开源软件供应链。 以技术为导向，以客户为核心。安势信息始终置信市场和客户才是咱们放弃创新性和先进性的源泉和基石。"正本清源，不止于平安"，安势信息将保持在软件供应链危险治理上继续发力，不断完善产品和最佳实际。将来，安势信息将携手OpenChain，继续晋升市场和企业对SCA关注和投入，更加严密地拥抱开源。

It's nearly impossible these days to build software without using open source code. But all that free software carries additional security risks. 现在，应用开源代码来构建软件简直不可避免。但所有这些自由软件都可能带来额定的平安危险。 Organizations grapple with how best to secure their open source software supply chain. But there's another problem: Many companies don't even know how many open source applications they have — or what's in them. 企业正在致力解决如何最好地爱护他们的开源软件供应链。但有另外一个问题：许多公司甚至不晓得他们应用了多少开源程序--或其中蕴含什么。 The worst-case scenarios include debacles like 2021's Log4j security vulnerability, or what happened with SolarWinds' proprietary Orion network monitoring product, which was infected with malware in 2020. ...

通过EDI实现晋升。 简略地讲，供应链就是洽购把货色买进来，经营来加工增值，物流配送给客户。这三者是供应链的执行职能。 作为一个整体，供应链治理的概念有点扑朔迷离：不同行业，不同公司，不同职能对它的了解都可能不同。 对于外乡企业来说，供应链治理上普遍存在一个弱项：对洽购的器重度不够。而这个畛域，也正是供应链改良投资回报较高的中央。 在供应链畛域，洽购是一个没有受到充沛器重的职能。对于供应链的三大执行职能，公司最器重哪个？答案经常是生产经营，因为生产线上问题多多，大家都能看得见，感触失去。那在产品成本中，比方总成本是100元，有多少钱是付给供应商？根本回答也很统一：50%、60%甚至70%是付给供应商的。外表上看，这是供应商在赚咱们50%、60%甚至70%的钱；实际上呢，是因为他们在干这些比例的活，为超过一半的供应链增值流动负责。而洽购呢，外表上看是个花钱的职能，实则负担寻找、治理供应商的重任，确保这过半的供应链增值流动保质、保量地实现。 这就是说，在供应链治理的三大执行职能中，洽购挑的担子最重。这在轻资产的企业就更不用说了：本人没有生产职能，生产由供应商来做，生产变成由洽购来治理生产供应商。就物流仓储来说，当初本人有车队、本人建仓库的企业越来越少，从实质上讲，物流职能变成了洽购对物流供应商的治理。即便有的企业还设物流经理，其次要工作也是治理物流供应商，干的是洽购的活。 而洽购呢，又是供应链畛域最被误会和低估的职能。这里有企业的意识问题，也有对洽购贪腐的顾虑，以及洽购职能自身的能力问题，起因盘根错节，这里也不心愿给出残缺的解决方案。然而，不论怎么样，如果洽购还是一个人在公司的最初一站，那就注定没法确保供应商负责的增值流动，也就注定没法全面提高供应链的绩效——不要忘了，过半的供应链增值流动产生在供应商处。 洽购占据供应链治理的重要位置，洽购的倒退程度与企业生产力倒退程度非亲非故。产品的生产周期中，洽购往往占据较多工夫，并且不确定因素很多。如何与供应商及时、无效地沟通，更快、更高质量地实现洽购，成为困扰洽购人员的一个难题。 这其实也反映了对洽购职能的不同了解。作为洽购部门的负责人，如果你跟老总说，我在花公司70%的钱，当初人手不够，老总八成会一句话打发了你：花钱有什么难，还要多雇什么人。但如果你说，我的部门对公司70%的增值流动负责，你八成会失去一个大不相同的回答。如果你说，供应商是公司的延长，是公司的策略资源，是咱们轻资产经营的要害，你在从更高层面论述洽购职能的战略地位。 对于洽购是一个人在公司的最初一站，可参考某畅销书《洽购与供应链治理：一个实践者的角度》。粗心是在以前的美国企业，因为竖向集成度高，作为公司从市场（供应商）获取资源的窗口，洽购就彰显不出重要性，得不到器重。当一个人做不来设计，做不了销售、生产、财务、人事，那就去做洽购；如果连钱都不会花了，那就卷铺盖走人，去祸患竞争对手。当然，随着北美企业竖向集成的崩溃、供应链的全球化，洽购的位置也大幅晋升，成为企业的一个外围职能。 洽购治理具备五个倒退阶段。 第一阶段是物料供给阶段，此阶段次要解决按时供料的问题，须要思考到服务以及价格适合的问题。而这一阶段次要的考评规范为按时交货率。 第二阶段是考量价格阶段，此阶段次要解决以适合的价格取得适合的产品/服务，次要的考评规范为洽购老本管制、与市场价格的比照价差。 第三阶段是打算总成本，次要解决从之前的价格最低到总成本最低。此时洽购方的次要指标变为从品质老本、资金老本、运输成本、库存老本、机会成本等多方面进行思考。 第四阶段是需要治理阶段，侧面影响、治理需要、减小需要变动和复杂度。次要指标为：洽购晚期影响到的开销，无打算洽购占比等。 第五阶段，也就是最初一个阶段为全面增值，此时企业的洽购管理水平曾经初具规模，洽购方将着眼于减少价值而不只是降低成本。 考核的规范为：企业取得的净利润、公司整体市值股价、外部客户的经营指标等。 洽购治理无论在以上哪一个阶段中都具备一个重要的指标，即洽购节支。洽购价格只是老本的一部分，随之而来的后续保护、应用老本也须要思考到总体老本之中。但实际上很多公司专业分工明确，很难有人能够兼顾多个部门的业务流程。并且在洽购治理中，洽购量与库存、洽购量与洽购价格等关系都是由多变量组成，想要思考总体老本并非易事。 除了降低成本，企业更应该思考如何减少价值。首先是人力价值，企业要想取得更多的利润须要充分发挥人力价值，将人力从繁多反复的工作中解放出来，从而有更多的精力投入到企业的自动化治理中。 其次是节约工夫，工夫对于洽购以及生产是至关重要的。洽购治理须要将工夫老本计入总成本之中，随着生产流程日益简单，洽购管理水平也须要随之进步。企业须要进步自动化程度，尽可能地节俭订单、发货等流程的解决工夫。EDI零碎能够自动化的收发业务数据，确保企业与其交易搭档能够疾速、精确地传输业务数据。 最初，洽购治理须要综合订货、进货测验、收货入库、退货、购货发票解决、供应商治理等多方面的需要，各个环节都会产生大量的业务数据。业务数据该传什么？有哪些是必须传输的信息？数据应该传给谁？这些都是洽购过程中容易出错的中央。传统的业务流程程序简单，信息核查难度很高，须要借助成熟且欠缺的EDI零碎实现业务流程中的数据传输。EDI零碎领有泛滥报文规范，足以满足企业日常的业务数据传输须要。除此之外还能够依据企业理论需要以其余格局的报文进行补充。具体内容能够参考文章：https://www.kasoftware.com/kb...并且能够在EDI零碎中进行字段校验，确保业务信息可能残缺的输出，精确的输入。 EDI在晋升企业洽购管理水平的同时也为企业提供了自动化数据传输的一种新思路，随着国内信息化程度的进步，无论企业是被动决定部署EDI零碎还是为了与合作伙伴建设EDI连贯，接入EDI都会对企业的洽购管理水平带来极大的晋升。

简介：共享拖拉机，加重农民负担近日央视网在微博公布了一条新闻【手机就能打到拖拉机！#陕西榆林推出共享拖拉机#】，视频一上线，网友纷纷打call“智能化进军农业，想种地了” 据当地的一位农民敌人说：榆阳区于6年前就开始成立农业合作社，激励农机共享。但过后没有通过物联网的技术手段，农机共享只停留在口头上，很难落地。 当初，当地农民敌人通过“智慧农机”小程序公布订单，拖拉机手一会儿就能赶到，闲置的拖拉机也能失去充分利用，是不是跟打车的流程截然不同！服务界面也和网约车相似，只不过新增了拖拉机品种的抉择和须要耕种的土地面积，以适应不同的土地和面积作业。 有人发问：有的乡亲们不识字，怎么办？ 别放心，“智慧农机”还反对电话直拨的形式呼叫农机，操作简略！ “智慧农机”由阿里云IoT提供物联网平台服务，蕴含农机作业监测、农机定位终端及农机治理平台等服务，同时还建设了农机学堂、智慧畜牧、供需大厅等场景联动。 共享拖拉机只是农业数字化的一个利用，置信会有越来越多的智慧农业利用涌现，为农村振兴减少更大想象力。 版权申明：本文内容由阿里云实名注册用户自发奉献，版权归原作者所有，阿里云开发者社区不领有其著作权，亦不承当相应法律责任。具体规定请查看《阿里云开发者社区用户服务协定》和《阿里云开发者社区知识产权爱护指引》。如果您发现本社区中有涉嫌剽窃的内容，填写侵权投诉表单进行举报，一经查实，本社区将立即删除涉嫌侵权内容。

简介：近日，寰球权威咨询机构Gartner公布了《2021年中国信息与通信技术（ICT）成熟度曲线报告》。阿里云凭借旗下低代码产品-钉钉宜搭多年来在低代码畛域积攒的技术能力与实践经验，胜利入选低代码利用开发平台（LCAP）代表厂商。 近日，寰球权威咨询机构Gartner公布了《2021年中国信息与通信技术（ICT）成熟度曲线报告》。阿里云凭借旗下低代码产品-钉钉宜搭多年来在低代码畛域积攒的技术能力与实践经验，胜利入选低代码利用开发平台（LCAP）代表厂商。 （图：2021年__中国ICT技术成熟度曲线__） 技术成熟度曲线是Gartner为企业提供的评估新技术成熟度的典型工具，被技术厂商和企业客户视为评估新兴数字化技术趋势、技术后劲和商业后劲的重要依据。本次公布的报告首次纳入低代码利用开发平台（LCAP），反映出该技术在中国微小的发展潜力。 Gartner报告中指出：低代码开发能够在不须要编程的状况下疾速构建利用，这将缩小开发人员工作工夫并放慢利用开发速度，将会给IT行业带来改革。在将来2-5年内，低代码平台在中国将逐渐成为支流。此前，Gartner还预测：到2024年，绝大多数（80%）的“技术产品和服务”都能够由非技术专业人士构建。Gartner还称，2024年，低代码利用程序开发将占利用程序开发的65％以上。 钉钉宜搭是阿里巴巴自研的低代码利用开发平台，通过可视化拖拽的形式，传统状况下须要2周开发实现的利用，用宜搭2小时就能实现。 5月29日，在2021阿里云开发者大会上，钉钉宜搭创始人叶周全（花名勇猛）示意，宜搭曾经全面进入低代码3.0阶段。 在1.0阶段，钉钉宜搭解决了由BPM驱动下的流程在线、挪动审批。到2.0时，钉钉宜搭通过元数据驱动帮忙用户疾速实现业务在线和挪动办公。3.0阶段，宜搭由数据驱动实现生态在线、业务集成、互联互通，生态在线既包含了厂商上、上游的生态，也包含业务软件的连贯生态。 “云钉一体”深度交融让钉钉宜搭在3.0阶段有了十分清晰的模式定位：通过云原生力量，成为基础设施的提供者；通过钉原生，成为利用互联互通的连贯者；通过凋谢能力，实现人人都是开发者。 从Gartner提供的数据来看，企业数字化水平一直进步之后，都会面对一个难堪场面：越来越多的业务需要远远超过IT开发能力。面对这一微小的供需缺口，低代码、无代码开发模式简直是惟一解决方案。