背包可行性问题_正确解决问题通常不可行

背包可行性问题

作为软件专家，您多少次看到某些软件或过程并认为“该死，这可以做得更好”。 是的很多。 但是，为什么大型企业在IT上花费大量资金呢？ 是因为软件太复杂，还是由于组织问题，是因为遗留软件，还是仅仅是事物的现状？

而且，如果我们看到的情况如此糟糕，难道不是市场常识就说这些公司一定会被新的，更好的竞争者打垮并被淘汰吗？ 我不会给出软件为什么不好的确切答案（尽管我承认，开发人员只是问题的一部分，但我已经责怪了开发人员 ）。 但是，我将尝试推断在市场力量的作用下它没有被取代的原因。

彼得·泰尔（Peter Thiel）在他的《从零到一个》一书中说，新产品必须具有至少10倍的更好性能才能具有破坏性。 低于此的一切只是对现状的逐步改善。 Google在网络上查找信息的方式比AltaVista，Lycos和Yahoo好10倍。 Skype比之前的产品要好10倍。 但是，我们认为大多数损坏的东西并没有得到修复，因为没有十倍的改进会杀死它们。 让我们来举几个例子。

银行业。 银行太可怕了。 网上银行用户体验通常与旧版ERP相提并论，银行转账依赖于各国具体情况的拼凑而成，并采用了SWIFT等古老的国际标准。 我真的想不出谁真的喜欢他们的网上银行。 移动银行业务更加糟糕，因为将IBAN复制粘贴到手机上当然很繁琐。 在许多情况下，银行仍在大型机上运行COBOL，而更改或修复某些问题确实非常困难且昂贵。 他们为什么还在附近？ 因为在线银行的经验对银行的底线至关重要。

是的，Revolut和TransferWise是市值数十亿美元的酷技术创业公司，正在“破坏”银行业务。 但事实并非如此。 他们只是更高级的银行。 是的，最终您可以在移动设备上做一些事情，而且无需去物理办公室就可以入职，并且支持更好，UI光滑且UX有意义。 银行在乎吗？ 不多。 因为这些初创公司只是小型银行，目前正在亏损以吸引更多人，并使他们在网上花少量钱。 所提供的价值没有任何提高十倍。 从技术上讲，它当然要好得多，但是一旦您不得不将资金转移到其他地方，就可以使用SWIFT或理想的SEPA。 一旦您想在商店付款，您可以点击Visa或MasterCard。 没有任何传统基础设施可以替代，在许多情况下，我们只有更好的UX，才能将资金汇入那些传统银行。

数字身份 。 在线上重要的是要知道谁在另一端，都需要数字身份。 但是，我们离解决这个问题还差得很远。 在特定国家/地区的解决方案中，政府和/或银行联合体发布某种形式的数字身份，其他人可以信任。 但是它是分散的，具有不同级别的安全性和集成不一定很容易。 同时，我们拥有KYC公司，这些公司基本上可以让您扫描客户的护照或身份证，还可以选择进行活动检测（自动或手动）视频会议，然后根据恐怖分子或受制裁人员的数据库检查人员。 因此，对于每项服务，您都必须重新做一遍，但要稍有不同，并且如果某些更改（例如，地址或名称更改），您实际上无能为力。

理想情况下，数字身份是使用通用标准并易于集成的联盟身份，因此，可以轻松地注册需要一些有关客户知识的敏感在线服务。 识别过程会根据需要提供尽可能多的信息。 身份可以由多个政府或私人实体管理，这些实体可以证明一个人确实是他们声称的身份。 在当前技术设置下，您识别的方式将是使用WebAuthn，SAML安全地存储在手机安全存储中的密钥。 应该有一种方法可以重新发行它们，以防万一电话丢失了，然后我们将拥有一个很棒的，可重复使用的数字身份来解决所有在线身份验证和注册问题。

las，我们离那儿不远了。 因为我们目前所拥有的正在工作。 它的工作原理极其艰巨，成本高昂，并且有很多黑客和补丁程序，最重要的是–用户必须分别注册每项服务，但是从每家公司的角度来看，只需要获得一些用于护照验证的服务，然后发出用户名和密码（带有可选的2FA），您就完成了。 我上面描述的系统并不比现状好10倍。 顺便说一句，基于区块链的自我主权身份也不会好十倍。 而且它具有可用性问题，甚至使其不如现状。

隐私权 。 从字面上看，每天都有一个巨大的数据泄露或一个巨大的隐私问题（主要是在Facebook上）。 Facebook一直将我们的数据提供给第三方，因为为什么不这样做。 公司正在收集他们可以得到的所有东西，而无需多加保护。 敏感的个人数据仍以未加密，未假名的形式存储在SQL数据库中，而管理员访问几乎没有跟踪； 应用程序仍会将大量敏感数据导出到通过电子邮件发送或发布到公共S3存储桶的excel工作表中。 密码仍以明文形式存储或未加盐，数据通过未加密的连接进行通信。

