なぜDevOpsの導入は失敗することが多いのか(そしてどうすれば解決できるのか
この記事は以下のサイトに掲載されました。 DevOps.com.更新され、修正されています。
ブロックチェーン」、「ビッグデータ」、「デジタル・ディスラプション」などと同様に、「DevOps」という言葉も、現在、大企業のIT部門で飛び交っているバズワードの一つです。
多くの人が、ソフトウェア開発ライフサイクルの短縮化の必要性を(正しく)認識しています。ビジネス目標に密接に沿った、より正確なプロセスにより、開発チームと運用チームの間で明確なワークフローとコラボレーションが可能になります。DevOpsは本質的に「アジャイル」な開発であり、常に革新的で迅速な展開を行う現代のビジネスのニーズに対応するために成長したものです。セキュリティの専門家にとっても、DevOpsは素晴らしい取り組みです。プロセスにセキュリティを導入することで、バグ修正のコストを削減し、将来起こりうる大惨事を回避することができます。
問題は、DevOpsの導入で本当に成功している企業が少ないことです。ビジネス全体で適切なサポート、育成、理解が得られなければ、すぐに「白い象」のような存在になってしまいます。
では、何が問題なのでしょうか?これは興味深い議論ですが、DevOpsをより円滑に進めるためのアプローチ方法がいくつかあります。効果的なプログラムは、いくつかの派手な新しいツールや肩書き、チームミーティングを超えたものです。常に簡単というわけではありませんが、時間をかけて壊れた戦略を修正する(あるいは最初から正しい方法で導入する)ことは、長い目で見ればはるかに苦痛が少ないはずです。そして最終的には、より高品質で安全なソフトウェアを生み出すことになるでしょう。
それを分解してみましょう。
アジャイル」というエプロンの紐を手放してください。
組織はアジャイルかDevOpsのどちらかを選ばなければならず、どちらかの道に進み、後戻りはできないという誤解があります。実際には、両方を考慮し、1つのものとして実装したときに、開発プロセスは最もうまく機能します。DevOpsは、アジャイル開発の再発明ではなく、むしろその延長線上にあります。プロセスがアジャイルと全く同じであるか、アジャイルとは全く異なるものであるかという期待があると、歯車が狂いがちになります。
アジャイルは、デザイナー、テスター、開発者が最初から一緒に仕事をするクロスファンクショナルチームの原則を支持し、プロジェクト全体を通してオープンなコミュニケーションラインを約束します。アジャイルの目的は、サイロ化したデリバリーを止め、二重処理を減らすことですが、これはDevOpsプロセスの利点でもあります。しかし、DevOpsはさらに一歩進んで、システム、セキュリティ、オペレーションをミックスして、お客様に完全で機能的なソフトウェアを提供することを最終目標とした、堅牢でエンドツーエンドなスキルセットを提供します。
よりDevOpsを中心としたプロセスに移行する際に避けられない苦痛の中で、サイロ化した開発のリスクが再び浮上することがあります。元々のアジャイルチームが一緒に仕事をしていても、セキュリティやオペレーションの担当者がまだ機械の中に入っていないことがよくあります。
DevOpsは、明確に定義された目的、部門を超えたオンボーディング、すべての関係者との直接的なコミュニケーションなしには機能しません。慎重な変更管理を必要とする調整期間があるのは確かですが、DevOps機能がもたらす機能強化について全員が同じ見解を持つことは、戦いの半分です。
最近では(ありがたいことに)、DevOpsはプロセスの一部としてセキュリティのベストプラクティスを重視するようになってきており、このステップを解明し、セキュリティチームとその他の人々との間のギャップを埋めています。前にも述べたように、開発者が最初から安全なコードを書けるようにするには、まだまだ長い道のりがあります。しかし、DevOpsの方法論をうまく導入することは、開発チーム内でセキュリティ・スキルを構築するための優れた基盤となります。
自動化がすべてではありません(そして、最も安全ではありません)。
