Reklama
Subskrypcja
Subskrypcja
Dołącz do liderów przyszłości i zdobądź przewagę! Sprawdź najnowszą ofertę subskrypcji
Sprawdzam
Cyberbezpieczeństwo

Uważaj na ryzyko ukryte w kodzie

15 listopada 2022 14 min czytania
Zdjęcie Gregory Vial - Adiunkt IT w HEC Montréal.
Gregory Vial
Odsłuchaj
Uważaj na ryzyko ukryte w kodzie

Niezależnie od tego, czy to twoja organizacja tworzy oprogramowanie, czy tylko jest jego użytkownikiem, jest prawdopodobnie narażona na ryzyko związane z błędami ukrytymi głęboko w kodzie.

Jednym z kluczowych sposobów zwiększania wydajności przy tworzeniu oprogramowania jest korzystanie z bibliotek podczas tworzenia własnych produktów i usług. Pomaga to przyspieszyć innowacje cyfrowe, ale wiąże się z kompromisem: organizacje akceptują, czasami nieświadomie, pewien stopień ryzyka, który może prowadzić do poważnych problemów z cyberbezpieczeństwem. Takie ryzyko ujawniło się w grudniu 2021 roku, kiedy wyszło na jaw, że szeroko stosowany framework oprogramowania open source o nazwie Log4j zawiera krytyczną lukę. Wiadomość ta trafiła na pierwsze strony gazet, ponieważ olbrzymia ilość oprogramowania wdrożonego w organizacjach, agencjach rządowych oraz na komputerach prywatnych używa tego kodu w języku Java do logowania. Eksperci bezpieczeństwa odkryli, że exploity oparte na luce w Log4Shell, jak ją nazwano, mogą mieć katastrofalne skutki dla firm i osób prywatnych. Okazało się, że podatność na tę lukę jest niezwykle rozległa. Kod został wbudowany w wiele systemów, wprowadzając krytyczną lukę w oprogramowaniu na całym świecie. Ujawnienie Log4j powinno być sygnałem ostrzegawczym dla kadry kierowniczej aby lepiej przemyślała ponowne wykorzystanie oprogramowania oraz sposoby ograniczania ryzyka związanego z jego używaniem w swoich organizacjach.

Korzystanie z bibliotek oprogramowania powstało jako środek zwiększający wydajność w dużych firmach programistycznych i było głównie przedsięwzięciem wewnętrznym, obejmującym komponenty tworzone własnymi siłami. Pojawienie się internetu i eksplozja oprogramowania typu open source zmieniły tę praktykę. Obecnie większość oprogramowania jest przynajmniej częściowo zbudowana na funkcjonalności uzyskanej dzięki zewnętrznym komponentom. Komponenty te są często udostępniane dla wszystkich na repozytoriach open source, takich jak PyPI dla Pythona, NPM dla Node.js czy Centralne Repozytorium Mavena dla Javy, by wymienić tylko kilka.

Główną zaletą dla programistów używających komponentów z tych repozytoriów jest to, że nie muszą przejmować własności kodu ani brać odpowiedzialności za poprawki błędów lub rozszerzenia funkcji. Mogą skupić się na tworzeniu własnych aplikacji, korzystając jednocześnie z pracy innych. Ponadto łatwiej jest zaimportować cały pakiet, niż wybierać konkretne wiersze kodu, które zwykle trzeba potem zmodyfikować, aby pasowały do własnego kodu źródłowego. Pakiet jest zamknięty i zbudowany jako gotowe rozwiązanie do ponownego użycia, które może być traktowane przez programistów jak czarna skrzynka. Ręczne wybieranie konkretnych linii kodu oznacza konieczność przedzierania się przez kod źródłowy pakietu i identyfikowania, kopiowania lub powielania jego fragmentów, co jest bardziej czasochłonne.