随着云钉深度交融，曾经有25万家企业抉择用钉钉宜搭来开发更贴合业务理论需要的利用，在满足个体的需要的同时，激发个体的创造力。 合肥一位不懂代码的校长，用宜搭构建心目中现实的智慧校园。1个月工夫，他和老师们陆续开发了50多个智慧校园利用，最快的利用开发仅需10分钟实现，实现了校园事务“无纸一身轻”的便当。当初，该校老师在钉钉上就能实现老师档案、期初打算、教研听课、公开课开设、教研流动、业务学习、学生问题、试卷剖析、参赛和培训申请、家访记录、期末总结、班主任手册、延聘专家、调代课、销假等等一系列信息记录、流程审批工作。 通过宜搭弱小的集成和连贯能力，企业能量身定制更贴合业务的零碎。竟然之家利用宜搭打造了全新的办公门户网站，以及行政办公、财务报销等400多条利用/流程，并可能与财务零碎、洽购零碎、ERP零碎买通。效率晋升60%以上，费用节俭上千万。 借助钉钉宜搭低代码平台，本来须要3年开发实现的零碎，当初3个月就能实现。企业销售、洽购、生产、品控所有环节的数据都买通了，市场订单能够在手机端分解成生产打算，直至车间的每一个工台。现在，订单周期缩减三分之一，生产周期从60天缩短至40天，保护这套零碎仅需1位IT人员。 此次入选Gartner ICT报告，是权威机构对钉钉宜搭产品和技术实力，市场竞争力的再次认可。将来，在云原生和钉原生能力的加持下，钉钉宜搭将深耕低代码畛域，携手更多的生态搭档，助力百行千业的组织实现更低成本的数字化转型。 版权申明：本文内容由阿里云实名注册用户自发奉献，版权归原作者所有，阿里云开发者社区不领有其著作权，亦不承当相应法律责任。具体规定请查看《阿里云开发者社区用户服务协定》和《阿里云开发者社区知识产权爱护指引》。如果您发现本社区中有涉嫌剽窃的内容，填写侵权投诉表单进行举报，一经查实，本社区将立即删除涉嫌侵权内容。

简介：作为云原生架构基础设施的外围组成部分，容器平安始终是企业关注的外围问题之一，并且在新时代面临着新挑战。越来越高的容器利用部署密度、越来越多的攻击面都在向企业和云服务商收回警报——体系化的容器平安能力建设火烧眉毛。人体的免疫系统，无时无刻不在守护着咱们的衰弱。尽管毫无感知，但组成免疫系统的各种器官、细胞简直每天都在联结战斗，让咱们在充斥各种无害细菌和病毒的世界，平安无事。 现在，咱们也在致力构建云的原生免疫系统，将平安基因植入每个产品和组件，实现基础设施即平安。作为云原生架构基础设施的外围组成部分，容器平安始终是企业关注的外围问题之一，并且在新时代面临着新挑战。越来越高的容器利用部署密度、越来越多的攻击面都在向企业和云服务商收回警报——体系化的容器平安能力建设火烧眉毛。 为解决单点问题而生的碎片化平安能力，因云人造的一体劣势得以有机组合。无论是反抗外来危险还是进攻外部威逼，都能给用户带来无感的极致平安防护。对于提供容器服务的云服务商来说，就须要依靠于云平台本身的平安能力，构建平安稳固的容器基础设施平台，并且面向容器利用从构建、部署到运行时刻的全生命周期构建对应的平安防护伎俩。比方阿里云容器服务 ACK 和阿里云容器镜像服务 ACR 就得益于阿里云弱小的平台平安能力，针对容器利用在供应链和运行时刻阶段携手提供了丰盛的平安治理能力，帮忙企业构建残缺的云原生平安体系。 如同人的免疫力从小到大在一直变强一样，云的原生免疫力也是一个一直成长的过程。现在，它长成了什么状态？能够有机组合解决什么平安问题？于 Forrester IaaS 平安能力评测中与谷歌并列满分的阿里云容器服务，在与平安体系不同环节的通力协作下，又将为企业提供哪些方面的平安守护？ 答案就在 7 月 16 日。 点击https://yqh.aliyun.com/live/native\_security，中转直播间 版权申明：本文内容由阿里云实名注册用户自发奉献，版权归原作者所有，阿里云开发者社区不领有其著作权，亦不承当相应法律责任。具体规定请查看《阿里云开发者社区用户服务协定》和《阿里云开发者社区知识产权爱护指引》。如果您发现本社区中有涉嫌剽窃的内容，填写侵权投诉表单进行举报，一经查实，本社区将立即删除涉嫌侵权内容。

简介：阿里CIO学堂独家出品，批发课程实录公开。《批发数据中台通关指南》来啦！速度来pick。 复制该链接到浏览器实现下载或分享：https://developer.aliyun.com/topic/download?id=1311 阿里云数据中台产品矩阵是以Dataphin为基座，以Quick系列为业务场景化切入。 举例来说，如果说数据中台是一艘航空母舰，那Dataphin就是航母的动力系统，一直夯实数据根底提供动能，帮忙企业实现“数据资产化”；Quick系列则是舰载机，依据不同的业务场景提供不同的战力，帮忙企业实现“数据价值化”。 阿里CIO学堂独家出品，批发数据中台课程实录公开。《批发数据中台通关指南》来啦！从数据中台为什么成为企业增长的刚需，理解数据中台的前世今生，到实例解读产品解决方案Quick Audience，教你什么是消费者经营，再到解读基于数据智能的货品经营产品Quick Stock，最初到架构篇：智能数据构建及治理平台Dataphin，教你玩转新批发！ [收费下载 《批发数据中台通关指南》](https://developer.aliyun.com/... 目录 —精彩内容领先看— 数据中台成为企业增长的刚需数据中台为什么成为企业增长的刚需，因为国家曾经把数据定义成生产因素，如果数据是生产因素，意味着数据的价值和土地的价值和劳动力的价值和资本的价值就平齐。来理解数据中台的前世今生，点击查看更多>> 消费者经营是什么？解读产品Quick Audience基于AIPL方法论，通过介绍全域营销典型场景，来洞察消费者，并基于对消费者的洞察配合适合的经营伎俩，将这些消费者人群经营得更好。解决方案是Quick Audience，它的外围逻辑基于媒体回流、品牌的素材、会员、投放、订单、商品等系列数据进行消费者洞察和经营。点击查看更多>> 货品经营怎么做？基于数据智能的货品经营产品Quick Stock介绍了针对数字化利用方向的将来蓝图和阿里云端到端的智能货品解决方案（Quick Stock），包含从选址/选品，新品翻新，需求预测/库存打算/供应链执行等。点击查看更多>> 智能数据构建及治理平台Dataphin介绍了平台化交付要害因素，包含什么是建设数据资产治理平台要害因素，阶段怎么划分以及为了反对数据价值层的数据利用，数据技术平台须要做什么，另外阐明了如何进行数据治理和对立公共层建设。点击查看更多>> 往期电子书链接点击查看《给ITer的技术实战进阶课》点击查看《给ITer的技术前沿课》点击查看《名人堂》10+CIO访谈录带你玩转数字化点击查看《名人堂Ⅱ》15位CIO人物深度访谈阿里云开发者社区——藏经阁系列电子书，汇聚了一线大厂的技术积淀精髓，爆款一直。点击链接获取海量收费电子书：https://developer.aliyun.com/ebook 版权申明：本文内容由阿里云实名注册用户自发奉献，版权归原作者所有，阿里云开发者社区不领有其著作权，亦不承当相应法律责任。具体规定请查看《阿里云开发者社区用户服务协定》和《阿里云开发者社区知识产权爱护指引》。如果您发现本社区中有涉嫌剽窃的内容，填写侵权投诉表单进行举报，一经查实，本社区将立即删除涉嫌侵权内容。

什么是暑期 2021 ？开源软件供应链点亮打算-暑期2021（简称暑期2021）由中国科学院软件研究所与openEuler社区主办，中科院软件研究所南京软件技术研究院承办，开源社、SegmentFault 思否协办，是一项专门面向高校学生的开源我的项目开发流动，旨在激励在校学生积极参与开源软件的开发保护，促成优良开源社区的蓬勃发展。 暑期 2021 联结各大开源社区，针对重要开源软件的开发与保护提供我的项目，并向寰球高校学生凋谢报名。 流动参与方次要角色为学生、社区和导师 —— 社区提供我的项目列表和形容，并安顿我的项目对应的导师。学生自由选择我的项目，与社区导师沟通实现计划并撰写我的项目计划书。被选中的学生将在社区导师领导下，按计划实现开发工作，并将成绩奉献给社区。依据我的项目的难易水平和实现状况，参与者将取得由主办方发放的 12000 元（高难度）、9000 元（中等难度）和 6000 元（个别难度）我的项目奖金。（注：奖金数额为税前人民币金额） 官网：https://summer.iscas.ac.cn/ 都有哪些开源我的项目供我抉择？社区及我的项目列表：https://summer.iscas.ac.cn/#/... 来自 109 个开源社区的 877 个我的项目供你抉择，点击这里查看残缺社区及我的项目列表。 参加暑期 2021 我的项目能够有哪些播种？和开源大咖、出名开源我的项目作者面对面，晋升认知，开阔眼界取得社区导师的业余领导，晋升技术，疾速成长取得开源我的项目的教训、经验，丰盛个人简历取得纪念品、奖金和证书 ——所有当选学生都会收到组委会寄出的一份我的项目开启大礼包。通过中期考核的学生将取得 50% 的我的项目奖金。通过结项考核的学生将取得残余的 50% 我的项目奖金。通过结项考核的学生将取得结项证书或优秀学生证书。我该如何报名加入暑期 2021 ？仔细阅读学生指南：https://summer.iscas.ac.cn/he...返回官网我的项目列表查看877个我的项目：https://summer.iscas.ac.cn/#/...https://summer.iscas.ac.cn/#/...注册并登录报名零碎https://portal.summer-ospp.ac...于官网我的项目列表抉择我的项目，点击提交申请，转至报名零碎提交申请材料提交多个我的项目申请的同学，留神务必对我的项目申请进行排序，排序将作为当选程序的根据之一（注：学生最多能够提交三个我的项目的申请书，但最终只能承当一个我的项目）申请工夫：5/24-6/13Tips： 在正式提交我的项目申请书之前，学生肯定要与社区指定的我的项目导师沟通，进步申请胜利概率。一个学生最多能够同时申请三个我的项目，但最终只能承当一个我的项目。尽量专一于感兴趣的1-2家社区，免得升高当选概率。防止在最初一天提交，防止因不相熟申请流程、短少申请材料、网络等问题造成无奈在指定工夫内实现申请。心动中，来看场直播吧！每个周末，两场大咖说开源，带你畅游开源世界。移步软件所 B 站账号：https://live.bilibili.com/h5/... 5.30 还会有 SegmentFault 思否创始人、CTO 祁宁带来的精彩分享 —— 简介：祁宁，SegmentFault 思否 CTO，全栈工程师，毕业于华中科技大学电信系，华科 Dian 团队第 98 号成员。曾任职于阿里巴巴，开源内容零碎 Typecho 发起人与外围组织者，超过 10 年互联网产品研发教训。 内容：SegmentFault 的 3 位创始人最早都是开源我的项目 Typecho 的贡献者，大学期间做开源我的项目让他们成为了好敌人和工作搭档，而后从不同中央来到杭州独特守业开办了 SegmentFault，现在 SegmentFault 曾经成长为国内当先的新一代开发者社区。从 SegmentFault 的起源，咱们能够和宽广大学生分享一下参加开源我的项目的正确姿态和获益，号召更多大学生参加到开源奉献中。 议题：从 SegmentFault 的起源谈大学生参加开源我的项目 直播工夫：2021 年 5 月 30 日 20: 00-21: 00 ...

