導入までの経路でリリースライフサイクルを加速する: パート 1 – IBM ブログ

多くの企業にとって、クラウドへの移行により技術的負債コストが削減され、 設備投資から運用コストまで 目標。これも 再構築 〜へ マイクロサービス, リフトアンドシフト、プラットフォームの再構築、リファクタリング、置き換えなど。のような実践として DevOps, クラウドネイティブ, サーバーレス および サイト信頼性エンジニアリング (SRE) 成熟化に伴い、重要なレベルの自動化、スピード、機敏性、IT とのビジネス連携 (企業の IT がエンジニアリング組織に変革するのに役立ちます) に焦点が移ってきています。

多くの企業はクラウドへの移行から真の価値を引き出すことに苦労しており、過剰な支出が続く可能性があります。複数 アナリスト の報告によると、企業の 90% 以上が引き続きクラウドに過剰な支出を行っており、多くの場合、大きな利益が得られないままです。

価値の真の本質は、ビジネスと IT が協力して新しい機能を高速に作成できるときに現れ、その結果、開発者の生産性が向上し、市場投入までの時間が短縮されます。それらの目標には、 ターゲットオペレーティングモデル。アプリケーションをクラウドに迅速にデプロイするには、継続的な統合、デプロイ、テスト (CI/CD/CT) による開発の加速だけでなく、ガバナンス リスクとコンプライアンス (GRC)、変更管理などの他の複数のグループが関与するサプライ チェーンのライフサイクルの加速も必要です。 、運用、回復力、信頼性。企業は、製品チームがコンセプトから導入までこれまでよりも早く移行できるようにする方法を継続的に模索しています。

自動化第一および DevSecOps 主導のアプローチ

企業は、速度と規模に適した新しいライフサイクルと配信モデルを検討するのではなく、既存のアプリケーション サプライ チェーン プロセス内でクラウド変革要素を改修することがよくあります。自動化第一のアプローチを通じてアプリケーションのライフサイクルを再考する企業は、クラウド変革の可能性を実現するエンジニアリング主導の製品ライフサイクルの加速を奨励します。例としては次のものが挙げられます。

• パターンベースのアーキテクチャ。アーキテクチャと設計プロセスを標準化します (チームはパターンとテクノロジを選択するか、新しいパターンを共同作成する自主性を持ちます)。
• セキュリティとコンプライアンスの側面に対処するパターンで、これらの要件へのトレーサビリティを確保します。
• 複数の横断的な懸念事項を体系化するのに役立つコードとしてのパターン (これにより、パターンの成熟度の内部ソース モデルも促進され、再利用性が促進されます)。
• ライフサイクル全体にわたって利用できる DevOps パイプライン主導のアクティビティ。
• セキュリティとコンプライアンスのレビューに必要な特定のデータを自動生成します。
• 手作業による介入が制限されているか、まったく行われない運用準備状況のレビュー。

企業がクラウド ネイティブですべてをコードとして採用するにつれて、コードから本番環境への移行が顧客に価値を提供する上で重要な側面になりました。この複雑なプロセスは、しばしば「」と呼ばれます。導入までの経路」には、組織がソフトウェアを効率的、確実かつ大規模に配信する能力に大きな影響を与える可能性がある、一連の複雑な手順と意思決定が含まれています。アーキテクチャ、設計、コード開発、テストから導入、監視に至るまで、導入までの各段階には固有の課題と機会が存在します。 IBM® は、お客様が今日存在する複雑さを乗り越える際に、シームレスで効果的な導入経路を達成するための戦略と目標状態モードを明らかにできるよう支援することを目指しています。

組織がソフトウェア配信パイプラインを合理化し、市場投入までの時間を短縮し、ソフトウェアの品質を向上させ、実稼働環境での堅牢な運用を確保できるようにするベスト プラクティス、ツール、および方法論がすべて検討されます。

このシリーズの 2 番目の投稿 は、企業のクラウドネイティブ ソフトウェア開発の進化し続ける状況において、企業がソフトウェア サプライ チェーンのライフサイクルを加速できるよう支援する成熟度モデルと構成要素を提供します。

導入への道筋: 現在の見解と課題

以下の図は、一般的なゲートを使用したエンタープライズ ソフトウェア開発ライフ サイクル (SDLC) の概要をまとめたものです。このフローは一目瞭然ですが、重要なのは、ソフトウェア サプライ チェーン プロセスには、これをウォーターフォール モデルと断続的なアジャイル モデルの組み合わせにするいくつかの側面があることを理解することです。課題は、アプリケーションのビルドとデプロイ (またはその反復) のタイムラインが、通常は手動のままであるいくつかのファーストマイルおよびラストマイルのアクティビティの影響を受けることです。