Inwentaryzacja ponownego wykorzystania

Liderom biznesowym może być trudno zrozumieć, w jakim stopniu ponowne wykorzystanie jest zakorzenione w praktykach tworzenia oprogramowania. Aby zilustrować jego wszechobecność, weźmy pod uwagę, że Lodash, jeden z najpopularniejszych pakietów JavaScript typu open source dostępnych w repozytorium NPM, został w 2021 roku pobrany ponad 2 miliardy razy (czyli średnio ponad 40 milionów razy tygodniowo) i że ponad 149 tys. innych pakietów opublikowanych na NPM jest od niego zależnych. Chalk, inny popularny pakiet, został pobrany w 2021 roku ponad 5 miliardów razy i zależy od niego ponad 77 tysięcy innych pakietów opublikowanych w NPM. Niektórzy badacze twierdzą, że pisanie oprogramowania polega obecnie bardziej na tworzeniu „kodu klejowego” („glue code”), łączącego fragmenty komponentów oprogramowania, niż na pisaniu zupełnie nowych zestawów instrukcji lub algorytmów.

Autorzy niedawno przeprowadzonego badania na temat tej praktyki zauważyli, że „przemysł programistyczny przechodzi zmianę paradygmatu. W przeciwieństwie do przeszłości, kiedy ponowne wykorzystanie oprogramowania było anomalią, obecnie dla wszystkich znaczących projektów rozwoju oprogramowania staje się ono normą” – ten pogląd podziela wiele osób.

Aby uzmysłowić sobie skalę tego zjawiska, należy wziąć pod uwagę, że w przypadku każdego komponentu oprogramowania, który zespół decyduje się ponownie wykorzystać, istnieje duże prawdopodobieństwo, że dany fragment zależy od innych komponentów oprogramowania, które również mają swoje własne zależności. (Zob ilustracja poniżej: Zależności ponownego wykorzystania oprogramowania w zasadzie i w praktyce).

ZALEŻNOŚCI ZWIĄZANE Z PONOWNYM UŻYCIEM OPROGRAMOWANIA. ZASADY I PRAKTYKA

Diagram po lewej stronie ilustruje bezpośrednie i pośrednie zależności tworzone przez ponowne wykorzystanie oprogramowania; diagram po prawej stronie pokazuje rzeczywisty przykład zakresu takiej sieci zależności dla frameworka Express. Express zależy bezpośrednio od 48 innych pakietów, które z kolei zależą od łącznie 250 dodatkowych pakietów

Oznacza to, że kiedy programista importuje jeden komponent – w tym kontekście nazywany również zależnością – w tym samym czasie mogą zostać wprowadzone dziesiątki innych zależności, które są zawarte w tym jednym komponencie, coś na zasadzie matrioszki. W rezultacie duży projekt oprogramowania może pośrednio zależeć od tysięcy innych fragmentów tworzonych i utrzymywanych przez tyle samo zespołów programistów, z których każdy ma swoje własne interesy, cele i plany. W przypadku Log4j jego twórcy szybko zareagowali na ujawnioną lukę, a jego nowa wersja została udostępniona do pobrania w ciągu kilku dni. Jest to dowód szybkiego działania społeczności open‑source w przypadku pojawienia się problemów. Jednak prawdziwym wyzwaniem dla wielu tysięcy organizacji było to, że wszyscy ci, którzy używali podatnej wersji Log4j w swoim oprogramowaniu, stali się odpowiedzialni za aktualizację i zarządzanie rozwiązywaniem incydentów swoich klientów. Chociaż Log4Shell jest bez wątpienia skrajną ilustracją tego zjawiska, często pojawiają się doniesienia o odkryciu błędów w popularnych pakietach lub problemów wynikających z używania pakietów niskiej jakości lub przestarzałych do produkcji własnego oprogramowania. W niektórych przypadkach okazuje się, że problemy te dotyczą milionów urządzeń, których nie da się łatwo zaktualizować. Pomimo niepożądanych skutków organizacje mogą tak wiele zyskać dzięki ponownemu wykorzystaniu, że będzie ono odgrywać coraz większą rolę w praktyce tworzenia oprogramowania. Jednocześnie liderzy biznesowi powinni być świadomi konsekwencji takiego postępowania, nawet jeśli nie zajmują się tworzeniem oprogramowania. Oto cztery kluczowe spostrzeżenia dla liderów, którzy zastanawiają się nad sposobami zarządzania ryzykiem w swoich organizacjach:

Zastanów się nad konsekwencjami

Ponowne wykorzystanie oprogramowania może w krótkim czasie zwiększyć wydajność, ale może mieć też konsekwencje długoterminowe. Na przykład, jeśli w zewnętrznym komponencie wystąpi błąd, organizacja będzie musiała poczekać z ponownym wdrożeniem własnego oprogramowania do czasu jego usunięcia. Niektóre projekty open source korzystają z zaangażowanej, aktywnej społeczności programistów, tak jak to jest w przypadku Log4j. Możliwe jest jednak również, że społeczność wspierająca rozwój straci zainteresowanie. Kluczowi programiści mogą odejść do innych projektów. Jeśli rozwój jakiegoś konkretnego elementu kodu zostanie zatrzymany, programiści mogą być zmuszeni do pracy z przestarzałym pakietem.

Oceniając przydatność komponentu do ponownego użycia, zespół programistów powinien brać pod uwagę nie tylko bezpośrednie potrzeby funkcjonalne. Powinien on przeprowadzić analizę społeczności lub organizacji (w tym swojej własnej) wspierającej projekt, jej reakcji na błędy lub prośby o nowe funkcje oraz ogólnych osiągnięć, aby określić, czy twoja organizacja będzie mogła nadal liczyć na ten komponent w przyszłości.

Obecnie większość oprogramowania jest przynajmniej częściowo zbudowana na funkcjonalności uzyskanej dzięki zewnętrznym komponentom.

Spójrz poza bezpośrednie zależności

Jeśli domyślną praktyką w twojej organizacji jest systematyczne poszukiwanie oprogramowania wielokrotnego użytku w celu implementacji funkcjonalności, prawdopodobnie twoje oprogramowanie jest zależne od setek, jeśli nie tysięcy, komponentów zewnętrznych. Ważne jest, aby spojrzeć poza bezpośrednie zależności i ocenić zależności pośrednie, które są konsekwencją danej decyzji o ponownym wykorzystaniu.

W niektórych przypadkach warto podjąć ryzyko związane z przejęciem pakietów, ponieważ uzyskana w ten sposób funkcjonalność pomoże w osiągnięciu celów projektu. Czasami jednak pojedyncza funkcjonalność zależy od dziesiątek innych komponentów zewnętrznych. W takich przypadkach najlepszym rozwiązaniem może być ponowne zaimplementowanie tej części funkcjonalności, którą chcemy pozyskać, a w razie potrzeby wybranie kilku wybranych komponentów zewnętrznych, które pomogą nam w drodze. Chociaż może to wymagać więcej pracy na początku i może sprawiać wrażenie ponownego wymyślania koła, czasami jest to najrozsądniejsza decyzja, zarówno z biznesowego, jak i technicznego punktu widzenia. Proces podejmowania decyzji w organizacji o ponownym wykorzystaniu powinien obejmować staranną ocenę zapotrzebowania na konkretną funkcjonalność w świetle pośrednich zależności, jakie ona ze sobą niesie.

Okresowo przeglądaj używane komponenty

Decyzje o włączeniu do oprogramowania komponentów zewnętrznych powinny być regularnie weryfikowane w ramach dobrej praktyki spłacania długu technicznego (definiowanego jako koszt wcześniejszych decyzji o wyborze rozwiązania korzystnego zamiast najlepszego). Zespoły programistów są często zachęcane do angażowania się w refaktoryzację, czyli praktykę, w której kod źródłowy jest reorganizowany w celu zredukowania długu technicznego nagromadzonego w postaci wcześniejszych skrótów i obejść kodowych, tak aby zwiększyć przyszłą produktywność programistów i ułatwić utrzymanie kodu. Niestety, refaktoryzacja kodu zazwyczaj dotyczy tylko wewnętrznego kodu źródłowego, ponieważ to właśnie ten kod zespoły mogą łatwo kontrolować i zmieniać.