简介：对于研发同学而言，探索事物的实质，是最根底最外围最先须要被把握的技能，没有之一。作者：贺迷信 技术一号位不是岗位，更多的是技术人员在公司中做事的一种心态，这个系列的文章适宜所有想要对日常工作“知其然更知其所以然”的技术人，借助实践工具的指引，联合本人的实际经验，悟到本人的播种，从而减速成长的过程。大道理千千万万，有缘者得之真谛践于其行而非流于其表。 将来一段时间，阿里巴巴中间件公众号会继续公布系列文章，欢送关注。 往期技术一号位方法论系列文章： 「技术人生」专题第1篇：什么是技术一号位？ 背景生存中每时每刻都在产生着各种各样的事件，有些与己相干，有些看似毫无瓜葛，不管事件大小，总须要分出一部分精力，或多或少，对事件进行解决解决。在解决这些事件的过程中，在和某些人接触时，总能感觉到他们对事物的认知要更粗浅，更全面，听其言如同醍醐灌顶，观其行胜读十年书。这样的人解决问题往往切中时弊，事倍功半；而在和另外一些人沟通时，则可能会感到对方对某个事件的认知其实流于外表，解决问题往往抓不住重点，做的很辛苦却多是无用功。那么到底是什么造成了两种人对事物认知的差别？是否有什么路径或者形式可能打消这种差别？ 作为技术研发人员，总面临着各种各样的需要，总会有前人一直强调技术的复用，强调代码的重构，可是往往是倒排的截止日期逼迫研发更快上线长期需要，造成线上拣不洁净的满地鸡毛，同时留下一身还不完的技术债权。为什么面对肯定会变的业务需要，研发人员仿佛永远跟不上需要变动的节奏？很多时候大家本能的会怪罪产品经理没有想分明，那么有没有人思考过，和咱们每天配合的产品经理或者经营人员，到底是什么货色没想分明，从而导致了咱们研发同学本人一直地返工？他们没想分明的事件，咱们是不是素来就没想过？这些事件，咱们该不该想，能不能想分明，有没有益处？研发人员须要把握什么技能来应答永远都在变动的业务需要？ 作为零碎架构师，在面对简单业务零碎时，开局往往操作猛如虎，三年布局五年演进，可是通过若干年的建设，往往只是遗留下泛滥见招拆招的祖传代码，新的需要须要在旧的业务逻辑的缝隙外面找“解法”，一线开发人员不仅要避开“牵一动员全身”的各种弯弯绕绕，可能连架构自身也曾经变得模糊不清了，更不必提架构的演进。这所有都会逐渐失控上来直到某一天达到临界点再来一次颠覆式的重构，让凌乱从新回到原点，开始新一轮的技术债权周期，当然，零碎肯定是 2.0 或者 3.0了（目前还没见过 4.0 的零碎）。可是当年说好的架构可扩展性呢，说好的形象水平高呢？架构自身到底和业务有什么关系，架构的演进又和业务的倒退有什么关系，如何能力让架构师突破“架构设计和演进过程被事实重复打脸”的魔咒？ 作为研发团队 leader，带着本人的人做需要交付，一边忍住亲自下场写代码的激动不得不做着项目管理的事件，一边又可能被上面的人狐疑技术能力；各种倒排的截止日期好像一条条排着队催债的红线，眼看着这些红线圈着本人团队的黑着眼圈的兄弟，在一个又一个的坑外面像炮灰一样摸爬滚打，而本人只能像一个大号的外包资源经理一样对这种场面在实际行动上大刀阔斧，在思想上除了感觉要一直加人之外感觉无力回天。如何能力让团队成员在做业务的过程中不再是资源一样被耗费而是像资产一样自我增值？如何能力利用对业务发展趋势的预测突破法则提前布局，在策略上把握主动性，从而在战斗上既能先于对手做出稳固的产品，又能有足够的工夫打磨产品从而晋升用户的应用体验？ 不同角色的技术人，不管在工作还是在生活中，面临的这一系列陈词滥调的问题时，或者都心愿能有一抹就灵的万金油，打一发银弹进来，就可能留下广为业内传唱的人月神话。可是在现有的生产力条件下，技术人员既没有万金油，更不存在银弹，而且人月神话永远都是神话。所有的事件，所有的问题，想要被解决，都要回到最后的原点：这件事件的实质是什么？也就是说，咱们日常工作中的事件的终点不是应用什么工具解决问题，而是先认清这件事件 —— 认清一件事件的实质，是所有后续口头的前提和根底。做业务需要剖析也好，做架构设计画架构图也罢，计算机语言和技术栈的抉择以及相干整体解决方案的构建是一方面，而“基于对业务实质的了解进行的业务建模并联合业务倒退继续演进”是极其重要的、却往往被忽视的另外一个方面。 日常工作中，很多研发人员往往把注意力集中在各种计算机语言及其技术栈上，大家会花工夫翻看各种技术书籍，探索各种技术计划背地的原理，而后通过业务实际晋升集体技术能力，所有的促成个人成长的事件简直都是围绕着“技术”两个字开展，然而，特地是对于长年从事业务研发的同学而言，大家是否意识到，除了“技术”以外，还须要把握“业务”相干的常识，而其中，探索事物的实质，是最根底最外围最先须要被把握的技能，没有之一。它是策略层面构建业务大图的根底，是排兵布阵发动要害战斗的根底；也是战术层面剖析业务需要的根底，做架构设计的根底，做业务领域建模的根底。技术一号位须要把握的所有工具和方法论，所有的终点都是它，所有的实践工具和方法论最终都是它在某个畛域内的利用、投射和简化。 什么是事物的实质事物本质的哲学定义抽象地探讨事物的实质，波及到了哲学层面，目前自己不具备相干的能力来进行具体的实践论证，这里就间接摘抄马克思主义哲学对于事物本质和景象的对立统一的阐述，来看哲学层面的事物的实质是什么： 实质是事物的基本性质，是事物本身组成因素之间绝对稳固的内在联系。—— 《马克思主义哲学原理》（第五版，陈先达、杨耕著）实质是事物的基本性质，是事物本身组成因素之间绝对稳固的内在联系，是由事物自身所具备的非凡矛盾形成的。—— 百度百科唯物辩证法的宇宙观主张从事物的外部、从一事物对他事物的关系去钻研事物的倒退，即把事物的倒退看做是事物外部的必然的本人的静止，而每一事物的静止都和它的四周其它事物互相联系着和相互影响着。事物倒退的根本原因，不是在事物的内部而是在事物的外部，在于事物外部的矛盾性。任何事物外部都有这种矛盾性，因而引起了事物的静止和倒退。事物外部的这种矛盾性是事物倒退的根本原因，事物和事物的互相联系和相互影响则是事物倒退的第二位的起因。—— 《矛盾论》毛泽东钻研问题，忌带主观性、片面性和表面性。所谓主观性，就是不晓得主观地看问题，也就是不晓得用唯物的观点去看问题。这一点，我在《实践论》一文中曾经说过了。所谓片面性，就是不晓得全面地看问题。—— 《矛盾论》毛泽东事物本质与景象的对立统一剖析1、实质和景象是对立统一关系。任何事物都有实质和景象两个方面。世界上不存在不体现为景象的实质，也没有来到实质而存在的景象。实质和景象是对立的，但二者又有差异和矛盾。实质从整体上规定事物的性质及其根本倒退方向，景象从各个不同侧面体现实质；实质由事物内部矛盾形成，是比拟繁多、稳固、粗浅的货色，靠思维能力把握；景象是丰盛、多变、外表的货色，用感官即能感知。假象从否定方面体现事物的实质，给人一种与事物齐全相同的印象，掩盖着实质。假象的存在显著体现出实质和景象的矛盾。因而不能简略地把景象与实质等同起来。—— 百度百科 2、事物的实质与景象是对立统一的，这是主观辩证法，把这种辩证法使用于人的认知过程，就要求人们既不能脱离景象去空谈事物的实质，也不能停留在事物的景象上，而要透过景象抓住事物的实质。（本文作者批注：透过景象看实质，这句话谁都懂，然而到底怎么能力做到，是本文尝试给出的。） 为此，要在实际的根底上察看大量的景象，尽可能多地占有理性资料，这是认知透过景象抓住实质的前提条件。（本文作者批注：这就是“没有考察就没有发言权”的理论依据。）在察看社会问题时，肯定要学会辨别实质与景象，要抓住实质与支流，这是其一。 其二，有了察看到的大量景象，占有了实在的理性资料，并不等于抓住了事物的实质，要透过景象抓住实质，就必须对大量的景象、实在的理性资料，以及它们之间的关系进行剖析和钻研，这就须要把握迷信的办法。（本文作者批注：《马克思主义哲学原理》中并没有讲明须要把握的迷信的办法到底是什么，而这一点，恰好是本文作者结合实际实践经验尝试给出的，同上一个批注。） 其三，事物的景象盘根错节，而且事物的实质有一个逐步裸露，逐步开展的过程，所以人们对事物本质的认知不是一次实现的，而是一个一直深入的过程，是一个由全面到全面、由不太粗浅到粗浅的过程。—— 《马克思主义哲学原理》（第五版，陈先达、杨耕著） 理解了哲学层面的实质与景象的对立统一关系，有的读者可能会问，这和业务研发有什么关系？我这里只举一个看起来十分小然而实际上问题很大的例子：咱们所做的新批发业务，整个流程涵盖了供应商、平台、渠道客户、合作伙伴和消费者这些不同的业务参与方，整个业务能够让供应商入驻平台，给平台上的渠道客户供货，从而让渠道客户本人的用户可能以积分或者积分加现金的形式购买商品。 某天产品经理提了一个需要，说要“在供应商控制台中减少一个删除按钮，删掉供应商不想看到的商品”。看似非常简单的一个需要，在商品列表外面减少一个删除按钮，应该很快就能上线，然而实际上，删除商品这个动作背地真正的业务含意和场景并不是简略的技术上的把商品数据软删除，而是“进行供货”——供应商要删除的商品很大概率曾经签过在线协定，以某个价格供货给某个渠道客户，这个时候研发人员如果依照需要无脑删除商品数据，就会造成曾经在售卖甚至在加入经营流动的商品忽然无奈购买，造成渠道客户的损失或引发舆情。 所以，研发人员沟通完需要要进行技术计划评审时，被我驳回，要求相干的同学实现业务场景的剖析和探讨，补全删除按钮背地的残缺业务流程，将“删除”按钮的名称批改为“进行供货”按钮，并且针对曾经不在任何渠道销售的商品独自提供筛选项，而不再在供应商商品治理列表外面默认展现。所以整个需要本来就是一个删除按钮1天的工作量，实际上剖析分明产品需要背地的业务场景和真正的业务含意当前，就变成了一个波及到了进行供货的在线审批流程、供货协定更新、渠道在售商品下架等等一系列联动的简单业务需要，技术计划的复杂度和原来相比更简单，排期更长。 作为业务的技术负责人，如果不能把握业务需要背地的实质，相似这种状况会层出不穷，所有疾速上线的长期计划最初都要随着需要的深刻而从新投入人力和精力进行重做，这方面的老本往往会转嫁在一线研发同学身上。 探索事物本质的办法形象的哲学定义并不能给咱们提供透过景象看实质的实际操作办法，然而却指明了事物本质的组成和关键点。咱们能够基于哲学上的定义和《矛盾论》全文以及本文中特地援用内容可知，如果想要剖析分明一个事件的实质，就是要主观地去剖析事物，梳理它外在的主要矛盾和次要矛盾，同时须要梳理外在的它和它所处环境内其余事物的互相分割和相互影响。 外在要剖析钻研指标事物的组成部分和对应的对立统一关系，从而得出对应的主要矛盾次要矛盾，理清矛盾的次要方面和次要方面。