Accelera il ciclo di vita del rilascio con il percorso di distribuzione: Parte 1 – Blog IBM

Per molte aziende, il passaggio al cloud riduce i costi del debito tecnico e soddisfa i requisiti CapEx-OpEx obiettivi. Ciò comprende riarchitettura a microservices, sollevamento e spostamento, replatforming, refactoring, sostituzione e altro ancora. Come piace alle pratiche DevOps, Nativo nube, serverless ed ingegneria dell'affidabilità del sito (SRE) maturo, l’attenzione si sta spostando verso livelli significativi di automazione, velocità, agilità e allineamento del business con l’IT (che aiuta l’IT aziendale a trasformarsi in organizzazioni di ingegneria).

Molte aziende faticano a trarre valore reale dal loro percorso verso il cloud e potrebbero continuare a spendere troppo. Molteplici analisti hanno riferito che oltre il 90% delle aziende continua a spendere troppo nel cloud, spesso senza realizzare ritorni sostanziali.

La vera essenza del valore emerge quando azienda e IT possono collaborare per creare nuove funzionalità ad alta velocità, con conseguente maggiore produttività degli sviluppatori e velocità di immissione sul mercato. Tali obiettivi richiedono a modello operativo obiettivo. La rapida distribuzione delle applicazioni nel cloud richiede non solo l'accelerazione dello sviluppo con integrazione, distribuzione e test continui (CI/CD/CT), ma richiede anche l'accelerazione del ciclo di vita della supply chain, che coinvolge numerosi altri gruppi come la governance, il rischio e la conformità (GRC), la gestione del cambiamento , operazioni, resilienza e affidabilità. Le aziende sono alla continua ricerca di modi che consentano ai team di prodotto di passare dall'ideazione all'implementazione più velocemente che mai.

Approccio incentrato sull'automazione e basato su DevSecOps

Le aziende spesso adattano gli elementi di trasformazione del cloud all'interno dei processi esistenti della catena di fornitura delle applicazioni piuttosto che prendere in considerazione nuovi modelli di ciclo di vita e di distribuzione adatti alla velocità e alla scalabilità. Le aziende che reinventano il ciclo di vita delle applicazioni attraverso un approccio incentrato sull'automazione incoraggiano un'accelerazione del ciclo di vita del prodotto basata sulla progettazione che realizza il potenziale della trasformazione del cloud. Esempi inclusi:

• Architettura basata su modelli che standardizza l'architettura e il processo di progettazione (mentre i team hanno l'autonomia di scegliere modelli e tecnologia o co-creare nuovi modelli).
• Modelli che affrontano dimensioni di sicurezza e conformità, garantendo la tracciabilità rispetto a questi requisiti.
• Pattern-as-code che aiutano a codificare molteplici preoccupazioni trasversali (questo promuove anche il modello di origine interno della maturità dei pattern e guida la riusabilità).
• Attività guidate dalla pipeline DevOps che possono essere utilizzate durante l'intero ciclo di vita.
• Generazione automatica di dati specifici necessari per le revisioni di sicurezza e conformità.
• Revisioni della disponibilità operativa con intervento manuale limitato o nullo.

Poiché le aziende adottano il cloud nativo e tutto sotto forma di codice, il percorso dal codice alla produzione è diventato un aspetto fondamentale per offrire valore ai clienti. Questo intricato processo, spesso definito “percorso da schierare”, comprende una serie di passaggi e decisioni complessi che possono avere un impatto significativo sulla capacità di un'organizzazione di fornire software in modo efficiente, affidabile e su vasta scala. Dall'architettura, progettazione, sviluppo del codice, test fino all'implementazione e al monitoraggio, ogni fase del percorso di implementazione presenta sfide e opportunità uniche. Mentre esplori le complessità che esistono oggi, IBM® mira ad aiutarti a scoprire le strategie e le modalità dello stato target per ottenere un percorso di implementazione fluido ed efficace.

Verranno esplorate le migliori pratiche, strumenti e metodologie che consentono alle organizzazioni di semplificare le pipeline di distribuzione del software, ridurre il time-to-market, migliorare la qualità del software e garantire operazioni robuste negli ambienti di produzione.

Il secondo post di questa serie fornisce un modello di maturità e elementi costitutivi per aiutare le aziende ad accelerare il ciclo di vita della catena di fornitura del software nel panorama in continua evoluzione dello sviluppo di software aziendale cloud-native.

Percorso di implementazione: visione attuale e sfide

Il diagramma seguente riassume una visione del ciclo di vita dello sviluppo software aziendale (SDLC) con i gate tipici. Sebbene il flusso sia autoesplicativo, la chiave è comprendere che esistono diversi aspetti del processo della catena di fornitura del software che lo rendono una combinazione di modelli agili a cascata e intermittenti. La sfida è che la sequenza temporale per la creazione e la distribuzione di un'applicazione (o di una sua iterazione) è influenzata da diverse attività del primo e dell'ultimo miglio che in genere rimangono manuali.