Kiedy twój zespół tworzy własny program, czasami aktualizuje zewnętrzne komponenty. Z czasem może to stać się odruchem: jeśli komponent dobrze służył organizacji przez wiele miesięcy, zespół domyślnie wierzy, że najnowsza wersja może być bezpiecznie używana, i kontynuuje budowanie wokół tego komponentu, nawet jeśli oznacza to konieczność implementacji lub utrzymywania obejść. Niestety, z czasem może to przyczynić się do zwiększenia długu technicznego. Refaktoryzacja daje zespołom możliwość ponownego przemyślenia, czy nadal chcą polegać na zewnętrznym komponencie. Ważne jest, aby być na bieżąco z rozwojem komponentu i jego mapą drogową, w tym monitorować go pod kątem potencjalnych problemów i podatności, aby upewnić się, że nadal będzie on dobrze dopasowany do potrzeb. Podczas refaktoryzacji uważne rozważenie zewnętrznych komponentów może przyczynić się do zmniejszenia długu technicznego i zminimalizowania rozrostu oprogramowania, który może obniżyć jakość oprogramowania i produktywność programistów.

Sprawdź, na jakim oprogramowaniu bazuje twoja organizacja

Może to zabrzmieć prosto, ale wiedza o tym, jakie oprogramowanie jest używane w organizacji, zwłaszcza oprogramowanie krytyczne pod względem operacyjnym, jest ważna nie tylko ze względu na wymagania audytów IT. Odkrycie podatności w Log4Shell doprowadziło do wyłączenia usług Kanadyjskiej Agencji Skarbowej; w ramach działań prewencyjnych tylko w samej prowincji Quebec wyłączono ponad 4 tysiące rządowych stron internetowych. Agencje i organizacje zostały zmuszone do zawieszenia dostępu do systemów na czas inwentaryzacji swojego oprogramowania, aby ocenić, czy luka rzeczywiście dotyczyła ich działalności. Log4j jest tak rozpowszechniony, że organizacje, w których działają aplikacje Java, mogły prawdopodobnie założyć, że Log4j jest gdzieś wykorzystywany i może wymagać załatania. Jeśli chodzi o oprogramowanie komercyjne, takimi kwestiami powinni zajmować się dostawcy oprogramowania. Ważne jest jednak, aby przy wyborze dostawców upewnić się, że będą oni reagować na problemy występujące w ich produktach, niezależnie od tego, czy są one związane z ich własnym kodem źródłowym, czy z komponentami oprogramowania, których ponownie używają. Poproś dostawców o wykazanie, że dobrze zarządzają decyzjami dotyczącymi ponownego wykorzystania, w tym odpowiednio weryfikują oprogramowanie pod względem jakości i spełniają wymagania licencyjne dotyczące ponownego wykorzystania oprogramowania z wolnym dostępem do kodu źródłowego. Twoja organizacja musi ufać nie tylko dostawcy oprogramowania, ale także wielu innym zespołom programistów, których kod jest wykorzystywany w odległych miejscach.

Kadra kierownicza wyższego szczebla coraz częściej zdaje sobie sprawę, że odporność na zagrożenia cyfrowe jest kwestią o zasadniczym znaczeniu dla ich organizacji. Obowiązkiem liderów jest zrozumienie ryzyka związanego zarówno z nowoczesnymi praktykami tworzenia oprogramowania, jak i z decyzjami o zakupie oprogramowania w pakietach, a także upewnienie się, że ich dział technologiczny dysponuje odpowiednimi procesami umożliwiającymi zarządzanie tym ryzykiem. Chociaż ponowne wykorzystanie oprogramowania ma kluczowe znaczenie dla przyspieszonego tempa innowacji cyfrowych, może ono potencjalnie powodować rozległe, nieprzewidziane i szkodliwe konsekwencje. Zapewnienie ostrożnego zarządzania tą praktyką i rozważenie zarówno krótko-, jak i długoterminowych skutków może zmniejszyć ryzyko, które jest nierozerwalnie związane z korzyściami.

PRZYPISY

1. CVE‑2021‑44228, Mitre, [dostęp: grudzień 2021], https://cve.mitre.org.

2. M. Sojer i J. Henkel, Code Reuse in Open Source Software Development: Quantitative Evidence, Drivers, and Impediments, „Journal of the Association for Information Systems” 11, nr. 12 (marzec 2010): 868‑901.

3. T. Mikkonen i A. Taivalsaari, Software Reuse in the Era of Opportunistic Design, „IEEE Software 36, no. 3 (maj – czerwiec 2019): 105‑111.