须要留神的是，相干的剖析是建设在事物的某一维度上，在事物倒退的某一阶段上的，随着事物的倒退，相干的剖析可能会呈现变动。事物的外在决定了事物的实质。如下图所示： 外在要剖析在肯定环境下，钻研指标事物和其余事物之间的互相关联关系和相互影响。事物的外在通过事物的外在关系和影响来影响事物的倒退。这一点能够简略思考一个问题：一把一般的锤子能够突破一面一般的玻璃，根本原因在锤子还是在玻璃？如果感觉根本原因在锤子的读者，能够持续思考：一把一般的锤子能够突破钢化玻璃么，能够突破防弹玻璃么，能够突破钢铁么？如下图所示： 通过以上的示意图和对应的剖析阐明，咱们能够理解到在剖析问题实质的过程中的所有关键因素，对于具体操作步骤和阐明指引，在本文第四章节会给出模板，不便大家在理论工作生存中应用。 剖析事物本质对技术一号位的必要性业务研发，特地是简单业务零碎的研发，实现产品经理提出的业务需要仅仅是其表象，其真正实质外延，是应用技术手段将解决某一特定问题的逻辑数字化，利用计算机技术对客观事物做数字化的建模，以尽可能贴近事物本质的形式进行逻辑和数据的运行，从而实现事实和虚构的映射，解决对应的问题。 作为研发团队的技术负责人，如果对业务的认知的终点是产品经理输入的产品性能文档，对业务的了解来源于源源不断的业务需要，不能认清业务的实质，不能看到将来的一些可能的发展趋势，那么这样的技术负责人其实只能做到了响应业务的需要，永远无奈真正的在技术架构和解决方案上撑持业务的倒退，更遑论应用技术驱动业务倒退了。 这也是“技术一号位” 和 “研发团队 TeamLeader”的最大的区别，前者是业务的共建者，利用技术背景和专业技能辅助业务一号位推动业务的倒退，实质上是在表演决策者的角色，而后者只是研发资源的协调者和我的项目进度的把控者，实质上是在表演执行者的角色。 面对非常复杂的事件的时候，咱们须要可能有正当的实践工具来撑持本人，将简单的状况骨干脉络理分明，而后剖析它为什么当初会是这样，过来是什么样的，在什么条件下，将来会倒退成什么样，而后再剖析哪些要害局部是咱们能够通过实际行动影响的，从而通过影响要害局部来疏导事物将来的倒退方向。 以下内容就是面对简单问题的时候，根本的剖析操作流程。 剖析事物本质的操作步骤事物外在剖析1、明确事物探讨的范畴明确问题探讨的范畴十分重要，同一件事件，在不同的范畴内探讨，得出的论断可能齐全相同，起因并不是咱们应用的实践工具有问题，而是随着探讨范畴的扩充，探讨的事物自身的组成和外界的互相分割和相互影响都会变动，所以就会有不同的，甚至是相同的论断进去。所以为了解决某个固定的问题，咱们首先要确定的就是这个问题的范畴是什么，它所处的环境是什么，探讨的问题的场景是什么。这些是开展所有的剖析的根底，如果多人探讨的状况下，不把这部分内容对齐，就会非常容易导致探讨的时候各方论点驴唇不对马嘴。 2、剖析事物外部组成及其存在模式在明确好事物的范畴当前，咱们须要剖析分明这个事件中的各个组成部分，每个组成部分是以什么样的模式存在的。 3、剖析事物外部各组成成分所表演的角色及其职责事物的每个局部，在这个事物中，都表演了某种角色，这个角色是某个局部的职责和行为的形象，所有的行为都体现着该局部的外围利益诉求。 4、剖析各角色在职责限定下的外围利益诉求在剖析完事务外部各组成的角色当前，接下来就是剖析该事物外部组成在对应角色的要求下的外围利益诉求了。须要留神的是，在探讨外围利益诉求的时候，须要联合场景，明确探讨范畴，否则所很多事物最终的外围利益诉求都会被过渡抽象化，然而很多时候一个问题是一个具体的、有范畴的利益诉求开展的。只泛化地探讨通过形象后的利益诉求，既不不便剖析矛盾点，又不能具体的解决理论问题，所以在探讨对立统一的时候，明确外围利益诉求要限定范畴和场景，不能一味只做形象，只去看矛盾的普遍性而不看矛盾的特殊性。 事物组成 1 外围利益诉求讲清楚该事物组成 1 的外围利益诉求是什么 外围利益诉求的由来剖析讲清楚该事物 1 的外围利益诉求为什么是这样的 事物组成 2 外围利益诉求讲清楚该事物组成2的外围利益诉求是什么 外围利益诉求的由来剖析讲清楚该事物 2 的外围利益诉求为什么是这样的 事物与外界互相关联相互影响的剖析以毛泽东的《矛盾论》中的实践为根据，咱们要想剖析分明事物的实质，还须要剖析分明它和外界其余事物的关系，因而咱们会针对这部分内容作简要剖析。 事物所处的大环境是什么从影响事物自身的多个维度去别离梳理，从而可能建设起来一个多维度的大环境的画像。 事物所处的大环境内的要害事件是什么剖析每个维度产生的要害事件，这些事件可能和事物外部有各种关系。 事物所处的大环境内的要害事件对事物内的影响是什么剖析每个要害事件对事物外部的影响是什么。 事物所处的大环境将来可能有哪些变动简略预测大环境中每个要害事件将来可能演变的走向，从而剖析将来可能对事物自身的影响。 ...

简介：数据显示，2020年美妆行业整体增速为23%，而新锐美妆生产增速高达78%。作为领有天然堂、美素等泛滥国货品牌的伽蓝团体，很早就认知到了这一趋势。基于数据中台的这一基座正式投入使用，伽蓝团体的数字化转型有了更多设想空间和落地可能。近日，第一财经商业数据中心公布《2021美妆行业趋势洞察报告》，报告指出，近年来，中国美妆洗护市场规模继续扩充，预计2021年中国美妆市场规模将达3644亿元，与此同时，美妆洗护行业的国货品牌数量也在疾速减少，2020年国货品牌数增速远高于国外品牌。 中国美妆行业通过数十年倒退，曾经造成了数千亿规模的产业链，并从中诞生包含伽蓝团体、上海家化、丸美股份等一众民族传统美妆品牌，成为国货美妆的中坚力量。 然而，随着行业市场的日益壮大，除欧莱雅、雅诗兰黛、资生堂等海内品牌继续加码中国市场布局以外，泛滥国内药企亦纷纷突破行业壁垒玩儿起花式跨界，如马应龙推出口红和眼霜，999皮炎平上线各色口红，仁和药业做起了美白面膜。 另一方面，Z世代正在迅速成长为美妆洗护的外围生产人群，作为随同挪动互联网成长起来的原生网民，其在生产场景中对新事物抱有更大好奇，因而“高颜值”“更细分”“流传广”的新锐美妆品牌更受他们青眼。 行业在变，市场在变，传统美妆品牌也不得不踊跃寻“变”。 美妆行业3.0时代已来 回溯国货美妆的倒退历程，大抵能够分为传统美妆、淘美妆、新锐美妆三大时代。 业界通常将2012年以前定义为国货1.0时代，这个阶段的市场注意力绝对集中，凭借大众传媒渠道，以天然堂、丁家宜、佰草集、卡姿兰为代表的传统国货美妆护肤品牌取得长足发展。 2012年到2014年，因为挪动互联网时代的到来，人们的生产习惯逐步向挪动端转移，御泥坊、阿芙精油、膜法世家等“淘美妆”借助电商平台买通与消费者间接沟通的链路，进入倒退快车道，成就国货2.0时代。 而近年来，Z世代涌入美妆市场，同时本来绝对巩固的行业界线被每每突破，“跨界翻新”“跨界营销”日趋常态化，特地是完满日记、花西子等新锐国货美妆品牌的衰亡并迅速站稳脚跟，成为国货3.0时代开启的一大标记。 数据显示，2020年美妆行业整体增速为23%，而新锐美妆生产增速高达78%。 作为领有天然堂、美素等泛滥国货品牌的伽蓝团体，其实很早就认知到了这一趋势，并意识到，在急速倒退的挪动互联网时代，品牌仅靠技术撑持是远远不够的，可能围绕市场需求及时调整应答策略，一直晋升产品品质和生产服务，才是继续占据市场的不二法门。 而数据，则是这场“新战斗”的根底。 自2001年成立以来，伽蓝团体在过来近20年的倒退过程中，积淀了海量数据，其中既有市场维度，也有商品、渠道、仓储、物流等其余维度，这些数据就像弹药一样储备在伽蓝团体各项业务零碎中，只等一个适合的契机，蓄势待发。 2019年，伽蓝团体在董事长郑春颖的率领下，正式公布将来倒退的两大策略——产品科技和数字科技。 伽蓝团体全面启动数字化转型的时机成熟了。 “业务数据化、数据产品化、产品经营化”三步策略 开源节流，是美妆企业进行数字化转型的根本逻辑。 对伽蓝团体而言，转型的最终目标在于可能为最大限度的消费者提供更为极致的生产体验。 过来，伽蓝团体就曾经打造了数量相当的业务零碎，贮存了海量数据，并可能在罕用场景中使用数据领导决策，为消费者提供售前、售中、售后等不同环节服务——但同时，随着线上销售渠道的拓展，以及包含短视频平台、社交平台等在内的营销场景日益丰盛，品牌所能面对的消费市场变得更为广大，如何能在第一工夫判断未知市场的外围诉求，并优选最高效的触达门路，这靠经验主义或根底的数据分析很难实现。 其次是老本和效率。随着团体规模的一直增长，本来绝对独立的零碎散布模式在肯定水平上减少了保护老本，且因数据指标不对立、数据处理过程不可见等起因，在肯定水平上妨碍了跨业务协同效率的晋升。 再次，聚焦到“人”的层面，大多数状况下，不论是数据的“采”“建”“管”“用”各环节，对员工操作能力都有较高的门槛要求，对一线业务员工来说，在获得数据应用权限的根底上，亟需整套可视化数据处理工具，以晋升数据处理效率。 带着这些诉求，同时在既定数字化转型策略的布局下，伽蓝开始着手建设数据中台。 “数据中台是伽蓝数字化转型的要害我的项目。”郑春颖说。同时他强调，“业务数据化、数据产品化、产品经营化”将是伽蓝数据中台建设的门路。 在伽蓝大数据中心总经理罗予晋看来，“业务数据化、数据产品化、产品经营化”并不是口号，而是伽蓝一步一个脚印正在做的事件。 业务数据化要求伽蓝可能把以后外围业务的数据尽可能全面在线，以不便基于不同业务场景的实时调用，而这也是伽蓝数字化转型的根底。 而通过数据中台的系列产品，如Dataphin、Quick Audience和Quick BI，在买通多零碎数据根底上实现针对不同业务需要的数据上传和可视化剖析，这就是数据产品化。 在产品化之后，让即使是一线业务同学也能轻松借由工具化产品，在取得对应权限的状况下，把握根底数据使用能力，使数据成为常态化的工作形式，至此，由“业务数据在线 - 数据可由产品加工 - 一线员工可及时调用数据”的递进门路根本实现。 2020年双11期间，伽蓝团体通过数据中台在全域营销和市场精准洞察上获得显著成果，其中包含天猫旗舰店粉丝数冲破2000万，相比引入数据中台之前，全渠道会员数增长了1倍，达到4300万，粉丝数更是达到3.5亿，增长了10倍。 罗予晋说：“有了数据中台后，咱们就能很分明地晓得业务端产生的大量市场数据，能够回流到哪里去做进一步的剖析和后果导出，并二次使用到包含营销在内的多个业务场景中，造成正反馈循环，真正盘活数据使用。” 线上线下全面数字化 而把眼光从线上场景挪开，美妆企业在线下市场的“厮杀”同样不容小觑。 