DevOpsのもう一つの特徴は、ソフトウェア開発プロセスをある程度自動化することです。継続的インテグレーションと継続的デリバリ(CI/CD)の原則は、このコンセプトの基礎であり、推測できるように、非常にツールに依存しています。
ツールは素晴らしいものです、本当に。ツールは、コードリポジトリ、テスト、メンテナンス、ストレージの各要素を比較的シームレスに管理することで、ソフトウェア開発プロセスにかつてないスピードをもたらします。
しかし、いつかはロボットが私たちの仕事を奪い、私たちを投獄するかもしれませんが、まだそこまでには至っていません。ツールや自動化への依存度が高いと、エラーの余地が大きくなります。スキャンやテストではすべてを発見できないかもしれませんし、コードがチェックされないかもしれません。そうなると、セキュリティはもちろんのこと、品質面でも大きな問題となります。攻撃者は、データを盗むためのバックドアを1つ開けさえすればいいのですから、品質とセキュリティの管理に人間の要素が欠けていると、悲惨な結果になりかねません。
ハッピーミディアム」とは、人とツールのバランスをとることです。ツールは、プロジェクトの目標を達成するために、信頼できるチームのアシスタントとしての役割を果たすべきです。そうすべきです。
- 選択したDevOpsツールチェーンに慣れるための十分な時間を確保する。
- 効果的なコラボレーションに焦点を当てる(ツールがどのようにそれをサポートするかについても
- スキルや知識、ツールなど、プロセス上のギャップを解消する。
要するに、ただ「道具をそろえる」だけではダメだということです。
DevOpsはバズワードではなく、文化です。あなたは自分の文化を育てていますか?
チェンジマネジメントは、最高の状態では困難です。
「DevOpsをやろう」と言ってオペレーションチームのデスクを移動させただけでは、魔法のようにプロセスを成功させることはできません。多くの人が混乱し、長く働いているメンバーは不満を感じているでしょう。期待されていることを伝えることは、"歩く "ことと同様に重要です。DevOpsは開発手法と同様に文化的なムーブメントであり、チームはクロスファンクショナルでコラボレイティブなマインドセットを実践しなければなりません。
優れたDevOps文化とはどのようなものでしょうか?
- リーダーだけでなく、個人にも専門知識を提供する権限が与えられている
- チーム間のオープンで、正直で、尊敬に満ちたコミュニケーション
- 開発プロセスに品質とセキュリティを組み込むという全体的な目的に対して、各担当者が責任を持つ
- ビジネスにおけるDevOpsの定義、ロードマップ、各人の役割のhow/what/whyについて、全員が同じ見解を持っています。
私は長年にわたり、開発チームにおいて積極的なセキュリティ文化を構築することの重要性を強調してきましたが、それはDevOpsも同様です。
セキュリティのベスト・プラクティスを達成し、発見された脆弱性を減少させ、データ保護の重要性にチームの目を向けさせるには、適切なツール、知識、サポートが不可欠です。DevOpsでは、ポジティブな変化のための文化的基盤を築く必要があります。つまり、全員が自分の役割、価値、期待、プロジェクト全体の目標、プロセスのステップを理解できるようにしなければなりません。
それはマスターしていますか?素晴らしいですね。次は、針を移動させ、セキュリティ面を強化して、DevSecOpsをソフトウェア・エクセレンスのための究極のプランにしましょう。
最高経営責任者(CEO)、会長、および共同設立者
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
デモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
この記事は以下のサイトに掲載されました。 DevOps.com.更新され、修正されています。
ブロックチェーン」、「ビッグデータ」、「デジタル・ディスラプション」などと同様に、「DevOps」という言葉も、現在、大企業のIT部門で飛び交っているバズワードの一つです。