4. D. Goodin, Malicious NPM Packages Are Part of a Malware ‘Barrage’ Hitting Repositories, Ars Technica,  grudzień 2021, https://arstechnica.com; A. Sharma, Dev Corrupts NPM Libs ‘Colors’ and ‘Faker’ Breaking Thousands of Apps, Bleeping Computer, styczeń 2022, www.bleepingcomputer.com; oraz A. Miller, State of Open Source Security Report 2020 , PDF file (Boston: Snyk, 2020), https://go.snyk.io.

5. T. Seals, Ripple20’ Bugs Impact Hundreds of Millions of Connected Devices, Threatpost, czerwiec 2020, https://threatpost.com.

6. C. Soto‑Valero, N. Harrand, M. Monperrus, et al., A Comprehensive Study of Bloated Dependencies in the Maven Ecosystem,  „Empirical Software Engineering” (marzec 2021): 1‑44.

7. H. Solomon, Canadian Websites Temporarily Shut Down as World Scrambles to Mitigate or Patch Log4Shell Vulnerability, „IT World Canada”, Dec. 13, 2021, www.itworldcanada.com.

O autorach
Zdjęcie Gregory Vial - Adiunkt IT w HEC Montréal.
Gregory Vial

Adiunkt IT w HEC Montréal.

Tematy
Cyberbezpieczeństwo Dane i sztuczna inteligencja Etyka w biznesie Innowacja Sztuczna inteligencja i uczenie maszynowe
Spis treści
  1. Inwentaryzacja ponownego wykorzystania

Może Cię zainteresować

Skup się na fanach marki. Oferta skierowana do wszystkich nie działa!
Multimedia
Klienci i doświadczenia
Skup się na fanach marki. Oferta do wszystkich nie działa!

W spolaryzowanej kulturze pogoń za rynkiem masowym i kierowanie oferty do wszystkich są z góry skazane na porażkę. Najlepszym sposobem na osiągnięcie sukcesu marki jest sprzymierzenie się z subkulturą, która ją pokocha.

Marcus Collins 22 kwietnia 2025
Cła, panika i okazje: Jak zarobić, gdy inni panikują lub tweetują

Trump tweetuje, Wall Street reaguje nerwowo, a inwestorzy znów sprawdzają, czy gdzieś nie pozostawili Planu B. Gdy rynek wpada w histerię, pojawia się pokusa: a może jednak warto „kupić w tym dołku”? W tym tekście sprawdzamy, czy inwestowanie w kontrze do tłumu to genialna strategia na czasy ceł Trumpa, banów na Chiny i politycznych rollercoasterów — czy raczej przepis na ból głowy i portfela. Nie wystarczy chłodna kalkulacja, przyda się też stalowy żołądek.

Paweł Kubisiak 22 kwietnia 2025
• Jak generować wartość z AI dzięki małym transformacjom w biznesie - Webster
Premium
Transformacja organizacyjna
Jak generować wartość z AI dzięki małym transformacjom w biznesie

Liderzy skutecznie wykorzystują duże modele językowe, stopniowo minimalizując ryzyko i tworząc solidne fundamenty pod przyszłe transformacje technologiczne, dzięki czemu generują realną wartość dla swoich organizacji.

Niespełna dwa lata temu generatywna sztuczna inteligencja (GenAI) trafiła na czołówki stron gazet, zachwycając swoimi niezwykłymi możliwościami: mogła prowadzić rozmowy, analizować ogromne ilości tekstu, dźwięku i obrazów, a nawet tworzyć nowe dokumenty i dzieła sztuki. To najszybsze w historii wdrożenie technologii przyciągnęło ponad 100 mln użytkowników w ciągu pierwszych dwóch miesięcy, a firmy z różnych branż rozpoczęły eksperymenty z GenAI. Jednak pomimo dwóch lat intensywnego zainteresowania ze strony kierownictwa i licznych prób wdrożeniowych nie widać wielkoskalowych transformacji biznesowych, które początkowo przewidywano. Co się stało? Czy technologia nie spełniła oczekiwań? Czy eksperci się pomylili, wzywając do gigantycznych zmian? Czy firmy były zbyt ostrożne? Odpowiedź na te pytania brzmi: i tak, i nie. Generatywna sztuczna inteligencja już teraz jest wykorzystywana w wielu firmach, ale nie – jako lokomotywa radykalnej transformacji procesów biznesowych. Liderzy biznesu znajdują sposoby, by czerpać realną wartość z dużych modeli językowych (LLM), nie modyfikując całkowicie istniejących procesów. Dążą do małych zmian (small t) stanowiących fundament pod większe przekształcenia, które dopiero nadejdą. W tym artykule pokażemy, jak robią to dzisiaj i co możesz zrobić, aby tworzyć wartość za pomocą generatywnej sztucznej inteligencji.