毫不夸大地说，2020年是线下美妆汇合店的暴发之年，从调色师、WOW COLOUR，到话梅、喜燃，线下美妆汇合实现逆势扩张。 这些本来成长于线上的新锐品牌，通过入驻美妆汇合店，铺设线下市场通路，并提供试妆服务、概念快闪等多样生产体验，每每“破圈”吸引消费市场眼光。 这对伽蓝团体来说，既是压力也是能源。 基于数据中台的这一基座正式投入使用，伽蓝团体的数字化转型有了更多设想空间和落地可能。 代理商是伽蓝团体自成立以来长期打造的触达消费市场的外围渠道之一。 过来，各个代理商按照对笼罩市场的预判，各自向伽蓝团体下单，而后由伽蓝团体安顿发货——在这种模式下，对代理商来说，不仅须要承当较高的仓库老本，还会面临渠道危险； 另一方面，对伽蓝团体来说，因为无奈进一步治理代理商和经销商的货品，批发终端时常呈现价格不通明或不偏心的景象，在肯定水平上影响用户的生产体验。 不仅如此，因为各省市代理商的仓储大多绝对独立，百货核心、便利店、商超乃至线上各渠道的物流仓储也是各自独立的，导致各个渠道的库存之间的商品无奈互通互用，也难以依据消费者最终收货地位进行高效运送调配，在导致代理商物流成本增加的同时，消费者须要期待肯定物流工夫能力播种。 为了扭转这种弊病频现的货品供给场面，伽蓝做出了一个业内没人做过的大动作——打造一盘货。 郑春颖骄傲地说：“伽蓝是美妆行业第一家做一盘货的企业，只管困难重重，但咱们抉择迎难而上，全面推动一盘货。咱们置信这对于价值链的各利益相干方来说，是具备里程碑意义的。” 要实现一盘货，就要打造对立的供应链平台，既要买通包含各渠道在内的订单、销售、物流等数据，又要能通过对这些数据的剖析，实现销量预测、智能补货，已达到为所有to B和to C的客户提供服务，降低库存老本，进步供应链经营效率，并最终晋升用户的生产体验的目标。 罗予晋解释说：“咱们就想做多方共赢的事件。当前，代理商也好，代理商上面的经销商也好，都能够间接向咱们下单，下单后，货品仍会保留在咱们仓库里，等到终端消费者下单购买时，咱们会在规定的工夫内，将货品第一工夫间接发送到消费者手中。这样一来，不仅消费者的体验会很好，对于代理商和经销商而言，他们的累赘也会轻很多，因为他们不须要再维持一整套的仓储体系、物流体系、管控体系，实现轻资产经营。” 而针对线下门店渠道，伽蓝的数字化落地同样动作频频。 目前，伽蓝团体曾经设计了整套利用于门店场景的激励和考核机制，门店BA（美容参谋）通过实时销售数据，能够理解本人离预期指标还差多少，到了多少提成可能实现降级，这样一来，他们的主观能动性就能够失去极大地激发。 同时，基于数据中台买通了“人”“货”零碎，BA能够根据不同会员需要，给予最合适的产品举荐，同时及时获悉会员优惠券及其他相干权利，在进步销售转化的同时，为会员提供更贴心粗疏的服务。 数据中台作为伽蓝团体数字化转型的的基座建设之一，紧紧镶嵌在其数字化转型策略环节中，只管现阶段在货品供给、全域营销、新品翻新、用户体验等场景中失去了实效验证，但须要留神的是，将来肯定还有更多挑战须要应答。 “将来的业务场景肯定是须要更加丰盛的行业数据和市场数据来撑持，也须要更弱小的数据挖掘、治理和剖析能力来辅助，咱们心愿数据中台将来在提供这些能力的同时，还能帮忙伽蓝在各个前端业务场景带来策略性解决方案，让咱们既晓得要做什么，也晓得要怎么去做，怎么去掂量后果。”罗予晋说。 版权申明：本文内容由阿里云实名注册用户自发奉献，版权归原作者所有，阿里云开发者社区不领有其著作权，亦不承当相应法律责任。具体规定请查看《阿里云开发者社区用户服务协定》和《阿里云开发者社区知识产权爱护指引》。如果您发现本社区中有涉嫌剽窃的内容，填写侵权投诉表单进行举报，一经查实，本社区将立即删除涉嫌侵权内容。

图说丨京东《技术重构社会供应链——将来科技趋势白皮书》什么是数智化社会供应链？ 数智化社会供应链的诞生背景是什么？ 哪些是数智化供应链关键技术？ 数智化关键技术将来会有怎么的发展趋势？ 数智化技术与社会供应链将会擦出怎么的火花？ 又将在社会倒退中产生怎么的价值效应？ 这所有问题，将在上面 《技术重构社会供应链—将来科技趋势白皮书》中一一清晰 数字产业化和产业数字化曾经成为“十四五”的时代“重音”，依靠数智化科技落地，带动国内新一轮产业改革。数字化、网络化、智能化不仅扭转了集体生存，也将驱动行业领军企业改革，并将影响辐射至其所在的整个产业链。 作为扎根供应链畛域的头部企业，京东团体乘着数智化的东风，在2020年京东JDD大会上，首次零碎阐释了面向未来十年的新一代基础设施—数智化社会供应链。京东认为，供应链在数智化技术的推动下，将走向智能化、社会化、全链路的方向。数智化技术将实现供应链生产、流通、服务各个环节的连贯，促成供应链上下游信息、资源匹配与协同，带来企业经营、生产的降本增效。 数智化社会供应链上的企业也将在科技的助力下，实现深度的技术、深度的数据、深度的智能、深度的链接、深度的目标。 京东研判，到2030年，所有的企业都将成为科技企业。 2021年新年伊始，京东团体技术委员会重磅公布 《技术重构社会供应链—将来科技趋势白皮书》 ，吹响了京东团体高低科技使能产业数智化改革的号角。作为京东首部团体级的技术、业务白皮书，它从数智科技倒退主观钻研视角，全面出现了影响当今供应链改革的关键技术趋势。同时，它对数智化技术赋能产业、社会供应链的翻新生态模式进行了全方位解读，为推动行业倒退和产业转型带来启发。 多维度分析数智化五大关键技术 技术趋势• 关键技术• 技术价值 京东凭借技术、人才和产业链生态劣势，对影响以后社会倒退与产业供应链改革的要害前沿科技发展深察与钻研， 人工智能 、 物联网 、 区块链 、 自主零碎 和 下一代计算 等五大要害数智化技术将影响产业实现深度链接、深度数据、深度智能、深度目标。 白皮书陈说： 在人工智能方面，通过在机器学习、机器视觉、自然语言解决等畛域的技术冲破，世界的智能化水平将一直晋升，人机合作、共生将迎来新的倒退。 随着5G通信、物联设施、以及边缘计算技术的成熟，将减速物理世界与数字世界交融，“数字孪生”的世界让人与物、环境的交互更加自在、可神往。区块链的明码算法、共识机制、分布式存储、平安爱护技术在保证数据可信、牢靠流传中扮演着重要的角色，构筑互信单干商业新模态。随着感知技术的赋能，简单、凋谢场景下的定位导航能力以及边缘智能全面晋升，自主设施与人类社会间智能协同将成为事实。人脑、云脑、端脑与生物体、数字体、机械体交融共生。下一个十年，计算场景将继续多元和下沉，海量数据的产生和解决需要一直升高，下一代计算技术作为数智化社会的重要基础设施，将出现多场景、平安、云边端协同一体化的个性。 五大要害科技，影响互为叠加，物联网带来物理世界的数字孪生，万事万物皆可被数字化，物联网技术为数字孪生世界织成一张数据之网；区块链推动可信赖的连贯与数据的平安，让数字孪生世界的数据实现按需、平安、自在地流通；人工智能助力大数据浪潮之下，智能随需，万事万物皆可被智能驱动并发明智能；自主零碎实现机器与人类世界的谐和、可继续共生，在物理世界、数字世界实现跨界交换；下一代计算则是实现这个数智孪生世界的计算能力底座，为智能世界提供底层引擎。 以上五大技术施展的能量不可小觑，作为形成数智化社会供应链的深度技术，多项技术能量交融发力，可实现将来数智世界万事万物的 全联接、数智化、社会化。 在数字孪生世界，事物互相关联，向着更加智能化方向倒退，皆具社会化属性。五大外围前沿科技即为形成数智化社会供应链的深度技术、深度数据、深度链接、深度智能，帮忙人类实现深度目标。 五大场景数智化 技术为引•数智化社会供应链幻想照进事实 随同着 人工智能 、 物联网 、 区块链 、 自主零碎 和 下一代计算 五大要害数智化技术的投入积攒与钻研，京东联合本身商业场景劣势，以京东批发、衰弱、物流、金融、城市为驱动，链接技术创新与产业供应链全流程，为实现产业数字化转型，赋能数智化社会供应链新业态集中发力。 以数智化社会批发供应链为例。 借助智能履约决策大脑，京东全渠道供应链买通门店库存，连贯合作伙伴的配送，降级全渠道触达能力，在多端、多场景间造成协同效应。在全供应链的数据反对下，通过京东C2M反向定制模式的利用，产品需要调研工夫缩小了75%，新品上市周期缩短了67%，数智化的技术引领制作走向“智造”，成就批发供应链更低成本、更高用户满意度、更多翻新业务的降级。 在智能物流畛域， 京东物流打造了基于5G、物联网、人工智能等技术的LoMir（络谜）5G智能物流平台，实现物流全链路的实时监控、可视化、智能剖析和施行剖析。目前数智化物流供应链已在京东亚洲一号、北斗新仓及其物流骨干网络应用。以郑州“亚洲一号”为例，数智化物流供应链利用后，园区整体分拣效率晋升5倍，日均可解决100万单。 通过数智化智能城市供应链， 京东打造基于京东智能城市操作系统“仑灵”的“一核两翼”市域治理体系。在南通市政府市域治理现代化指挥核心，零碎汇聚75个部门数十亿量级数据，为城市管理者提供基于AI智能剖析和专家智库的辅助决策倡议，全面晋升城市治理能力和现代化程度。 技术的加持下，批发、物流、金融等各大产业实现不同水平的技术化革新，产业实现了更加智能化的连贯与协同，推动了各个环节不同阶段、期间的技术改革。 将来，京东将继续摸索前沿技术，联结客户、搭档及社会力量，继续投入数智化社会供应链体系建设，推动社会高质量倒退。 摸索有温度的技术 打造谐和、高效、偏心的将来社会 白皮书的公布，是京东多年来深耕技术与供应链场景的一次厚积薄发。在京东看来，有温度的技术是推动社会提高的无力杠杆。技术创新的实质是为了改造社会环境，进步社会生产效率，推动着人与社会环境的谐和、可继续倒退。“数智化社会供应链将成为将来十年的新基础设施。” 这是京东在科技翻新过程中的外围认知，也是对将来行业“两化”倒退必然因素的预判。京东正紧锣密鼓地进行一系列科技投入、平台搭建、产业人才团队建设，全面做好了推动产业数智化转型的筹备。 京东对科技的摸索，从未停歇。2019年，随着京东团体技术委员会的成立，技术的价值再次被放大。团体技术委员会聚焦于构建京东技术品牌、兼顾并打造京东团体技术文化，一直加强京东技术人才队伍的专业性和多样性，推动个体技术转型和技术服务策略的落地，着力晋升京东团体在全行业整体的技术影响力。在团体技术委员会的推动下，京东技术品牌从备受业界关注的京东寰球科技探索者 (JDDiscovery)大会，到2020年成立京东摸索研究院，着眼于从六大前沿技术畛域，发展实践、根底摸索与钻研，再到《白皮书》公布，正一步步进步着京东团体技术品牌在行业的影响力与技术洞见。 ...