我们知道如何解决所有问题； 有许多解决所有问题的最佳实践。 有多少公司加密静态数据，这是最简单，最明显的事情？ 有多少个用单独的密钥加密数据以保护批量导出？ 导出时有多少人使用假名？ 知识和最佳实践已经存在，但是我们的软件仍然是通过SQL数据存储构建为CRUD应用程序，最重要的任务是快速完成它，因此不要打扰隐私保护。

而且，从业务角度来看，不幸的是，这是正确的。 检查一些最近违规的公司的股价。 下降几天，然后反弹。 同时，没有任何一种隐私保护技术可以比我们今天拥有的技术高出10倍，如果保护个人数据，没有任何一家公司可以比其拥有更好的10倍。 那为什么要打扰呢？

安全性 。 从长远来看， 网络安全非常重要 。 从短期来看，事实并非如此。 不会有坏事发生。 前几天，我检查了银行的2FA申请。 它充满了错误，但是通过多次失败和模糊不清的安全性，它降低了发生非常糟糕的事情的风险。 而且，如果发生这种情况，保险将弥补损失。 发生数据泄露不仅是因为我们不在乎个人数据，还因为我们不在乎安全性。 首席信息安全官很难说服董事会他们需要扮演角色，更不用说它需要预算了。 安全工具是几乎无法工作的集成的拼凑而成。 最近，有一位信息安全专家发出了一系列 怒吼 ，正确地指出我们的信息安全工具不好。

情况正在改善吗？ 一点点，主要是通过引入更安全的协议。 向后兼容性当然会减慢改进的速度，但是我们正在实现。 但是，是否有一种安全“修补程序”可以使事情变得更好十倍，可以改变游戏规则，可以大大降低成本或风险？ 不。

这些观察结果适用于横向和纵向的更多领域–社交网络（Facebook 甚至无法正确共享共享权限 ，更不用说数据保护了），公共部门软件大多仍在90年代，甚至自PayPal以来，在线支付从未动摇在本世纪初–我们仍然从钱包中取出信用卡，并输入数字和CVC代码以及所有相关的欺诈行为。

在许多年来没有明显改善的情况下，一些积极主动的政府机构（例如欧盟委员会）决定介入并撰写一些旨在解决问题的立法。 例如，对于银行来说，有PSD2（第二个支付服务指令），它要求开放银行业务–有关银行帐户的所有数据都应通过API进行访问，第三方可以对其进行管理，正确显示，分析这些数据。 从理论上讲很棒，到目前为止还是一团糟-API几乎行不通，没有标准化，任何想要在开放银行API之上提供服务的人都在受苦。 十多年前，一项指令也引入了单一欧元支付区标准SEPA。

关于数字身份，有一个eIDAS法规，该法规定义了政府应如何提供其eID跨境，这样，从理论上讲，任何人都可以使用任何政府或以其他方式发布的电子身份来标识整个欧盟的任何服务。 一切都还不存在，而且架构是如此复杂，我认为它不会按预期工作。 出于所有实际目的，碎片化的eID空间将保持碎片化。

为了保护隐私，当然有GDPR。 尽管这导致更多的人试图处理个人数据，但导致编写的文档多于更改的代码行。 信息安全方面也是如此– NIS指令试图提高实质性服务提供者的安全性。 但是，通常不清楚什么是最重要的服务。 然后主要是组织措施。 像英国和德国这样的国家都有改善安全性的良好指南和框架，但我们尚未看到结果。

为什么正确解决问题如此困难？ 旧版软件，旧版标准和旧版思维当然无济于事。 但是在许多这些领域中，正确解决问题并不能带来足够的业务价值。 而且，我们还没有做好正确做事的准备-虽然存在如何做得更好的知识，但并不是主流。 而且它不是主流，因为它不是必需的。

我们已经对技术进行了半估，因为它足以支持底线并使用户满意。 我们以最少的努力就解决了无数问题。 因为即使最大的努力也不会足以改变游戏规则。 即使是完美的重新构想的银行业务，数字身份，社交网络，对于最终用户也不会有太大不同。 当然，更便宜，更方便一点，但并非开创性的。 更不用说隐藏的水平方面，例如安全性和隐私。

在没有其他帮助的情况下，在标准和法规的推动下，我们将继续这种方式，逐步进行逐步改进。 但是，做正确的事并不值得投资–当为什么高质量的软件开发会对您的业务产生微不足道的影响时，您为什么还要投资数百万美元呢？ 仅使事情几乎无法工作是值得的。

翻译自: https://www.javacodegeeks.com/2020/01/solving-problems-properly-is-often-not-viable.html

背包可行性问题