Melissa Webster, George Westerman 17 kwietnia 2025
Premium
Technologie w biznesie
Polski przemysł na rozdrożu

Stoimy przed fundamentalnym wyborem: albo dynamicznie przyspieszymy wdrażanie automatyzacji i robotyzacji, co sprawi, że staniemy się aktywnym uczestnikiem czwartej rewolucji przemysłowej, albo pogodzimy się z perspektywą erozji marż pod wpływem rosnących kosztów operacyjnych i pogłębiającego się strukturalnego niedoboru wykwalifikowanej siły roboczej.

Jak alarmują prognozy Polskiego Instytutu Ekonomicznego, do 2030 r. w samej Europie może zabraknąć nawet 2,1 mln wykwalifikowanych pracowników, co czyni automatyzację nie jedną z możliwości, lecz strategiczną koniecznością. Mimo że globalnie liczba robotów przemysłowych przekroczyła już 4,2 mln jednostek, a w Europie w 2023 r. wdrożono rekordowe 92,4 tys. nowych robotów, Polska wciąż pozostaje w tyle. Nasz wskaźnik gęstości robotyzacji, wynoszący zaledwie 78 robotów na 10 tys. pracowników przemysłowych, znacząco odbiega od europejskiego lidera – Niemiec (397 robotów na 10 tys. pracowników), czy globalnego pioniera – Korei Południowej (tysiąc robotów na 10 tys. pracowników). W Scanway – firmie, która z sukcesem łączy technologie rozwijane dla sektora kosmicznego z potrzebami przemysłu – jesteśmy przekonani, że przyszłość konkurencyjności leży w inteligentnym wykorzystaniu danych, zaawansowanej automatyzacji opartej na AI oraz strategicznej gotowości do wprowadzania zmian technologicznych. Czy jednak zaawansowana wizja maszynowa napędzana przez sztuczną inteligencję może się stać katalizatorem, który pozwoli sprostać wyzwaniom i odblokować uśpiony potencjał innowacyjny polskiej gospodarki?

Radosław Charytoniuk, Paulina Kostro 17 kwietnia 2025
Premium
Zespoły i współpraca
Zamień konflikt we współpracę

Destrukcyjny konflikt w zespole zarządzającym może zahamować rozwój organizacji. Skuteczne zarządzanie takimi napięciami wymaga od liderów świadomego odejścia od rywalizacji o władzę na rzecz współpracy oraz strategicznego, systemowego myślenia.

Konflikt w zespole zarządzającym, szczególnie wtedy gdy przeradza się w trwały, emocjonalny antagonizm, staje się realnym zagrożeniem dla efektywności całej organizacji. Studium przypadku firmy X-Style.

Izabela Stachurska 17 kwietnia 2025
Zrównoważony rozwój
Jak zapewnić stabilność i elastyczność na rynku zielonej energii?

Dynamiczne zmiany na rynku energii oraz rosnące znaczenie OZE i celów ESG stawiają przed firmami nowe wyzwania. W tym kontekście Reo.pl (Grupa Enerconet) kładzie nacisk na elastyczność, dogłębną analizę potrzeb klienta i transparentność danych. O strategiach budowania długoterminowych relacji i zapewniania przewidywalności w sektorze odnawialnym opowiada Grzegorz Tomasik, prezes Reo.pl. 

Reo.pl działa na polskim rynku od 2022 roku. Jakie wyzwania napotkali państwo przy wprowadzaniu elastyczności i dostosowywaniu się do dynamicznych zmian w sektorze OZE?

