首席信息官(CIO)持续面临技术债务的风险、成本和复杂性。虽然遗留系统的影响可以量化,但技术债务通常以更微妙的方式嵌入整个IT生态系统,使得全面列出问题和风险变得困难。
弗雷斯特(Forrester)报告显示,30%的IT领导者面临高或关键债务,另外49%面临中等级别的债务。即使在中低风险的情况下,随着业务需求的演变,技术债务的影响也可能迅速变化。毕竟,关键应用程序中的低风险烦恼,在需要现代化以支持数字化转型计划时,可能会迅速变成一块巨大的障碍。
埃森哲(Accenture)报告称,技术债务的top三大来源是企业应用、AI和企业架构。这些领域确实是重要问题,但数据、安全、文化以及过去的捷径正迅速成为当今负债的领域呢?另一个问题是:什么能区分可以机会性修复的债务,和可能会削弱业务的关键债务?
为了应对可能阻碍组织转型的已知和未知因素,CIO应该考虑以下七种技术债务类型,了解它们为何关键,以及应该如何处理。
1. 削弱决策的数据债务
在《数字开拓者》一书中,我分享了一个私营公司的故事:该公司向董事会报告了盈利的一年,但节日后返回时发现,数据质量问题和计算错误使其变成了亏损。
更加注重数据驱动并实施公民数据科学的CIO最容易受到数据债务的影响,因为日期、金额或阈值的错误解释或计算可能导致错误的业务决策。数据债务类型包括暗数据、重复记录,以及未与主数据源整合的数据。
在大语言模型、AI代理或其他生成式AI模型中使用公司数据会带来更多风险。数据偏见、数据分类的差距,以及授权策略不足的数据源,都可能导致错误决策、合规风险和影响客户的问题。因此,具有重大数据债务的组织可能会发现追求许多生成式AI机会更具挑战性和风险性。
CIO可以采取的措施:通过在敏捷数据团队中纳入数据治理和分析职责、实施数据可观测性,以及开发数据质量指标来避免和减少数据债务。
2. 限制性能的数据管理债务
数据管理债务可能在转瞬间发生,随时间累积,源于缺乏自动化,或由事件响应驱动:
瞬时发生: 未优化数据架构就将大型数据库迁移到云端的IT部门,可能在长期运营中创造了陡峭的数据库管理债务。
累积: 随着数据库规模、复杂性和使用情况的增长,需要重新设计模型和架构以支持这种增长。
缺乏自动化: 数据库管理员花费太多时间在应该自动化的手动操作上,包括创建备份、管理权限、跨系统同步数据或配置基础设施。
事件响应: 每天扑灭问题、响应重大事件或进行根因分析,阻碍了数据库管理员执行更主动的任务。
Redgate的首席技术官Graham McMillan表示:"即使是对数据库工具的适度投资和偿还部分数据管理债务,也可以使数据库管理员摆脱手动更新或被动监控的繁琐工作。这将使他们能够将技能和创造力用于更高价值的活动,如增强数据安全性和为客户提供创新解决方案。"
CIO可以采取的措施:衡量数据库管理员在手动操作程序和事件响应上花费的时间,以评估数据管理债务。减少数据管理债务的选项包括自动化任务、迁移到数据库即服务(DbaaS)产品,以及归档旧数据集。
3. 拖累DevOps的开源依赖债务
作为软件开发人员,编写代码感觉比审查他人的代码并理解如何使用更容易。搜索和集成开源库和组件似乎更加容易,因为在面临截止日期和频繁部署的压力时,长期支持的负担并不在开发人员的首要考虑范围内。
Sonatype的CPDO Mitchell Johnson说:"许多团队忽视依赖关系卫生,让过时、冗余或不受支持的开源组件堆积起来。平均每个应用包含180个组件,未能更新它们会导致代码臃肿、安全漏洞和日益增加的技术债务。正如没有人希望在十年前的硬件上运行关键系统一样,现代软件开发生命周期和DevOps实践必须以相同的方式对待软件依赖关系 - 保持它们的更新、精简和安全。"
根据Black Duck的2025年开源安全和风险分析报告,81%的风险评估代码库包含高风险或关键风险漏洞,90%的组件落后于最新版本10个版本以上。CIO应该寻找开源依赖债务阻碍DevOps生产力的迹象,包括破坏性代码更新的频率、安全警报的增加,或解决依赖冲突所花费的时间。
CIO可以采取的措施:教育DevOps团队了解开源安全风险,建立评估和批准开源包的治理政策,并使用静态应用安全测试(SAST)工具发现代码漏洞。
4. 需要大量返工的AI债务
生成式AI工具和能力正在引入新的技术债务来源。即使CIO已定义AI治理,快速变化的生成式AI模型、法规和代理AI能力也将创造AI债务问题。
