1969年美国国家航空航天局(NASA)执行阿波罗11号任务时运行的飞行软件, 其目的是将人类安全送往月球并返回地球, 约145人,由麻省理工学院(MIT’s)(剑桥)的软件工程部门开发的, 麻萨诸塞州, 美国)德雷珀实验室在1960年代.1 时间快进到2022年,支持谷歌服务的软件是建立在20亿行代码之上的,在全球范围内拥有1000名谷歌工程师.2 谷歌的服务每天被数十亿人使用,并且正在迅速发展以满足其极其多样化的客户群不断变化的需求.
这一对比展示了软件如何从用于解决特定问题的目标代码转变为不断发展的平台, 适应并持续改进.
软件开发过程也发生了变化,这是很自然的. 最初, 程序员对开发活动没有系统的方法, 这意味着他们是唯一能够调试或维护自己编写的程序的人. 在70年代和80年代, 软件工程方法,如结构化编程, 系统开发方法和结构化的系统分析和设计被创建来开发可重复的过程, 使程序员更容易协作,并更有效地继续前任程序员的工作. 这个时代的软件开发方法被统称为瀑布模型. 这些软件开发模型并不灵活,因为它们从头到尾都遵循线性路径. 在20世纪90年代和21世纪初, 软件工程师为软件开发创建了更灵活的模型,如Agile和DevOps. 设计这些模型是为了能够根据最终用户不断变化的需求快速开发和维护软件.
如果采用得当, 敏捷和DevOps实践可以改善客观的软件开发指标,比如部署频率, 变更的前置时间, 变更故障率和平均恢复时间(MTTR). IT审计人员和治理专业人员可以在确保以正确的方式采用此类领先实践以充分实现潜在利益方面发挥重要作用. COBIT® 可以很容易地理解敏捷和DevOps实践,并确定应该实现哪些控制.
如果采用得当, 敏捷和DevOps实践可以改善客观的软件开发指标,比如部署频率, 变更的前置时间, 改变故障率和MTTR.
了解敏捷
一个由14名程序员组成的小组发布了 敏捷软件开发宣言 in 2001.3 宣言说:
我们通过自己开发软件和帮助别人开发软件来发现更好的方法. 这种工作方式的价值:
- 个人和交互比过程和工具更重要
- 工作软件比全面的文档更重要
- 客户协作多于合同谈判
- 对变化做出反应,而不是遵循计划
也就是说,虽然后一种物品也有价值,但前一种物品的价值往往更高.4
敏捷宣言已经在世界范围内得到了认可和接受. 最近的一项研究表明,敏捷在软件开发团队中的应用正在增长, 从2020年的37%增加到2021年的86%.5 根据这项研究, 受访者认为,采用敏捷原则带来了许多好处,包括加速软件交付和增强满足客户需求的能力. 然而, 尽管有好处, 该研究还表明,许多组织在成功采用敏捷原则方面继续面临挑战, 例如过程和实践中的不一致, 文化冲突, 组织对变革的普遍抵制, 缺乏技能和经验, 缺乏领导参与, 管理支持和赞助不足.
DevOps和敏捷
DevOps代表了IT文化的变化, 通过在面向系统的设计方法的环境中采用和发展敏捷实践,专注于快速的IT服务交付. 它包括改变, 建立, 并培育一种规划的文化和环境, 发展中, 编码, 建筑, 测试, 释放, 部署, 操作, 监测的目的是快速执行, 经常, 更可靠的是(图1).
图1 - DevOps生命周期
来源:Devopedia,“DevOps”第8版,2022年2月15日 http://devopedia.org/devops. 经许可转载.
根据2021年的一项研究,DevOps已经成为组织中软件开发和维护的流行方法.6 结果表明83%的IT决策者报告他们的组织正在实施DevOps实践, 然而,结果也表明,绝大多数组织无法在他们的DevOps实践中达到高水平的成熟度, 因此, 无法获得DevOps的全部好处.
COBIT和DevOps
多年来, 诸如COBIT之类的最佳实践框架已经被开发和推广,以帮助理解过程, 设计和实现澳门赌场官方下载IT治理(EGIT).