Chociaż marka Reo.pl powstała na początku 2022 r., nasza grupa – Enerconet – działa na rynku energetycznym już od 2007 r. Ta wieloletnia obecność w sektorze OZE i doświadczenie w obrocie energią dają nam status dojrzałego podmiotu, wspartego silnym zespołem i dogłębną znajomością branży.

Od 2007 r. sektor OZE przeszedł znaczącą transformację, obejmującą regulacje, mechanizmy rynkowe i podejście firm do zakupu zielonej energii. Kluczową zmianą był rozwój bezpośrednich kontraktów (P2P) między wytwórcami OZE a odbiorcami końcowymi. Spółki tworzące dziś Enerconet aktywnie uczestniczyły w tej ewolucji od samego początku, analizując rynek i wypracowując skuteczne rozwiązania, co ostatecznie doprowadziło do uruchomienia platformy Reo.pl.

Grzegorz Tomasik 17 kwietnia 2025
Premium
Dane i sztuczna inteligencja
Gdy projekt wymyka się spod kontroli

Polskie firmy technologiczne coraz częściej realizują złożone zlecenia dla międzynarodowych gigantów. Jednak nawet najlepiej przygotowany zespół może przy takim projekcie natknąć się na nieoczekiwane przeszkody. Przykład firmy Esysco wdrażającej szyfrowanie poczty e-mail dla jednego z największych niemieckich banków pokazuje, jak szybko może runąć precyzyjnie zaplanowany harmonogram oraz jak radzić sobie z nieprzewidywalnymi wyzwaniami.

Polskie firmy technologiczne coraz częściej zdobywają międzynarodowe kontrakty i realizują projekty, które jeszcze niedawno były zarezerwowane wyłącznie dla międzynarodowych rywali. Dzięki temu zdobywają zagraniczne rynki, osiągając imponujące wyniki eksportu usług IT, który w 2023 r. przekroczył 16 mld dolarów. W ostatniej dekadzie przychody branży wzrosły niemal czterokrotnie, a wartość eksportu – aż 7,5 razy, dzięki czemu polski sektor IT stał się motorem rodzimego eksportu. Kluczowymi kierunkami ekspansji są Stany Zjednoczone, Niemcy i Wielka Brytania, a wśród najsilniejszych obszarów znajdują się fintech, cyberbezpieczeństwo, sztuczna inteligencja, gry oraz rozwój oprogramowania.

Polska wyróżnia się w regionie Europy Środkowo-Wschodniej jako największy eksporter usług IT, przewyższając Czechy czy Węgry, a pod względem jakości specjalistów IT zajmuje trzecie miejsce na świecie. Jednak do pełnego wykorzystania tego potencjału konieczne jest pokonanie barier takich jak ograniczony dostęp do kapitału na ekspansję, rosnące koszty pracy oraz niedostateczne doświadczenie w międzynarodowej sprzedaży i marketingu. To jednak nie wszystko. Przy współpracy z międzynarodowymi gigantami trzeba również pamiętać o nieznanej polskim wdrożeniowcom skali, złożoności i nieprzewidywalności towarzyszącym tak wielkim projektom. Dobrym przykładem może być nasze wdrożenie dla jednego z największych niemieckich banków, z którym podpisaliśmy kontrakt na wprowadzenie systemu zabezpieczeń e-maili dla ponad 300 tys. użytkowników rozsianych po całym świecie. Technologicznie byliśmy gotowi, ale rzeczywistość szybko zweryfikowała nasze plany.

Bartosz Witkowski, Paweł Kubisiak 17 kwietnia 2025
Premium
Automatyzacja i robotyzacja
Praktyczny poradnik kreowania wartości z dużych modeli językowych

Gdy w 2022 r. pojawiły się powszechnie dostępne duże modele językowe (LLM), ich potężna zdolność do generowania tekstu na żądanie zapowiadała rewolucję w produktywności. Jednak mimo że te zaawansowane systemy AI potrafią tworzyć płynny tekst w języku naturalnym i komputerowym, to są one dalekie od doskonałości. Mogą halucynować, wykazywać się logiczną niespójnością oraz produkować treści nieadekwatne lub szkodliwe.