小灰去一家餐厅，点了一份酸菜鱼 这盘小小的酸菜鱼 是怎么来到小灰背后的呢？ 须要养殖场养鱼，菜农种菜，腌制厂腌制酸菜，库房存储食材，物流公司运送食材，餐厅的大厨做出酸菜鱼，再由服务员小姐姐端到小灰背后。 像这样由供应商、制造商、仓储商、运输商、分销商、零售商以及终端客户等多个主体独特造成的生产和交易系统，就是供应链零碎。 举个例子 小A是一家餐厅的老板，眼看春节要到了，他认定春节期间的生意肯定很火爆，于是买进了大量的生鲜食材。后果这个春节非常冷清，没几个顾客，小A只能蹲在餐厅门口卖菜。 数据化：智能供应链基于云计算、AI、IoT、大数据等技术，为供应链全流程提供多源异构数据的感知和认知的共性关键技术。相比于传统供应链，智能供应链领有海量数据，为智能决策打下基础。 可视化：为了加强供应链的协同性，智能供应链把生产、流通、生产环节的数据进行了可视化，使得供应链的每一个参与者都能够清晰感知到以后的状态和要害信息。 智能化：智能供应链能够帮忙企业进行智能建模、智能决策，并将决策反馈到各业务零碎，做出比人类更精准、更高效、更细颗粒、更一致性的智能化决策。同时，智能供应链的决策引擎还能够依据机器学习体系一直学习，使决策体系一直进化和成长。 智能供应链反对下的将来京东 为什么这么说呢？因为京东对于本身的定位，就是以供应链为根底的技术与服务企业；京东将来愿景是长期深耕供应链全链条，引领智能供应链建设。 作为京东对外输入技术服务的外围通道与技术基石，京东智联云依靠当先的数智化技术与京东人造的产业属性，使智能供应链在生产、流通、生产这三个方面实现了智能化。 那么京东智联云在这三个方面具备怎么的劣势呢？ 在智能生产方面，京东智联云的C2M反向定制供应链与传统形式相比，能缩短企业新品上市周期67%；京东的主动补货平台，对生产的预测准确率可高达92%。 在智能流通方面，京东在中国大陆区县覆盖率高达99%，同时，京东还领有万级网络布局，能晋升全网时效 5%，并实现最快15分钟送达的极致体验。 在智能生产方面，京东智联云的智能客服可反对 10 亿+ 商品征询，并由京东“宙斯盾”零碎精准地剖析用户意见。此外，“拍照购”也能反对数 10 亿商品的疾速搜寻，实现了全场景无界批发。 01，用户洞察 用户洞察的实质，是对购物行为的剖析与预测，包含推断用户行为动机，如晃荡，比价，弱购买志愿，强购买志愿等；也包含预测用户行为，预测用户在浏览过的商品上的最终行为，如间接退出、珍藏、加购、下单等。 02，市场洞察 如果说用户洞察是宏观的剖析，那么市场洞察就是宏观的剖析，也就是对商品竞争力的剖析。市场洞察能够辨认竞品，理解市场中商品竞争力排名剖析和销量趋势；能够洞察指标潜客，多维度剖析人群特色，辨认市场规模和竞争饱和度。 03，智能营销 当初的营销需要，曾经不像传统营销那样千篇一律，而是须要千人千面的智能营销。如何实现精准的营销呢？基于用户画像、用户行为因果推断、需求预测和千人千面模型，抉择机会和营销策略精准营销，晋升成单转化率。 04，反向定制 在传统的商品市场中，企业生产了什么商品，用户就只能被迫承受什么样的商品。但当初，企业生产什么样的商品，用户说了算，企业基于用户数据，定制爆款商品，这就是反向定制。 反向定制基于京东海量用户和商品数据，从消费者需要登程，多维度深度开掘消费者潜在需要，定制爆款；反向定制反对基于UV转化率的定制，晋升新品转化、实现老品降级；反对基于评论预测的定制，强化重要的侧面评论关键词，缩小负面关键词。 案例1：新发地的供应链控制塔 在新发地二次疫情期间，为了尽快帮忙新发地疾速复商复市，京东智联云仅用15天工夫，通过数字化技术构建起新发地“数字大脑”，为这里建设了一座“供应链控制塔”，帮忙管理者更好地治理新发地的各种场景。 都有哪些场景须要治理呢？ 每一天，新发地的卖家都须要进行注册，提供本人的身份证、营业制作、员工信息、车辆信息等等，这些信息能够保障新发地可能更好地进行数字化治理。 同时，每一个买家一旦进入到新发地，须要做相应的会员机制，在平台做相应的预约，拿到本人的通行码，能力进入到相应的区域，实现整个农产品交易过程。 在可视化的大屏幕上，咱们能够看到每一天有多少车辆、多少人员进入园区；在每天交易了多少农产品、多少肉禽蛋奶，这些都会清晰地显示在平台上，以便让管理者去决定农产品和生存物资的供应数量。同时能够检测到园区内相应的车辆和运输，可能更加高效地执行，防止造成车辆的梗塞。 这个供应链控制塔，能够让管理者决定和管制整个人流、车流、交易流，以保障新发地园区内的安防监控，灵便面对简单状况。 ...

日常工作中，很多场景须要咱们保证系统操作的幂等性，先来理解下什么是幂等。   引自百度百科： 幂等（idempotent、idempotence）是一个数学与计算机学概念，常见于抽象代数中。 在编程中一个幂等操作的特点是其任意屡次执行所产生的影响均与一次执行的影响雷同。 引自维基百科：     Idempotence is the property of certain operations in mathematics and computer science whereby they can be applied multiple times without changing the result beyond the initial application. The concept of idempotence arises in a number of places in abstract algebra (in particular, in the theory of projectors and closure operators) and functional programming (in which it is connected to the property of referential transparency). ...

区块链是什么区块链是一种按照时间顺序将数据块以特定的顺序相连的方式组合成的链式数据结构，其上存储了系统诞生以来所有交易的记录。区块链上的数据由全网节点共同维护并共同存储，同时以密码学方式保证区块数据不可篡改和不可伪造。所以区块链本质是一个分布式共享数据库。区块链让参与系统中的任意多个节点，通过密码学方法产生相关联数据块（即区块，block），每个数据块中都包含了一定时间内的系统全部信息交流的数据，并按照时间顺序将数据区块组合成一种链式数据结构。区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术在互联网时代的创新应用模式，是一种解决信任问题、降低信任成本的信息技术方案。区块链技术的应用，可以取缔传统的信任中介，颠覆传统上存在了几千年的中心化旧模式，在不需要中心化信任中介的情况下，解决陌生人之间的信任问题，大幅降低信任成本。名词解释分布式：相对于集中式而言，分布式是区块链的典型特征之一，对应的英文是Decentralized，完整的表达形式是不依赖与中心服务器（集群）、利用分布式的计算机资源进行计算的模式。共识机制：区块链系统中实现不同节点间建立信任、获取权益的数学算法。分布式数据库：一个可以在多个站点、不同地理位置或者多个机构组成的网络中分享的数据库。区块+链=历史+验证区块结构有两个非常重要的特点：每个区块的块头包含了前一区块的交易信息的哈希值，因此从创世区块到当前区块形成了链条；每个区块主体上的交易记录前一区块创建后、该区块创建前发生的所有价值交换活动；绝大多数情况下，新区块创建成功被加入到链中，该区块的数据记录则不可被改变或更改。区块链的特点去中心化区块链的分布式结构使得数据并不是记录和存储在中心化的电脑或主机上，而是让每一个参与数据交易的节点都记录并存储下所有的数据信息。为此，区块链系统采用了开源的、去中心化的协议来保证数据的完备记录和存储。区块链构建了一整套协议机制，让全网络的每个节点在参与记录数据的同时，也参与验证其他节点记录结果的正确性。只有当全网大部分节点（甚至所有节点）都确认记录的正确性时，该数据才会被写入区块。在区块链的分布式结构的网络系统中，参与记录的网络节点会实时更新并存放全网系统中的所有数据。因此，即使部分节点遭到攻击或破坏，也不会影响这个系统的数据更新和存储。不可伪造区块链记录原理需要所有参与记录的节点，来共同验证交易记录的正确性。由于所有节点都在记录全网的每一笔交易，因此，一旦出现某节点记录的信息与其他节点的不符，其他节点就不会承认该记录，该记录也就不会写入区块。不可篡改改变某一区块及区块内的交易信息几乎是不可能的。如果该区块被改变，那么之后的每一个区块都将被改变。因此试图篡改数据的人必须同时入侵至少全球参与记录的51%的节点并篡改数据。从技术上讲，这几乎是不可能的。数学加密每笔交易需要一个有效签名才会被存储在区块中。只有有效的数字秘钥才能生成有效签名。密钥是成对出现的，由一个私钥和一个公钥组成。其中，公钥是公开的，私钥仅限拥有者可见并使用，用于交易签名，以证明数字身份。区块链如何解决供应链金融痛点供应链金融是以核心客户为依托，以真实贸易背景为前提，运用自偿性贸易融资的方式，通过应收账款质押登记、第三方监管等专业手段封闭资金流或控制物权，对供应链上下游企业提供的综合性金融产品和服务。供应链金融的基础，又是供应链。供应链涉及信息流、资金流、物流和商流，天然是个多主体、多协作的业务模式。在这种情况下，要进行贸易融资，首先会遇到很多真实性的问题，比如交易的真实性，单据的真实性，这都需要多方确认，耗费大量的人力物力；其次，涉及的多主体，存在互联互通难的问题，例如每个主体用的供应链管理系统、企业资源管理系统，甚至是财务系统都有所不相同，导致对接难。就算对接上了，会由于数据格式、数据字典不统一，而导致信息共享很难。供应链金融还存在一些行业痛点：第一，如前所述，供应链上存在很多信息孤岛，企业间信息的不互通制约了很多融资信息的验证；第二，核心企业信用并不能有效传递，根据合同法，核心企业是跟一级供应商签订合同，但是一级供应商和二级供应商签订合同时并没有核心企业参与，并不能传递相关的核心企业的信用到多级供应商；第三，银行缺乏中小企业的可信数据。在现存的银行风控体系下，中小企业无法证实贸易关系的存在，难以获得银行资金。相对地，银行业无法渗透入供应链进行获客和放款；第四，融资难、融资贵现象突出，在目前赊销模式盛行的市场背景下，供应链上游的供应商往往存在较大资金缺口，然而没有核心企业的背书，他们难以获得银行的优质贷款；第五，结算并不能自动完成。现在很多约定结算没有自动完成，涉及多级供应商结算时，不确定性因素更多。