Le sfide principali legate alla natura tradizionale dell’SDLC sono:

1. Tempo di attesa pre-sviluppo di 4-8 settimane nella fase di architettura e progettazione per arrivare allo sviluppo. Ciò è causato da:
   • Numerose revisioni del primo miglio per garantire che non vi siano impatti aziendali negativi, inclusi problemi di privacy, classificazione dei dati, continuità aziendale e conformità normativa (e la maggior parte di questi sono manuali).
   • Processi SDLC a livello aziendale che rimangono a cascata o semi-agili, richiedendo un'esecuzione sequenziale, nonostante i principi agili nei cicli di sviluppo (ad esempio, il provisioning dell'ambiente solo dopo la completa approvazione del progetto).
   • Le applicazioni percepite come “uniche” sono soggette a un esame approfondito e a interventi con limitate opportunità di accelerazione.
   • Sfide nell’istituzionalizzazione dell’architettura e dello sviluppo basati su modelli a causa della mancanza di sforzo di coesione e di guida degli agenti di cambiamento, come la standardizzazione.
   • Una cultura della sicurezza che influisce sulla velocità dello sviluppo, con il rispetto dei controlli e delle linee guida di sicurezza che spesso implicano processi manuali o semi-manuali.
2. Tempo di attesa dello sviluppo per fornire l'ambiente e l'integrazione degli strumenti CI/CD/CT a causa di:
   • Provisioning dell'ambiente manuale o semiautomatico.
   • Modelli (su carta) solo come guida prescrittiva.
   • Strumenti DevOps frammentati che richiedono uno sforzo per essere messi insieme.
3. Il tempo di attesa post-sviluppo (ultimo miglio) prima del go-live è facilmente di 6-8 settimane o più a causa di:
   • Raccolta manuale delle prove per superare le revisioni di sicurezza e conformità oltre gli standard SAST/SCA/DAST (come configurazione di sicurezza, controlli del secondo giorno, tagging e altro).
   • Raccolta manuale di prove per revisioni operative e di resilienza (come il supporto delle operazioni cloud e della continuità aziendale).
   • Revisioni della transizione del servizio per supportare il servizio IT e la gestione e risoluzione degli incidenti.

Percorso di distribuzione: stato di destinazione

Il percorso per implementare lo stato target richiede un processo snello ed efficiente che riduca al minimo i colli di bottiglia e acceleri la trasformazione della catena di fornitura del software. In questo stato ideale, il percorso di distribuzione è caratterizzato da una perfetta integrazione delle fasi di progettazione (primo miglio), nonché di sviluppo, test, ingegneria della piattaforma e distribuzione (ultimo miglio), seguendo i principi Agile e DevOps. Ciò aiuta ad accelerare la distribuzione delle modifiche al codice in modo rapido e automatico con le necessarie convalide (guidate dall'automazione) negli ambienti di produzione.

La visione di IBM dello stato target dà priorità alla sicurezza e alla conformità integrando i controlli di sicurezza e la convalida della conformità nella pipeline CI/CD/CT, consentendo il rilevamento precoce e la risoluzione delle vulnerabilità. Questa visione enfatizza la collaborazione tra i team di sviluppo, operazioni, affidabilità e sicurezza attraverso un modello di responsabilità condivisa. Stabilisce inoltre un monitoraggio continuo e cicli di feedback per raccogliere approfondimenti per ulteriori miglioramenti. In definitiva, lo Stato target mira a fornire rapidamente aggiornamenti software e nuove funzionalità agli utenti finali, con un intervento manuale minimo e con un elevato grado di fiducia per tutte le parti interessate dell’azienda.

Il diagramma seguente illustra una potenziale visione target del percorso da implementare che aiuta ad abbracciare il modello SDLC nativo del cloud.

Gli elementi chiave del modello SDLC nativo del cloud includono:

• Architettura e design basati su modelli istituzionalizzati in tutta l'azienda.
• Modelli che incorporano requisiti chiave di sicurezza, conformità, resilienza e altre policy aziendali (come codice).
• Revisioni di sicurezza e conformità accelerate come modelli e utilizzate per descrivere la soluzione.
• Sviluppo di base, inclusa la creazione di ambienti, pipeline e configurazione dei servizi (gestita tramite il catalogo aziendale di ingegneria della piattaforma).
• Pipeline CI/CD/CT che crea collegamenti a tutte le attività lungo il percorso per implementare il ciclo di vita.
• L'ingegneria della piattaforma crea, configura e gestisce piattaforme e servizi con tutte le policy aziendali (come la crittografia) integrate come policy della piattaforma.
• Strumenti di sicurezza e conformità (ad esempio scansioni di vulnerabilità o controlli delle policy) e automazione integrati nelle pipeline o disponibili come self-service.
• Generazione di un elevato livello di dati (da registri, output degli strumenti e approfondimenti sulla scansione del codice) per diverse revisioni senza intervento manuale.
• Tracciabilità dal backlog alle note di rilascio della distribuzione e all'impatto delle modifiche.
• Interventi solo per eccezioni.

Il percorso di implementazione favorisce l'accelerazione attraverso chiarezza, responsabilità e tracciabilità

Definendo un percorso strutturato di implementazione, le organizzazioni possono standardizzare le fasi coinvolte nel ciclo di vita della catena di fornitura, garantendo che ogni fase sia tracciabile e verificabile. Ciò consente alle parti interessate di monitorare i progressi attraverso fasi distinte, dalla progettazione iniziale all'implementazione, fornendo visibilità in tempo reale sullo stato del programma. L'assegnazione della proprietà in ogni fase del percorso di implementazione garantisce che i membri del team siano responsabili dei propri risultati, rendendo più semplice tenere traccia dei contributi e delle modifiche, oltre ad accelerare la risoluzione dei problemi con il giusto livello di intervento. La tracciabilità lungo il percorso di implementazione fornisce approfondimenti basati sui dati, aiutando a perfezionare i processi e migliorare l'efficienza nei programmi futuri. Un percorso di implementazione ben documentato supporta la conformità alle normative di settore e semplifica il reporting, poiché ogni parte del processo è chiaramente registrata e recuperabile.

Leggi la Parte 2: Esplorazione del modello di maturità e dell'approccio realizzativo