多くの人が、ソフトウェア開発ライフサイクルの短縮化の必要性を(正しく)認識しています。ビジネス目標に密接に沿った、より正確なプロセスにより、開発チームと運用チームの間で明確なワークフローとコラボレーションが可能になります。DevOpsは本質的に「アジャイル」な開発であり、常に革新的で迅速な展開を行う現代のビジネスのニーズに対応するために成長したものです。セキュリティの専門家にとっても、DevOpsは素晴らしい取り組みです。プロセスにセキュリティを導入することで、バグ修正のコストを削減し、将来起こりうる大惨事を回避することができます。
問題は、DevOpsの導入で本当に成功している企業が少ないことです。ビジネス全体で適切なサポート、育成、理解が得られなければ、すぐに「白い象」のような存在になってしまいます。
では、何が問題なのでしょうか?これは興味深い議論ですが、DevOpsをより円滑に進めるためのアプローチ方法がいくつかあります。効果的なプログラムは、いくつかの派手な新しいツールや肩書き、チームミーティングを超えたものです。常に簡単というわけではありませんが、時間をかけて壊れた戦略を修正する(あるいは最初から正しい方法で導入する)ことは、長い目で見ればはるかに苦痛が少ないはずです。そして最終的には、より高品質で安全なソフトウェアを生み出すことになるでしょう。
それを分解してみましょう。
アジャイル」というエプロンの紐を手放してください。
組織はアジャイルかDevOpsのどちらかを選ばなければならず、どちらかの道に進み、後戻りはできないという誤解があります。実際には、両方を考慮し、1つのものとして実装したときに、開発プロセスは最もうまく機能します。DevOpsは、アジャイル開発の再発明ではなく、むしろその延長線上にあります。プロセスがアジャイルと全く同じであるか、アジャイルとは全く異なるものであるかという期待があると、歯車が狂いがちになります。
アジャイルは、デザイナー、テスター、開発者が最初から一緒に仕事をするクロスファンクショナルチームの原則を支持し、プロジェクト全体を通してオープンなコミュニケーションラインを約束します。アジャイルの目的は、サイロ化したデリバリーを止め、二重処理を減らすことですが、これはDevOpsプロセスの利点でもあります。しかし、DevOpsはさらに一歩進んで、システム、セキュリティ、オペレーションをミックスして、お客様に完全で機能的なソフトウェアを提供することを最終目標とした、堅牢でエンドツーエンドなスキルセットを提供します。
よりDevOpsを中心としたプロセスに移行する際に避けられない苦痛の中で、サイロ化した開発のリスクが再び浮上することがあります。元々のアジャイルチームが一緒に仕事をしていても、セキュリティやオペレーションの担当者がまだ機械の中に入っていないことがよくあります。
DevOpsは、明確に定義された目的、部門を超えたオンボーディング、すべての関係者との直接的なコミュニケーションなしには機能しません。慎重な変更管理を必要とする調整期間があるのは確かですが、DevOps機能がもたらす機能強化について全員が同じ見解を持つことは、戦いの半分です。
最近では(ありがたいことに)、DevOpsはプロセスの一部としてセキュリティのベストプラクティスを重視するようになってきており、このステップを解明し、セキュリティチームとその他の人々との間のギャップを埋めています。前にも述べたように、開発者が最初から安全なコードを書けるようにするには、まだまだ長い道のりがあります。しかし、DevOpsの方法論をうまく導入することは、開発チーム内でセキュリティ・スキルを構築するための優れた基盤となります。
自動化がすべてではありません(そして、最も安全ではありません)。
DevOpsのもう一つの特徴は、ソフトウェア開発プロセスをある程度自動化することです。継続的インテグレーションと継続的デリバリ(CI/CD)の原則は、このコンセプトの基礎であり、推測できるように、非常にツールに依存しています。
ツールは素晴らしいものです、本当に。ツールは、コードリポジトリ、テスト、メンテナンス、ストレージの各要素を比較的シームレスに管理することで、ソフトウェア開発プロセスにかつてないスピードをもたらします。