SDLC の従来の性質に伴う主な課題は次のとおりです。

1. 開発に入るまでのアーキテクチャおよび設計段階での開発前の待ち時間は 4 ～ 8 週間です。これは次のことが原因で発生します。
   • プライバシー上の懸念、データ分類、事業継続性、法規制順守など、ビジネスに悪影響が及ばないことを確認するための複数のファーストマイルレビュー (これらのほとんどは手動です)。
   • 開発サイクルにおけるアジャイル原則にもかかわらず、ウォーターフォールまたはセミアジャイルのままであり、順次実行を必要とする企業全体の SDLC プロセス (たとえば、完全な設計承認後にのみ環境プロビジョニングを行うなど)。
   • 「独特」であると認識されているアプリケーションは、徹底的な精査と介入の対象となり、加速の機会は限られています。
   • 標準化などの統一的な取り組みやチェンジエージェントの推進の欠如による、パターンベースのアーキテクチャと開発の制度化における課題。
   • 開発の速度に影響を与えるセキュリティ文化。多くの場合、手動または半手動のプロセスを伴うセキュリティ管理とガイドラインを遵守します。
2. 次の理由により、環境と CI/CD/CT ツールの統合をプロビジョニングするまでの開発待ち時間が発生します。
   • 手動または半自動の環境プロビジョニング。
   • パターン (紙上の) は規範的なガイダンスとしてのみ使用されます。
   • 断片化された DevOps ツールをつなぎ合わせる作業が必要です。
3. 開発後 (ラスト マイル) の稼働までの待機時間は、次の理由により 6 ～ 8 週間以上になることも簡単にあります。
   • 標準の SAST/SCA/DAST (セキュリティ構成、Day 2 制御、タグ付けなど) を超えたセキュリティおよびコンプライアンスのレビューを通過するための手動証拠収集。
   • 運用および回復力レビューのための手動証拠収集 (クラウド運用やビジネス継続性のサポートなど)。
   • IT サービスとインシデントの管理と解決をサポートするサービス移行レビュー。

導入までの経路: ターゲットの状態

目標状態を展開する経路には、ボトルネックを最小限に抑え、ソフトウェア サプライ チェーンの変革を加速する、合理化された効率的なプロセスが必要です。この理想的な状態では、導入までの経路は、アジャイルと DevOps の原則に従って、設計 (ファースト マイル) だけでなく、開発、テスト、プラットフォーム エンジニアリング、導入の各段階 (ラスト マイル) がシームレスに統合されることを特徴としています。これにより、実稼働環境への必要な (自動化主導の) 検証により、コード変更の迅速かつ自動的なデプロイが促進されます。

IBM の目標状態のビジョンでは、セキュリティ チェックとコンプライアンス検証を CI/CD/CT パイプラインに統合することでセキュリティとコンプライアンスを優先し、脆弱性の早期検出と解決を可能にします。このビジョンは、責任共有モデルを通じた、開発、運用、信頼性、セキュリティの各チーム間のコラボレーションに重点を置いています。また、継続的なモニタリングとフィードバック ループを確立して、さらなる改善に向けた洞察を収集します。最終的に、目標とする州は、手作業による介入を最小限に抑え、すべての企業関係者に高い信頼を与えながら、ソフトウェアのアップデートと新機能をエンド ユーザーに迅速に提供することを目指しています。

以下の図は、クラウドネイティブ SDLC モデルの採用に役立つ展開経路の潜在的なターゲット ビューを示しています。

クラウドネイティブ SDLC モデルの主要な要素は次のとおりです。

• パターン主導のアーキテクチャとデザインが企業全体に制度化されています。
• セキュリティ、コンプライアンス、回復力、その他のエンタープライズ ポリシーの主要な要件を (コードとして) 組み込んだパターン。
• セキュリティとコンプライアンスのレビューはパターンとして加速され、ソリューションの説明に使用されます。
• 環境、パイプライン、サービス構成 (プラットフォーム エンジニアリング エンタープライズ カタログを通じて推進される) の作成を含むコア開発。
• ライフサイクルを展開するためのパス全体にわたるすべてのアクティビティへのリンクを構築する CI/CD/CT パイプライン。
• プラットフォーム エンジニアリングでは、すべてのエンタープライズ ポリシー (暗号化など) がプラットフォーム ポリシーとして組み込まれたプラットフォームとサービスを構築、構成、管理します。
• セキュリティおよびコンプライアンス ツール (脆弱性スキャンやポリシー チェックなど) と、パイプラインに統合されるかセルフサービスとして利用できる自動化。
• 手動介入なしで、複数のレビュー用の高度なデータ (ログ、ツール出力、コード スキャンの洞察から) を生成します。
• バックログから展開リリースノートおよび変更の影響までのトレーサビリティ。
• 例外による介入のみ。

導入経路は、明確性、説明責任、トレーサビリティを通じて加速を促進します

導入のための構造化された経路を定義することで、組織はサプライ チェーンのライフサイクルに含まれる手順を標準化し、各フェーズを追跡可能および監査可能にすることができます。これにより、関係者は初期設計から展開までの個別の段階で進行状況を監視できるようになり、プログラムのステータスをリアルタイムで把握できるようになります。導入経路の各段階で所有権を割り当てることで、チーム メンバーが成果物に対して責任を負うことが保証され、貢献と変更の追跡が容易になるだけでなく、適切なレベルの介入で問題の解決が促進されます。導入までの経路を追跡できるため、データに基づいた洞察が得られ、プロセスを改良し、将来のプログラムの効率を向上させることができます。導入までの十分に文書化された経路により、プロセスの各部分が明確に記録され、取得できるため、業界規制への準拠がサポートされ、レポート作成が簡素化されます。

パート 2 を読む: 成熟度モデルと実現アプローチの探求