Home / Resources / News and Trends / Industry News / 2022 / 使用COBIT最大化DevOps的好处

使用COBIT最大化DevOps的好处

Syed Salman
Author: Syed Salman, CISA
Date Published: 11 May 2022

1969年美国国家航空航天局(NASA)执行阿波罗11号任务时运行的飞行软件, 其目的是将人类安全送往月球并返回地球, contained approximately 145,由麻省理工学院(MIT’s)(剑桥)的软件工程部门开发的, Massachusetts, USA) Draper Laboratory in the 1960’s.1 时间快进到2022年,支持谷歌服务的软件是建立在20亿行代码之上的,000 Google engineers around the world.2 谷歌的服务每天被数十亿人使用,并且正在迅速发展以满足其极其多样化的客户群不断变化的需求.

这一对比展示了软件如何从用于解决特定问题的目标代码转变为不断发展的平台, adapt and continuously improve.

软件开发过程也发生了变化,这是很自然的. Initially, 程序员对开发活动没有系统的方法, 这意味着他们是唯一能够调试或维护自己编写的程序的人. In the 1970s and 1980s, 软件工程方法,如结构化编程, 系统开发方法和结构化的系统分析和设计被创建来开发可重复的过程, 使程序员更容易协作,并更有效地继续前任程序员的工作. 这个时代的软件开发方法被统称为瀑布模型. 这些软件开发模型并不灵活,因为它们从头到尾都遵循线性路径. In the 1990s and 2000s, 软件工程师为软件开发创建了更灵活的模型,如Agile和DevOps. 设计这些模型是为了能够根据最终用户不断变化的需求快速开发和维护软件.

If adopted properly, 敏捷和DevOps实践可以改善客观的软件开发指标,比如部署频率, lead time for changes, 变更故障率和平均恢复时间(MTTR). IT审计人员和治理专业人员可以在确保以正确的方式采用此类领先实践以充分实现潜在利益方面发挥重要作用. COBIT® 可以很容易地理解敏捷和DevOps实践,并确定应该实现哪些控制.

If adopted properly, 敏捷和DevOps实践可以改善客观的软件开发指标,比如部署频率, lead time for changes, change failure rate and MTTR.

Understanding Agile

一个由14名程序员组成的小组发布了 敏捷软件开发宣言 in 2001.3 The manifesto states:

我们通过自己开发软件和帮助别人开发软件来发现更好的方法. This way of working values:

  • 个人和交互比过程和工具更重要
  • 工作软件比全面的文档更重要
  • 客户协作多于合同谈判
  • 对变化做出反应,而不是遵循计划

也就是说,虽然后一种物品也有价值,但前一种物品的价值往往更高.4

敏捷宣言已经在世界范围内得到了认可和接受. 最近的一项研究表明,敏捷在软件开发团队中的应用正在增长, 从2020年的37%增加到2021年的86%.5 According to the study, 受访者认为,采用敏捷原则带来了许多好处,包括加速软件交付和增强满足客户需求的能力. However, despite the benefits, 该研究还表明,许多组织在成功采用敏捷原则方面继续面临挑战, 例如过程和实践中的不一致, cultural clashes, 组织对变革的普遍抵制, lack of skills and experience, absence of leadership participation, 管理支持和赞助不足.

DevOps and Agile

DevOps代表了IT文化的变化, 通过在面向系统的设计方法的环境中采用和发展敏捷实践,专注于快速的IT服务交付. It involves changing, establishing, 并培育一种规划的文化和环境, developing, coding, building, testing, releasing, deploying, operating, 监测的目的是快速执行, frequently, and more reliably (figure 1).

Figure 1—The DevOps Life Cycle
Figure 1—The DevOps Life Cycle
来源:Devopedia,“DevOps”第8版,2022年2月15日 http://devopedia.org/devops. Reprinted with permission.

根据2021年的一项研究,DevOps已经成为组织中软件开发和维护的流行方法.6 结果表明83%的IT决策者报告他们的组织正在实施DevOps实践, 然而,结果也表明,绝大多数组织无法在他们的DevOps实践中达到高水平的成熟度, therefore, 无法获得DevOps的全部好处.