因此，供应链金融需要数据穿透和信息共享，通过把资金流、信息流、物流，商流等融合在一起，来提升信息的真实性、信用的可传递和融资的高效率。基于区块链的供应链金融，通过区块链技术将各个相关方链入一个平台，通过多方记账确权数据存储，实现数据的横向共享，进而实现核心企业的信任传递。基于物权法、电子合同法和电子签名法的约束，借助核心企业信用额度，提升中小企业的融资效率，降低小微企业的融资成本，加速实现普惠金融。引入区块链带来哪些优势呢？第一，解决信息孤岛问题，多个利益相关方可以提前设定好规则，加速数据的互通和信息的共享；第二，根据物权法、电子合同法、电子签名法等，核心企业的应收账款凭证可以通过区块链转化为可流转、可融资的确权凭证，使得核心企业信用能沿着可信的贸易链路传递。基于相互的确权，整个凭证可以衍生出拆分、溯源等多种操作；第三，提供可信贸易数据，比如在区块链架构下提供线上化的基础合同、单证、支付等结构严密、完整的记录，提升了信息透明度，实现可穿透式的监管；第四，实现资本降本增效。核心企业信用传递后，中小企业可以使用核心企业的信贷授信额度，降低融资成本，提升融资效率；第五，实现合约智能清算。基于智能合约的自动清结算，减少人工干预，降低操作风险，保障回款安全。总而言之，从整个信息流转来看，从以前的信息孤岛变成现在全链条的信息打通，从传统的核心企业只能覆盖一级供应商，变成能够覆盖多级供应商。基于加密数据的交易确权、基于存证的交易真实证明、基于共享账本的信任传递和基于智能合约的合约执行，形成回款封闭可控、穿透式监管、全链条数据打通的新生态，主要是有助于中小微企业解决“融资难，融资贵”的难题。区块链应用案例-大大买钢网解决方案翼启云服构建的Blockworm Baas（blockchain as a service）平台，是提供区块链服务的云平台，可以帮助用户快速构建区块链基础设施，将业务数据上链。翼启云服以区块链上的数据为依托，为供应链上下游的中小企业提供金融服务。平台采用区块链多链结构，B2B平台、供货商、采购方、仓储机构、物流机构作为数据录入节点，将供应链中的信息流、商流、物流数据存储在区块链上。首先，区块链打通了各个参与方的信息系统，提供了可信的协作环境，提高了交易协作的效率。其次，多个参与方基于交易本身协作，共同见证了交易的过程，为交易的真实性提供保障。最后，金融机构作为授信方和资金提供方，基于可信的数据源，利用数据分析等手段，为企业进行授信，放款。简化了融资流程，提高了融资效率，降低了融资成本。以下为钢铁B2B电商大大买钢在Blockworm平台利用区块链进行业务数据记录的案例。各方交易从订单生成的时刻起，包括仓储、物流过程中的关键节点都进行数据记录，数据存储在交易链上，整个交易可进行溯源，并根据各方信息交叉验证，防止虚假交易，保障交易真实性。图1. 交易全过程关键节点记录在交易链上具体流程为：大大买钢网的新增订单的信息被记录在区块链上；大大买钢变更订单状态为待出库；第三方仓储在链上发现待出库订单，对货品进行出库操作，并标记订单状态为已出库；承接货品运输工作的第三方物流公司开始运送货物，并更新订单状态为运输中；下游买家收到货物，将订单状态标记为已签收。所有交易中产生的应收账款、票据等可以作为融资标的，登记在资产链上，形成数字资产，此过程被称为资产数字化，这些数字资产本质是供应链中企业的债权。资产链记录所有资产的融资过程。部分过程可由链上的智能合约自动执行，节省人力成本。图2.融资链记录融资资产产生的过程同时，在交易链中，数字化资产可以进行拆分，做为债权（或资本）向上游供货商进行采购，这样依托于核心企业的信用，就可以传递到整个供应链中，为供应链中的中小企业增信。图3.融资资产可以在链上进行流转整合图(1) – 图(3), 最终就会演变成多链的模式(图(4))， 首先各个交易链提供资产的真实性溯源，中间是资产链，需要进行融资的资产都可以登记到资产链中，金融机构基于资产链，对资产的真实性进行溯源，评估风险，进行有针对性的金融服务。图4.多链结构，交易链为资产链上的融资资产增信宜信技术学院 作者：于明扬

本篇文章来自于2018年12月22日举办的《阿里云栖开发者沙龙—Java技术专场》，梁笑专家是该专场第一位演讲的嘉宾，本篇文章是根据梁笑专家在《阿里云栖开发者沙龙—Java技术专场》的演讲视频以及PPT整理而成。摘要：2018年双十一平稳度过，海量订单、零点流量高峰，阿里是如何实现供应链99.9%的下单成功率？本次分享中，阿里2018年双十一大促供应链服务保障平台负责人向大家详细阐述大促前4个月的全程经历。面对大促第一步需要做什么，流量峰值如何评估，性能优化从何处着手，一套有条不紊的供应链服务平台迎接大促的解决方案至关重要。演讲嘉宾简介：梁笑，阿里新零售供应链平台事业部，擅长 Java、Spring、OOP、分布式、架构设计，参与过供应链服务决策平台、双十一大促等项目，对业务开发、大促保障、架构设计等有所涉猎。本次直播视频精彩回顾，戳这里！PPT下载地址：https://yq.aliyun.com/download/3183以下内容根据演讲嘉宾视频分享以及PPT整理而成。本文围绕双十一大促历程，从以下几方面介绍供应链服务平台如何迎接大促：1. 概述2. 梳理链路3. 峰值评估4. 容量评估5. 性能优化6. 依赖改造7. 保障协同8. 压测检验9. 项目协同10. 监控治理11. 战前准备12. 总结一、概述大家熟悉的供应链服务包括库存控制、计划调拨等，这里介绍的供应链服务更偏向于交易侧。例如在淘宝或天猫购买物品时，会有今日下单预计某日送达等物流提示，这种物流时效承诺即是由供应链服务平台提供。再如，购买电冰箱、空调等大件需要预约配送时，需要选择指定的配送商或者货到付款、拆单合单等物流透出，都需要供应链服务平台的支持。除了这些大家作为消费者可以直观感受到的服务外，商家的商品入库发货等操作也都离不开供应链服务平台。因为大促时物流服务需要实时透出，服务平台是需迎接双十一实时下单的高流量的，此外服务平台还需要承接物流发货的服务透出，例如发货的仓库、路线、发货时效及服务等。因此，供应链服务平台在阿里体系中扮演了一个上承交易、下接物流的腰部力量，主要包括物流服务、物流透出、商家订购、容量管控等功能。物流服务及物流透出上述已提及，商家订购包含仓订购和快递资源订购，容量管控是指物流干线的容量能力，例如从北京到上海，可以在当日送达的物流能力为一千单，超过一千单外的便无法达到这样的物流时效诉求。至此，大家应大致了解了供应链服务平台的概念。供应链服务平台保障的过程如下图所示：如何在业务容量峰值时保障系统，该采取哪些措施，这是一个不小的挑战。首先，需要分析出哪些接口需要重点保障，哪些薄弱点或性能低下的链路需要重点评估。接下来，需要对这些进行优化操作。然后，对优化后的接口通过自测或压测进行验证。验证过程中可能会发现，已有的问题解决了但是出现了新的问题，这就需要再次分析优化。这是个螺旋上升形的过程。上图右侧是保障过程的阶段描述，会在接下来进行详细阐释。二、梳理链路如果给你一个系统，在你不了解的情况下，让你在流量峰值下保障系统的稳定性，首先你需要明确要做的事情，清晰目标任务的范围。因此，第一步就是梳理系统业务的链路，对系统有宏观全面的认识，这是保障大促稳定性的前提。但是，以服务平台的现状来说，有以下几个通病：祖传代码、上古应用、文档缺失、无人可问。阿里的服务平台自2011年开始经历过三次较大的升级改造，每次升级大部分核心功能会下架升级，但仍有某些小功能无法改造。这就造成在2018年的大促保障时还需要阅读2011或2012年的代码，甚至某些应用都无法打印日志。文档缺失、无人可问也使系统保障更加困难。梳理链路可以分为以下四步进行：1. 梳理对外接口。在日常开发中，主要的业务逻辑代码大约包含四五个对外接口，但是通常来说实际会比这要多。在对服务平台的链路梳理中，新老三版系统包含大约80多个对外接口。但在实际工作中，只会涉及十个接口左右。可见，这些接口存在巨大的冗余。某些接口可能已不再使用，或某些接口有使用者，但使用者并没有意识到在调用该接口。因此，梳理对外接口就是梳理出接口是否在实际提供服务。2. 移除无用接口。在剩下的70多个接口中，一定有无用的部分，移除这些接口也是移除了潜在的bug出现。这可以通过查看调用者、分析流量或者咨询使用者来进行移除。在这个阶段，阿里的供应链服务系统大约下架了近40个废接口，如此大幅缩小了需要保障的系统范围。3. 梳理剩余接口。这个阶段中将各接口按照重要性进行保障力度的划分，例如某些接口是需要重点保障的，而某些接口无需重点保障，不应占用宝贵的机器资源、数据库资源等，例如一些查询功能的端页面，在大促时出现问题也不会产生重大影响。4. 确认强弱依赖。对划分出的需要重点保障的接口需再次梳理出相互间的强弱依赖关系，这就需要理清系统的业务逻辑。例如在阿里的大促系统中，如果库存出现问题，那么紧接其后的订单、配送等接口也都会混乱，这便是一个强依赖过程。因此，这里应设置成如果库存出现问题，下单只能返回失败。弱依赖过程则不同，例如根据历史数据得知某消费者经常使用某一个自提站点，如果在大促中，自提站点的链路挂掉，分配的不是这个自提点，虽然这可能会导致消费者的愉悦感下降，但下单过程不会产生太大的问题。此外，还需对接口的调用量和调用比例进行统计梳理，例如调用一次A接口，可能会在下游调用一次或若干次B或C接口，通过这个比例可以根据A接口流量的增长幅度计算下游的接口流量。如此梳理完成后便可以产出一份链路文档，大致掌握了需要重点保障的部分、可能的调用方、可能的消费者、消费的量级、涉及的数据库、缓存中间件、链路的强弱依赖等信息，这是后续工作的纲领性文件。三、峰值评估在有了这份纲领性文件之后，则需要明确任务目标。对这样实时下单的强依赖系统来说，最直观的的目标是要支撑住双十一零点的交易峰值。这就需要评估这个交易峰值是多少，毕竟每个系统被核心的交易系统调用的频率并不相同。峰值可以根据交易下单量、业务预测和历史经验来进行评估。交易下单量相对来说确定性较高，因为这在系统内部可以通过限流解决。当下单量超出了系统的承受力，则直接返回下单失败，让消费者再次下单即可。因此每秒的最高下单量是相对确定的值。业务预测是指对每个行业线的下单量进行预测。即使知道每秒的下单总量，却无法知道例如天猫超市或者某个行业线的细化下单量，那么便收集该行业线下的店铺信息，再根据一些专业知识进行评估。这样的业务预测值是缺少瞬值的，例如它可能可以预测出一天的单量，但无法预测0点那一秒的单量。因此，还是需要根据历史经验来弥补这个缺陷。例如根据前三年的大促流量分布、双十一前的三八大促九九大促流量分布等数据，进行流量预估得到流量漏斗。