しかし、いつかはロボットが私たちの仕事を奪い、私たちを投獄するかもしれませんが、まだそこまでには至っていません。ツールや自動化への依存度が高いと、エラーの余地が大きくなります。スキャンやテストではすべてを発見できないかもしれませんし、コードがチェックされないかもしれません。そうなると、セキュリティはもちろんのこと、品質面でも大きな問題となります。攻撃者は、データを盗むためのバックドアを1つ開けさえすればいいのですから、品質とセキュリティの管理に人間の要素が欠けていると、悲惨な結果になりかねません。
ハッピーミディアム」とは、人とツールのバランスをとることです。ツールは、プロジェクトの目標を達成するために、信頼できるチームのアシスタントとしての役割を果たすべきです。そうすべきです。
- 選択したDevOpsツールチェーンに慣れるための十分な時間を確保する。
- 効果的なコラボレーションに焦点を当てる(ツールがどのようにそれをサポートするかについても
- スキルや知識、ツールなど、プロセス上のギャップを解消する。
要するに、ただ「道具をそろえる」だけではダメだということです。
DevOpsはバズワードではなく、文化です。あなたは自分の文化を育てていますか?
チェンジマネジメントは、最高の状態では困難です。
「DevOpsをやろう」と言ってオペレーションチームのデスクを移動させただけでは、魔法のようにプロセスを成功させることはできません。多くの人が混乱し、長く働いているメンバーは不満を感じているでしょう。期待されていることを伝えることは、"歩く "ことと同様に重要です。DevOpsは開発手法と同様に文化的なムーブメントであり、チームはクロスファンクショナルでコラボレイティブなマインドセットを実践しなければなりません。
優れたDevOps文化とはどのようなものでしょうか?
- リーダーだけでなく、個人にも専門知識を提供する権限が与えられている
- チーム間のオープンで、正直で、尊敬に満ちたコミュニケーション
- 開発プロセスに品質とセキュリティを組み込むという全体的な目的に対して、各担当者が責任を持つ
- ビジネスにおけるDevOpsの定義、ロードマップ、各人の役割のhow/what/whyについて、全員が同じ見解を持っています。
私は長年にわたり、開発チームにおいて積極的なセキュリティ文化を構築することの重要性を強調してきましたが、それはDevOpsも同様です。
セキュリティのベスト・プラクティスを達成し、発見された脆弱性を減少させ、データ保護の重要性にチームの目を向けさせるには、適切なツール、知識、サポートが不可欠です。DevOpsでは、ポジティブな変化のための文化的基盤を築く必要があります。つまり、全員が自分の役割、価値、期待、プロジェクト全体の目標、プロセスのステップを理解できるようにしなければなりません。
それはマスターしていますか?素晴らしいですね。次は、針を移動させ、セキュリティ面を強化して、DevSecOpsをソフトウェア・エクセレンスのための究極のプランにしましょう。
この記事は以下のサイトに掲載されました。 DevOps.com.更新され、修正されています。
ブロックチェーン」、「ビッグデータ」、「デジタル・ディスラプション」などと同様に、「DevOps」という言葉も、現在、大企業のIT部門で飛び交っているバズワードの一つです。
多くの人が、ソフトウェア開発ライフサイクルの短縮化の必要性を(正しく)認識しています。ビジネス目標に密接に沿った、より正確なプロセスにより、開発チームと運用チームの間で明確なワークフローとコラボレーションが可能になります。DevOpsは本質的に「アジャイル」な開発であり、常に革新的で迅速な展開を行う現代のビジネスのニーズに対応するために成長したものです。セキュリティの専門家にとっても、DevOpsは素晴らしい取り組みです。プロセスにセキュリティを導入することで、バグ修正のコストを削減し、将来起こりうる大惨事を回避することができます。
問題は、DevOpsの導入で本当に成功している企業が少ないことです。ビジネス全体で適切なサポート、育成、理解が得られなければ、すぐに「白い象」のような存在になってしまいます。
では、何が問題なのでしょうか?これは興味深い議論ですが、DevOpsをより円滑に進めるためのアプローチ方法がいくつかあります。効果的なプログラムは、いくつかの派手な新しいツールや肩書き、チームミーティングを超えたものです。常に簡単というわけではありませんが、時間をかけて壊れた戦略を修正する(あるいは最初から正しい方法で導入する)ことは、長い目で見ればはるかに苦痛が少ないはずです。そして最終的には、より高品質で安全なソフトウェアを生み出すことになるでしょう。