PagerDuty的CIO Eric Johnson表示:"AI系统的技术债务体现方式与传统架构债务不同,不仅仅是关于代码可维护性,还涉及整个数据和模型治理生命周期。如今匆忙构建自定义AI解决方案的公司,可能会创造出比过去面临的架构挑战更昂贵、更复杂的新形式技术债务。关键是在深入AI实施之前,建立强大的数据治理和基础设施基础。"
虽然许多技术债务形式会带来持续的维护问题,但AI模型漂移是增量AI债务的一个例子。但某些AI债务可能需要CIO退役并替换AI功能,例如,当新模型在准确性、性能或成本方面有显著改进时,留下过时的模型。另一个令人担忧的问题是,如果法规强制进行全面模型重新训练,迫使CIO切换到替代方案以保持合规。
CIO可以采取的措施:为了使新AI功能的转换成本更低,投资于大规模AI工作流程的回归测试和变更管理实践。
5. 侵蚀为遗留系统的架构债务
某些应用程序架构债务可以通过现代化、将应用程序迁移到新平台,或使用生成式AI工具记录和解释遗留代码库来补救。架构债务的一些主要来源包括:
- 嵌入在ERP和其他企业系统中的大量代码自定义 - 系统之间的点对点集成,未使用数据网格或集成平台 - 部署时未考虑安全性、测试、版本控制和可观测性标准的微服务和API - 为早期部署优势配置的多云架构,需要大量成本、时间和专业知识来维护
面临庞大架构的CIO应考虑简化并采取一步措施来建立架构可观测性实践。这些包括通过聚合应用级监控、可观测性、代码质量、总成本、DevOps周期时间和事件指标,创建架构和平台性能指标,作为评估架构影响业务运营的工具。
vFunction的联合创始人兼CTO Amir Rapson表示:"没有架构可观测性和治理,AI驱动的开发可能引入微服务蔓延,加速架构漂移,并导致隐藏的依赖关系,从而加剧影响性能和可扩展性的架构技术债务。工程团队还面临在复杂的服务交互中淹没的风险,而不是交付新功能。生成式AI是一个强大的推动者,但长期创新的可持续成功取决于架构可观测性。"
CIO可以采取的措施:技术的演变会创造所有CIO都必须随时间解决的架构债务,否则债务将成为不可支持的遗留系统。CIO可以控制的一个领域是治理是否以及如何实施定制,以避免业务规则复杂性被编入代码。第二个领域是重新思考架构审查委员会,定义自组织标准,明确敏捷开发团队和企业架构师之间的架构决策权限。
6. AI实施中无法解释的安全债务
安全债务有多种形式,如缺乏可执行的策略、终端用户培训不足,以及未能在DevOps中左移安全实践。首席信息安全官(CISO)不断地追赶这些安全漏洞,同时应对最新威胁。
追赶AI模型可能并不容易。尽管组织可以采取措施防止机密信息被用于训练AI模型,但很难知道模型中有什么私人信息,或是否有选项可以删除这些信息。
Xebia数据部门的管理总监Giovanni Lanzani表示:"生成式AI模型可能引入新的安全风险,如模型本身的漏洞、数据泄露和对抗性攻击。当这些风险未得到充分解决时,安全债务就会累积。"
Lanzani举了一个银行面向客户的聊天机器人的例子:"该实例需要一个扩展的生成式AI框架,实施强大的提示注入防护措施,以避免提供财务建议或对银行进行负面评论。它还会匿名化所有个人身份信息(PII),以便基于云的聊天机器人无法被输入私人信息。"
CIO可以采取的措施:DevSecOps中的安全实践落后于持续集成/持续部署(CI/CD)自动化,企业迅速实施公民数据科学,留下许多数据治理实践作为待办事项。落后于AI治理实践可能带来不可接受的风险,尤其是在AI代理被部署到企业和面向客户的应用程序中。
7. 加速业务中断的文化债务
数字化转型最难的部分是获得早期采用者、推动变革管理,并应对持不同意见者的反对。生成式AI增加了更多文化债务,随着主题专家逐渐老化并离开workforce,留下很少为具有AI能力的员工承担新职责。
LaunchDarkly的现场首席技术官Joe Byrne说:"文化债务可能产生几个负面影响,但具体到AI,缺乏适当的工程实践、对创新的抵制、部落知识差距以及未能采用现代实践,都会对成功利用AI造成重大障碍。"
CIO可以采取的措施:希望将AI用于超越生产力驱动并寻求转型成果的CIO,应该认识到减少对失业的恐惧并指导员工使用AI来增强(而非仅仅自动化)其能力的重要性。
尽管CIO正面临加速交付AI和其他现代化的压力,但留下过多的技术债务可能会成为创新和转型的阻力。