敏捷世界中的合规性
合規(guī)性(Compliance)是指確保人們正確地做事,并能夠證明做事的正確性。在實(shí)施敏捷和頻繁交付的情況下,人們需要為交付過(guò)程建立合規(guī)性。融入了合規(guī)性義務(wù)(Compliance Obligation)的DevOps團(tuán)隊(duì)將更有可能取得成功。
\\在Atlassian 2018歐洲峰會(huì)(Summit Europe 2018)上,Atlassian的風(fēng)險(xiǎn)未來(lái)學(xué)家(Risk Futurist)Guy Herbert介紹了人們應(yīng)該如何在敏捷中保持合規(guī)性。InfoQ以問(wèn)答、總結(jié)和文章報(bào)道覆蓋了本次大會(huì)。
\\Herbert指出,每個(gè)組織都受到某種形式監(jiān)管義務(wù)的約束。有針對(duì)產(chǎn)品銷(xiāo)售的相關(guān)規(guī)則,有針對(duì)持有客戶(hù)信息并約束相關(guān)交易的規(guī)則。Herbert表示,合規(guī)性就是確保人們做出正確的事情、知道自己正在正確地做事,并在他人質(zhì)疑時(shí)可以證明自己的所作所為是正確的。
\\Herbert認(rèn)為,在交付過(guò)程中必須要建立合規(guī)性。過(guò)去每六個(gè)月才交付一次,這時(shí)人們可以嘗試在交付前“上鎖保險(xiǎn)”。 但是現(xiàn)在每天都要做多次的交付,合規(guī)性無(wú)法在最后一刻才添加到過(guò)程中。
\\InfoQ采訪(fǎng)了Herbert,采訪(fǎng)內(nèi)容包括:如何在頻繁和快速交付時(shí)確保合規(guī)性;Devops如何有助于解決合規(guī)性需求,并使現(xiàn)有的合規(guī)系統(tǒng)更加靈活。
\\InfoQ:當(dāng)人們想要頻繁快速地交付時(shí),如何確保合規(guī)性?
\\\Guy Herbert:我們?cè)贏tlassian的做法是,讓團(tuán)隊(duì)了解風(fēng)險(xiǎn)和合規(guī)性是交付的一部分。我們向團(tuán)隊(duì)介紹我們當(dāng)前正在做事的背景,團(tuán)隊(duì)承擔(dān)自身工作的風(fēng)險(xiǎn)和合規(guī)性方面內(nèi)容。我們使用同行評(píng)審作為關(guān)鍵變更控制,確保工作在構(gòu)建之前通過(guò)測(cè)試。
\\大多數(shù)敏捷開(kāi)發(fā)團(tuán)隊(duì)都使用了同行評(píng)審和測(cè)試,這是一種獲得高質(zhì)量代碼的好方法。我們做法的與眾不同之處在于,我們使用Bitbucket(譯者注:Atlassian公司提供的一個(gè)基于web的版本庫(kù)托管服務(wù))強(qiáng)制執(zhí)行同行評(píng)審和綠色構(gòu)建。
\\我們賦予團(tuán)隊(duì)做出更改的能力,但我們也告知團(tuán)隊(duì)必須要由他們?nèi)プ龅氖虑椤H绻麍F(tuán)隊(duì)想要更改最低要求,他們需要與我們交談。如果團(tuán)隊(duì)可以達(dá)到最低要求,那么可能并沒(méi)有必要讓我們參與進(jìn)來(lái)。之后,我們要求團(tuán)隊(duì)每六個(gè)月就確認(rèn)一次相關(guān)控制的進(jìn)展情況(例如,關(guān)于用戶(hù)管理或變更控制的流程),這些控制是團(tuán)隊(duì)正在執(zhí)行我們?cè)c他們討論過(guò)的情況。我們也做一些檢查,為確保團(tuán)隊(duì)確實(shí)執(zhí)行了相關(guān)的控制。對(duì)于一些可自動(dòng)化的控件(例如,自動(dòng)用戶(hù)配置和刪除),我們只需確認(rèn)它們是以正確的方式配置的,并不需要做經(jīng)常性檢查。
\\\InfoQ:DevOps如何有助于人們解決合規(guī)性需求?
\\\Herbert:一個(gè)DevOps團(tuán)隊(duì)通常具有多種合規(guī)性義務(wù)。而風(fēng)險(xiǎn)和合規(guī)性團(tuán)隊(duì)所需要做的就是將這些義務(wù)做分解,以便從事開(kāi)發(fā)和運(yùn)營(yíng)工作的人員可以在完成工作的同時(shí)履行這些義務(wù)。一個(gè)例子就是變更管理。幾乎所有的合規(guī)性義務(wù)都依賴(lài)于受控的變更管理環(huán)境。一旦變更實(shí)施過(guò)一次,那么該變更就可用于履行每項(xiàng)義務(wù)。這意味著,人們不必為每項(xiàng)義務(wù)實(shí)施不同的變更管理控制。當(dāng)然這是一個(gè)簡(jiǎn)單的例子,還有更多的實(shí)例。風(fēng)險(xiǎn)和合規(guī)性可能非常容易做到,也可能真的很難以達(dá)成,這取決于人們是如何為團(tuán)隊(duì)設(shè)置這些義務(wù)的。
\\我們還看到,DevOps團(tuán)隊(duì)具有更高的參與度和所有權(quán)。這使得合規(guī)性義務(wù)融入到DevOps團(tuán)隊(duì)中,進(jìn)而增加了合規(guī)性成功交付的可能性。
\\\InfoQ:如何使現(xiàn)有的合規(guī)系統(tǒng)更加敏捷?
\\\Herbert:我們應(yīng)該更好地了解每個(gè)團(tuán)隊(duì)所支持的合規(guī)性義務(wù)。團(tuán)隊(duì)將不再專(zhuān)注于義務(wù)本身,而是專(zhuān)注于支持這些義務(wù)的控制性活動(dòng),這樣團(tuán)隊(duì)能夠在有需要時(shí)做出更改。由此,團(tuán)隊(duì)就知道需要開(kāi)展的控制活動(dòng)。一旦控制活動(dòng)發(fā)生更改,團(tuán)隊(duì)可以將這些控制活動(dòng)轉(zhuǎn)交給新的團(tuán)隊(duì),或是與風(fēng)險(xiǎn)和合規(guī)團(tuán)隊(duì)討論控制活動(dòng)的潛在變化。
\\我們?cè)贏tlassian的做法是,通過(guò)對(duì)我們控制目標(biāo)的討論,在團(tuán)隊(duì)執(zhí)行的控制活動(dòng)和組織必須履行的合規(guī)義務(wù)之間形成一個(gè)抽象層。這使得交付團(tuán)隊(duì)能夠?qū)W⒂谧陨淼墓ぷ?#xff0c;而不是每個(gè)合規(guī)性義務(wù)。
\\我認(rèn)為風(fēng)險(xiǎn)和合規(guī)團(tuán)隊(duì)?wèi)?yīng)該找到一些方法,為團(tuán)隊(duì)更好地履行合規(guī)性義務(wù)提供幫助。哪些是團(tuán)隊(duì)已做的事情是用于合規(guī)性的,而非基于現(xiàn)有基礎(chǔ)的?對(duì)此,同行評(píng)審和綠色構(gòu)建就是很好的例子。
\\\查看英文原文:?Compliance in an Agile World
總結(jié)
- 上一篇: Django 权限管理-后台根据用户权限
- 下一篇: Hilo开发H5小游戏踩坑笔记