それを分解してみましょう。
アジャイル」というエプロンの紐を手放してください。
組織はアジャイルかDevOpsのどちらかを選ばなければならず、どちらかの道に進み、後戻りはできないという誤解があります。実際には、両方を考慮し、1つのものとして実装したときに、開発プロセスは最もうまく機能します。DevOpsは、アジャイル開発の再発明ではなく、むしろその延長線上にあります。プロセスがアジャイルと全く同じであるか、アジャイルとは全く異なるものであるかという期待があると、歯車が狂いがちになります。
アジャイルは、デザイナー、テスター、開発者が最初から一緒に仕事をするクロスファンクショナルチームの原則を支持し、プロジェクト全体を通してオープンなコミュニケーションラインを約束します。アジャイルの目的は、サイロ化したデリバリーを止め、二重処理を減らすことですが、これはDevOpsプロセスの利点でもあります。しかし、DevOpsはさらに一歩進んで、システム、セキュリティ、オペレーションをミックスして、お客様に完全で機能的なソフトウェアを提供することを最終目標とした、堅牢でエンドツーエンドなスキルセットを提供します。
よりDevOpsを中心としたプロセスに移行する際に避けられない苦痛の中で、サイロ化した開発のリスクが再び浮上することがあります。元々のアジャイルチームが一緒に仕事をしていても、セキュリティやオペレーションの担当者がまだ機械の中に入っていないことがよくあります。
DevOpsは、明確に定義された目的、部門を超えたオンボーディング、すべての関係者との直接的なコミュニケーションなしには機能しません。慎重な変更管理を必要とする調整期間があるのは確かですが、DevOps機能がもたらす機能強化について全員が同じ見解を持つことは、戦いの半分です。
最近では(ありがたいことに)、DevOpsはプロセスの一部としてセキュリティのベストプラクティスを重視するようになってきており、このステップを解明し、セキュリティチームとその他の人々との間のギャップを埋めています。前にも述べたように、開発者が最初から安全なコードを書けるようにするには、まだまだ長い道のりがあります。しかし、DevOpsの方法論をうまく導入することは、開発チーム内でセキュリティ・スキルを構築するための優れた基盤となります。
自動化がすべてではありません(そして、最も安全ではありません)。
DevOpsのもう一つの特徴は、ソフトウェア開発プロセスをある程度自動化することです。継続的インテグレーションと継続的デリバリ(CI/CD)の原則は、このコンセプトの基礎であり、推測できるように、非常にツールに依存しています。
ツールは素晴らしいものです、本当に。ツールは、コードリポジトリ、テスト、メンテナンス、ストレージの各要素を比較的シームレスに管理することで、ソフトウェア開発プロセスにかつてないスピードをもたらします。
しかし、いつかはロボットが私たちの仕事を奪い、私たちを投獄するかもしれませんが、まだそこまでには至っていません。ツールや自動化への依存度が高いと、エラーの余地が大きくなります。スキャンやテストではすべてを発見できないかもしれませんし、コードがチェックされないかもしれません。そうなると、セキュリティはもちろんのこと、品質面でも大きな問題となります。攻撃者は、データを盗むためのバックドアを1つ開けさえすればいいのですから、品質とセキュリティの管理に人間の要素が欠けていると、悲惨な結果になりかねません。
ハッピーミディアム」とは、人とツールのバランスをとることです。ツールは、プロジェクトの目標を達成するために、信頼できるチームのアシスタントとしての役割を果たすべきです。そうすべきです。
- 選択したDevOpsツールチェーンに慣れるための十分な時間を確保する。
- 効果的なコラボレーションに焦点を当てる(ツールがどのようにそれをサポートするかについても
- スキルや知識、ツールなど、プロセス上のギャップを解消する。
要するに、ただ「道具をそろえる」だけではダメだということです。
DevOpsはバズワードではなく、文化です。あなたは自分の文化を育てていますか?