甚至在大促前，对某些链路进行了改造变更等操作的，也需要在流量预估的过程中详尽考虑。由上述可见，在这样输入有限的情况下，需要抽丝剥茧得出一份可能性较高的峰值评估。这样的峰值评估主要为两方面，如下图所示。一部分是接口峰值，这会用于指导保障整个系统。例如若下单量为十万，那么商品详情接口大约会产生三十万流量，渲染下单接口十二万到十五万，真正下单扣减约七到八万，这些值会指导进行系统下单时的重点保障。另一部分是行业峰值。例如下单量为十万时，快消品牌和美妆产品各自的单量为多少，这会直接显示出系统各行业所需要的下单承受能力。四、容量评估确定了任务目标后，就需要评估现有的机器容量是否可以支撑预估的流量峰值。阿里的供应链服务平台是一个单元化的应用，可以理解为一个跨城市跨机房的异地部署过程。每个单元（机房）有不同的流量承受能力，例如可以在华北设立机房承受30%流量，华南机房承受30%流量，华东机房承受40%流量。接着通过压测等方法可以方便的得出单机性能，测试出健康情况下单机的QPS流量。例如，UNSZ（深圳单元）需要承担6.52%的流量，结合单机性能预估需要的机器数量，根据比例得出预估QPS值。接下来需要考虑，现有的机器能满足预估状况嘛？是否有缺口？如果存在缺口，是可以通过优化还是申请预算解决呢？最短的木板（压力最大的部分）是哪里？因为各个机房的实际性能存在差异，这部分差异也需要考虑在内。根据最短木板确定限流保护值，重点保障最危险的单元。此外，在容量评估时，最好预留一定的buffer，保障可能超出的流量。五、性能优化基于已有的机器预算，和之前梳理出的接口链路，接下来需要一些手段优化性能来支持峰值流量。不仅包括对古老代码的优化，也需要对新产生的代码进行改进。下图展示了供应链服务平台的大促性能优化中采取的主要手段：这些细节化手段这里不再赘述，大家可以参考一些web技术文档即可了解，这里重点为大家介绍如何梳理上述优化过程。没有一个整体的方法论，贸然入手消耗的精力暂且不谈，达到的效果可能也不尽人意。这些优化手段主要通过分析阿里的业务特点及双十一的玩法特点得出。例如，若某一地区的仓配产能不高，无法实现物流时效承诺，那么撤下物流时效承诺的同时，与其相关的链路也可以一同撤下，这便大大提升了这一块的性能。因此，提升性能不只是通过内存调优等，也可以根据业务逻辑来调整。优化的各个步骤如下：1. 减少流量。在客户端或服务端屏蔽流量，降低不必要的调用，这样的性能优化效果最为可观。2. 移除或降级IO。根据业务需求尽可能的下线无用的IO逻辑或者根据业务特点降级部分IO。3. 减少IO调用。例如在货品查询IO中，可能会采用多个for循环来进行查询，那么便可以采用批量查询来代替单个查询。4. 移除本地IO。移除和检查没用的日志和滥用的日志。某些debug代码在平时产生的流量不会引起大家注意，但是在全链路压测验证时就可能产生非常多流量以致线程卡住。5. 使用缓存。短时间内数据不变的情况下，进行缓存，避免多余的IO。这种方式在大促时效果尤为明显。在电商行业，类似某个店铺与货品的绑定关系在大促时间内基本不会变化，这种不变的数据使用缓存效果最佳。6. 缓存命中率。在平时缓存可能设定失效时间为几十分钟，但是大促时可以禁止该类影响稳定性的操作，将失效时间设置为几个小时甚至十几小时。拉长缓存失效时间，可以极大的提高缓存命中率，平时的命中率大约在60%-70%左右，在大促时这个数据提升到了99.99%。此外，还需要充分预热。7. 缓存吞吐。除了本地缓存外，大家可能都会使用远程缓存，例如redis等。阿里巴巴使用tair缓存，对其序列化方式进行了修改。java自带的序列化方式性能较差，得到的序列化对象也字节较大，因此将其改成了Hessian方式（没有选择kryo或protobuf是因为当时转换成Hessian方式最为简便）。同时精简字段，假设某个返回对象有十个字段，但对外接口只需使用两三个。大家知道，带宽一定的情况下，单个数据量越大，同时能通行的数据就越少。流量峰值时，带宽通常都会比较紧张，那么便无需将剩下的废字段也存入缓存。进行了上述改进，缓存的吞吐有了很大程度的好转。8. 本地缓存。尽量使用本地缓存在tair前挡一层，避免网络IO。本地缓存不可能存太多，但是在某些极限情况，例如卡券类或红包等，当天调用极其频繁并且不会变化，这样的数据可以缓存在堆外内存中。9. 数据库。在解决了数据IO的大部分问题后，便可以采取一些更细致的优化手段。例如检查慢的SQL，索引使用是否正确，有没有离线拖库任务，是否可以清理一些碎片等。10. 本地代码。去掉高频率低效的本地代码。但根据经验，这种手段得到的优化效果有限。因此，纵观整个优化思路，减少IO和使用缓存是优化性能的效果较为明显的方法。六、依赖改造在性能优化后，大致不会在峰值时出现宕机的情况，但仍需要进行强弱依赖的改造，即强依赖改为弱依赖，弱依赖改为强依赖。强依赖是指如果对兄弟系统、数据库或缓存的调用出现问题，那么流程直接中断。弱依赖指即使这部分宕掉，可以直接设置超时或者熔断，并不会影响流程的后续。强弱依赖的改造其实是一个兜底的过程。将某些错误的强依赖改为弱依赖，使其不会影响核心流程，防止雪崩。其次，将一些弱依赖改为强依赖。第一种是确定性的依赖更改。例如如果下单成功需要将扣减库存数量，如果库存数量没有扣减成功，会导致后续各种问题，如果之前采用的措施是将这个异常catch住继续后面的流程，那么这里就需要更改为抛出异常阻断流程。第二种是下游重依赖的数据。第三种是可能会造成资损的数据。强弱依赖更改实际上就是对业务负责和保障的过程。七、保障协同作为系统的负责人，做到上述性能优化等工作对本系统来说足够了，但是其他兄弟系统的保障协同也是重要的一环。在阿里，每次中间件大规模要求升级时，大促也就近了。供应链服务平台重度依赖的其他系统，例如商品中心、库存中心、订购中心和容量中心等也各自针对大促做了不同程度的优化。例如商品中心预热手段发生了变化，重点流量做出分组操作，并专门留出了部分机器给服务平台系统做流量分割。库存中心升级了新模型，改进了缓存等，那么服务平台系统也需要针对这部分进行相应的协同。和订购中心的协同主要在预热和防雪崩，假如宕掉时间过长，就避免调用数据库，而去调用缓存。容量中心之前只支持单个扣减， 现在可以支持批量扣减，或者修改了表结构。这些兄弟系统诸如此类的优化也从侧面使得服务平台更加健康。八、压测检验完成优化和协同保障后，当然需要压测检验。在双十一期间总共经历12次全链路压测，因为无法再造一个全链路系统，所以只能使用真实系统压测。为了不影响真实系统的运行和消费者的感观，压测通常在半夜进行。在压测过程中，发现了不少问题，这里举出以下三个例子：1. 本地线程池满。jstack查看线程堆栈时，发现很多线程卡在logback输出日志的地方。查看源码后发现是使用log.error打印了一个很大的JSON对象，且每次调用都会打印，这就造成本地线程池立刻满了。因为系统较老，依靠个人的代码review无法发现此类问题，这就需要压测这种真实的流量手段来发现。2. 超时请求。鹰眼（阿里全链路监控系统）发现有一个长达3s的请求，一般请求为毫秒级别，检查后发现是该部分数据缓存未预热，查询数据库超时引起。因为该部分数据在大促时不会调用，因此在压测时是可以提前将其撤下的。但在压测时出现这个问题可能会影响到其他业务的稳定。3. Jmap超时。阿里的服务平台通过手工执行jmap命令触发GC来释放内存，发现在执行jmap时（会先下线对应服务），对应的机器仍然对外服务，并且大多超时。查看了对应的下线脚本后发现，由于镜像升级，导致Linux命令输出与老脚本预期不一致。这也影响了线上服务的稳定。上述问题只有压测验证才会检查出来，因此，压测的意义不容置否。每一次压测都是对上一轮优化结果的验证，同时，每次压测发现的问题，也是下一次优化的主要方向。九、项目协同服务平台内部的工作同事便有10人左右，更要包括对外的例如中间件的部门、依赖和被依赖的兄弟系统部门。人员众多导致各种协同问题的产生，这就需要一个协同机制。需要明确每个项目的负责人，有固定的联系方式。任务拆解要细致，每个部分的任务交给指定的人解决。另外需要文档沉淀，得出的文档不仅是这次大促的回顾总结，也是下次大促的一个参考。2018年的大促能够完成，也是依靠了之前的多次大促经验文档。验证考核也必不可少，验证此次的优化是否达到了设定的目标。某些在测试时没有显现出的问题会在真实的流量下被发现，因此事后的验证考核会帮助发现更潜在的bug。最后，风险识别，某些问题可能因为历史原因无法修复，那么这种问题要识别出来，和业务人员或产品人员共同找一个可以弥补的方法。例如可以将由于这个bug产生的问题订单使用工具单独抛出，再行安排。这些都是作为一个项目PM需要注意的重点。当然，如果能有一个项目间供大家face to face探讨各种问题是最好了。十、监控治理传统意义上的监控治理有两个诉求：看图和告警。看图主要关注各类曲线是否有波动是否稳定等，告警是在产生问题时可以通过短信、邮件等方式告知。除去传统的系统监控指标，例如GC次数、内存使用率、QPS高低、系统反应时间，还需要业务监控，这需要通过日志或离线采集进行统计，如此才能对系统和业务都有直观的认识。当然，“会出错的事总会出错”，过程中难免会出现问题。如果出现问题，则需要及时统计产生影响的商家数量、单量、消费者数量，以便后续紧急处理，采取拉单、扩容或下线服务等手段防止过大损失，这便是消防处理。十一、战前准备所有优化和监控措施完成后，大促开始前1-2天，按部就班执行各类计划动作。首先是执行前置预案，例如下线了某些业务链路要执行观察效果。其次是预热，在大促前一天将一切准备就绪，准备迎接峰值流量。接着进行一致性检查，单元化的核心应用涉及到成千的机器，可以通过计算MD5校验值，来确保所有的机器上的zip、jar、war包等是一致的。然后资源检查，对于大促当天的数据库、机器、中间件、内存等资源做一个检查，确保资源到位。清理数据库，如压测使用后废弃的表可以删除。最后，jmap释放内存，将可能会触发GC的内存全部释放。十二、总结回顾整个大促过程，今年的供应链服务平台比去年更加稳定，核心下单链路成功率接近99.9%，没有发生限流等严重影响用户体验的情况。从8月开始思考双十一的筹备工作，整个大促保障期间，涉及到众多的系统、人员和业务，每个系统和业务分别由不同的团队负责，需要做链路分析、模型分析、容量评估、目标评估，要协调和明确各节点间的职责划分、要做各类优化、压测、监控和反馈等等，持续了长达三四个月。“这个过程是一次人与人、人与对象间的碰撞，精密的仪器产生完美的作品。”本文作者：李博bluemind阅读原文本文为云栖社区原创内容，未经允许不得转载。