COBIT and DevOps

Over the years, 诸如COBIT之类的最佳实践框架已经被开发和推广,以帮助理解过程, 设计和实现澳门赌场官方下载IT治理(EGIT).

对于IT审计专业人员,COBIT资源如 COBIT® Focus Area: DevOps Using COBIT® 2019 发布可用于计划和执行IT审计, 包括对采用DevOps的团队进行审计. 与DevOps相关的关键方面包括:

  • DevOps stakeholder interests—了解谁是澳门赌场官方下载的潜在涉众是很重要的, DevOps是如何使它们受益的?采用DevOps时应该考虑哪些因素. IT auditors may believe that only programmers and system administrators are stakeholders; however, 其他可能的涉众包括架构委员会, security officer, project manager and service manager. 通过了解每个涉众对DevOps的潜在兴趣, IT审计员可以执行符合他们关注点的审计.
  • Key aspects of DevOps—文化、自动化、精益、测量和共享(CALMS)框架7 用于评估组织是否准备好采用DevOps流程,以及组织在其DevOps转型中进展如何. 这也可以映射到COBIT概念, 对于可能更熟悉COBIT而不是CALMS的IT审计人员来说,哪一个更有帮助.
  • DevOps continuous activities—许多IT审计人员都熟悉审计传统的软件开发生命周期, 但他们也有必要了解在DevOps模型中持续执行的额外活动,并制定审计计划来相应地处理这些活动.
  • Governance and management objectives—使用COBIT治理和管理实践计划和执行审计可能非常有效. 有几个与DevOps相关的COBIT治理和管理实践,包括:
    • APO01 Managed I&T Management framework
    • APO1 Managed Quality
    • BAI02 Managed Requirements Definition
    • BAI03 管理解决方案的识别和构建
    • BAI07 管理IT变更的接受和转换
    • BAI08 Managed Knowledge
    • BAI10 Managed Configuration
    • BAI07 管理IT变更的接受和转换
    • MEA01 管理性能和一致性监控
  • Organizational structures—DevOps角色和职责的分配因澳门赌场官方下载而异. COBIT资源可以为DevOps过程中的涉众应该执行的角色和职责提供指导. At many organizations, 从控制的角度来看,过程中的不同参与者所承担的角色和职责并不是最适合的. IT审核员应该能够有效地与管理层沟通主要的实践是什么,以及如何确保正确的人执行适当的角色.
  • Principles, policies and procedures—有具体的原则、政策和程序(例如.g., business agility principle, change management policy, 测试验收过程),应该更新或创建以支持DevOps过程的实现. IT审计人员应该审查现有的政策, 程序和标准,以查看是否进行了相关的更新,以与DevOps实践保持一致.
  • Tool types—对于It审计人员来说,了解支持DevOps流程的工具类型是很有帮助的,这样他们就可以在执行It审计现场工作之前做好准备. 此外,许多组织并不需要使用所有可用的DevOps工具. 了解支持DevOps流程的所有不同工具,使IT审计员能够在必要时通过进一步自动化提供改进DevOps流程的建议.

Conclusion

跨行业部门和地区的IT审计人员可以认识到,他们所服务的组织处于实现DevOps实践过程的不同阶段. IT审计澳门赌场官方下载应该考虑使用COBIT来装备自己的知识和技能,以有效地审计DevOps流程,并确保DevOps能够以安全有效的方式发挥其真正的潜力.

Endnotes

1 Woos, D.; “Introduction,“布朗大学计算机科学讲座,普罗维登斯,罗德岛,美国,2020。
2 Metz, C.; “谷歌有20亿行代码,而且都在一个地方,” Wired, 16 September 2015
3 Agile, 敏捷软件开发宣言, 2001
4 Ibid.
5 Digital.ai, 15th State of Agile Report, USA
6 Puppet, 2021 State of DevOps Report
7 Buchanana, I.; “CALMS Framework,” Atlassian

Syed Salman, CISA

是否热衷于让澳门赌场官方下载看到技术风险的好处,并通过实施领先的实践找到可持续优化技术性能的方法. 萨尔曼帮助世界各地的组织从他们的技术治理中优化收益, technology management, cybersecurity and privacy practices.