对于IT审计专业人员,COBIT资源如 COBIT® 重点领域:使用COBIT的DevOps® 2019 发布可用于计划和执行IT审计, 包括对采用DevOps的团队进行审计. 与DevOps相关的关键方面包括:
- DevOps利益相关者的利益了解谁是澳门赌场官方下载的潜在涉众是很重要的, DevOps是如何使它们受益的?采用DevOps时应该考虑哪些因素. IT auditors may believe that only programmers and system administrators are stakeholders; however, 其他可能的涉众包括架构委员会, 安全官, 项目经理和服务经理. 通过了解每个涉众对DevOps的潜在兴趣, IT审计员可以执行符合他们关注点的审计.
- DevOps的关键方面文化、自动化、精益、测量和共享(CALMS)框架7 用于评估组织是否准备好采用DevOps流程,以及组织在其DevOps转型中进展如何. 这也可以映射到COBIT概念, 对于可能更熟悉COBIT而不是CALMS的IT审计人员来说,哪一个更有帮助.
- DevOps的持续活动许多IT审计人员都熟悉审计传统的软件开发生命周期, 但他们也有必要了解在DevOps模型中持续执行的额外活动,并制定审计计划来相应地处理这些活动.
- 治理和管理目标使用COBIT治理和管理实践计划和执行审计可能非常有效. 有几个与DevOps相关的COBIT治理和管理实践,包括:
- APO01 管理我&T管理框架
- APO1 管理质量
- BAI02 管理需求定义
- BAI03 管理解决方案的识别和构建
- BAI07 管理IT变更的接受和转换
- BAI08 管理的知识
- BAI10 管理配置
- BAI07 管理IT变更的接受和转换
- MEA01 管理性能和一致性监控
- 组织结构,DevOps角色和职责的分配因澳门赌场官方下载而异. COBIT资源可以为DevOps过程中的涉众应该执行的角色和职责提供指导. 在很多组织中, 从控制的角度来看,过程中的不同参与者所承担的角色和职责并不是最适合的. IT审核员应该能够有效地与管理层沟通主要的实践是什么,以及如何确保正确的人执行适当的角色.
- 原则、政策及程序有具体的原则、政策和程序(例如.g., 业务敏捷性原则, 改变管理方针, 测试验收过程),应该更新或创建以支持DevOps过程的实现. IT审计人员应该审查现有的政策, 程序和标准,以查看是否进行了相关的更新,以与DevOps实践保持一致.
- 工具类型,对于It审计人员来说,了解支持DevOps流程的工具类型是很有帮助的,这样他们就可以在执行It审计现场工作之前做好准备. 此外,许多组织并不需要使用所有可用的DevOps工具. 了解支持DevOps流程的所有不同工具,使IT审计员能够在必要时通过进一步自动化提供改进DevOps流程的建议.
结论
跨行业部门和地区的IT审计人员可以认识到,他们所服务的组织处于实现DevOps实践过程的不同阶段. IT审计澳门赌场官方下载应该考虑使用COBIT来装备自己的知识和技能,以有效地审计DevOps流程,并确保DevOps能够以安全有效的方式发挥其真正的潜力.
尾注
1 趋之若骛,D.; “介绍,“布朗大学计算机科学讲座,普罗维登斯,罗德岛,美国,2020。
2 梅斯,C.; “谷歌有20亿行代码,而且都在一个地方,” Wired2015年9月16日
3 Agile, 敏捷软件开发宣言, 2001
4 Ibid.
5 数字.ai, 15th 敏捷状态报告, USA
6 傀儡, 2021年开发运维状况报告
7 Buchanana,我.; “平静的框架”,Atlassian
赛义德·萨勒曼,中钢协
是否热衷于让澳门赌场官方下载看到技术风险的好处,并通过实施领先的实践找到可持续优化技术性能的方法. 萨尔曼帮助世界各地的组织从他们的技术治理中优化收益, 技术管理, 网络安全和隐私实践.