Chociaż technologia ta stała się powszechnie dostępna, wielu menedżerów nadal ma trudności z rozpoznawaniem przypadków użycia LLM-ów, w których poprawa produktywności przewyższa koszty i ryzyka związane z tymi narzędziami. Potrzebne jest bardziej systematyczne podejście do wykorzystywania modeli językowych, tak aby uefektywnić procesy biznesowe, a jednocześnie kontrolować słabe strony LLM-ów. Proponuję trzy kroki ułatwiające osiągnięcie tego celu. Po pierwsze, należy rozłożyć proces na mniejsze zadania. Po drugie, trzeba ocenić, czy każde zadanie spełnia tzw. równanie kosztów GenAI, które szczegółowo wyjaśnię w tym artykule. Jeśli ten warunek zostanie spełniony, należy uruchomić projekt pilotażowy, iteracyjnie oceniać jego wyniki oraz na bieżąco wprowadzać zmiany w celu poprawy rezultatów.

Kluczowe w tym podejściu jest pełne zrozumienie, w jaki sposób mocne i słabe strony modeli językowych odpowiadają specyfice danego zadania; jakie techniki umożliwiają ich skuteczną adaptację w celu zwiększenia wydajności; oraz jak te czynniki wpływają na bilans kosztów i korzyści – a także na ocenę ryzyka i potencjalnych zysków – związanych z wykorzystaniem modeli językowych do podnoszenia efektywności realizowanych działań.

Rama Ramakrishnan 17 kwietnia 2025
Premium
Innowacja
Dlaczego odważne pomysły giną w szufladach menedżerów i co z tym zrobić?

Najbardziej innowacyjne, nietypowe idee często nie zostają zrealizowane – nie dlatego, że są złe, ale dlatego, że wywołują niepewność. Co może pomóc menedżerom w podejmowaniu ryzykownych, lecz potencjalnie przełomowych decyzji? Kluczowe okazuje się świadome budowanie sieci doradczej.

Menedżerowie, którzy są świadomi znaczenia innowacji w rozwoju organizacji, często zachęcają członków swoich zespołów do dzielenia się świeżymi i kreatywnymi pomysłami. Jednak wielu pracowników skarży się, że ich najlepsze propozycje są przez zwierzchników często pomijane, odrzucane lub niewłaściwie rozumiane.

Paradoksalnie to właśnie menedżerowie mogą stanowić jedną z największych barier dla innowacji. Mocno zakorzenieni we własnych obszarach specjalizacji, często nie dostrzegają wartości nowatorskich idei – szczególnie wtedy, gdy pomysły te wyznaczają nowe ścieżki w ich dziedzinie.

Vijaya Venkataramani, Kathryn M. Bartol 17 kwietnia 2025
AI dla wszystkich - Mechło
Premium
Dane i sztuczna inteligencja
AI dla wszystkich: jak ją wdrożyć w firmie?

Sztuczna inteligencja nie jest już zarezerwowana wyłącznie dla dużych korporacji i technologicznych gigantów. Dziś każdy może korzystać z narzędzi opartych na AI, a bariera kosztów znacząco się obniżyła. To jednak nie znaczy, że korzystanie z tych technologii jest proste i zrozumiałe dla wszystkich.

Powszechna dostępność sztucznej inteligencji (AI) nie rozwiązuje kluczowego problemu: braku wiedzy o tym, jak skutecznie i odpowiedzialnie z niej korzystać. Dlatego edukacja staje się nie tylko wsparciem, ale wręcz warunkiem realnego wykorzystania potencjału tej technologii. Umiejętność pracy z AI powinna być dziś traktowana jak podstawowa kompetencja, niezbędna zarówno w życiu zawodowym, jak i codziennym. Tym bardziej, że generatywna sztuczna inteligencja (GenAI) coraz śmielej wkracza na polski rynek, oferując firmom wiele korzyści: począwszy od automatyzacji drobnych zadań aż po strategiczne przedsięwzięcia.

Radosław Mechło 17 kwietnia 2025
Materiał dostępny tylko dla subskrybentów

Jeszcze nie masz subskrypcji? Dołącz do grona subskrybentów i korzystaj bez ograniczeń!

Subskrybuj

Newsletter

Otrzymuj najważniejsze artykuły biznesowe — zapisz się do newslettera!