チェンジマネジメントは、最高の状態では困難です。
「DevOpsをやろう」と言ってオペレーションチームのデスクを移動させただけでは、魔法のようにプロセスを成功させることはできません。多くの人が混乱し、長く働いているメンバーは不満を感じているでしょう。期待されていることを伝えることは、"歩く "ことと同様に重要です。DevOpsは開発手法と同様に文化的なムーブメントであり、チームはクロスファンクショナルでコラボレイティブなマインドセットを実践しなければなりません。
優れたDevOps文化とはどのようなものでしょうか?
- リーダーだけでなく、個人にも専門知識を提供する権限が与えられている
- チーム間のオープンで、正直で、尊敬に満ちたコミュニケーション
- 開発プロセスに品質とセキュリティを組み込むという全体的な目的に対して、各担当者が責任を持つ
- ビジネスにおけるDevOpsの定義、ロードマップ、各人の役割のhow/what/whyについて、全員が同じ見解を持っています。
私は長年にわたり、開発チームにおいて積極的なセキュリティ文化を構築することの重要性を強調してきましたが、それはDevOpsも同様です。
セキュリティのベスト・プラクティスを達成し、発見された脆弱性を減少させ、データ保護の重要性にチームの目を向けさせるには、適切なツール、知識、サポートが不可欠です。DevOpsでは、ポジティブな変化のための文化的基盤を築く必要があります。つまり、全員が自分の役割、価値、期待、プロジェクト全体の目標、プロセスのステップを理解できるようにしなければなりません。
それはマスターしていますか?素晴らしいですね。次は、針を移動させ、セキュリティ面を強化して、DevSecOpsをソフトウェア・エクセレンスのための究極のプランにしましょう。
以下のリンクをクリックし、この資料のPDFをダウンロードしてください。
Secure Code Warrior は、ソフトウェア開発ライフサイクル全体にわたってコードを保護し、サイバーセキュリティを最優先とする企業文化を創造するために、お客様の組織を支援します。AppSec マネージャー、開発者、CISO、またはセキュリティに関わるすべての人が、安全でないコードに関連するリスクを減らすことができるよう、支援します。
レポートを見るデモを予約する
最高経営責任者(CEO)、会長、および共同設立者
Pieter Danhieuxは、セキュリティコンサルタントとして12年以上の経験を持ち、SANSの主席講師として8年間、組織、システム、個人をターゲットにしてセキュリティの弱点を評価する方法に関する攻撃的なテクニックを教えている、世界的に有名なセキュリティエキスパートです。2016年には、オーストラリアで最もクールな技術者の一人として認められ(Business Insider)、Cyber Security Professional of the Yearを受賞(AISA - Australian Information Security Association)、GSE、CISSP、GCIH、GCFA、GSEC、GPEN、GWAPT、GCIA認定を保有している。
この記事は以下のサイトに掲載されました。 DevOps.com.更新され、修正されています。
ブロックチェーン」、「ビッグデータ」、「デジタル・ディスラプション」などと同様に、「DevOps」という言葉も、現在、大企業のIT部門で飛び交っているバズワードの一つです。
多くの人が、ソフトウェア開発ライフサイクルの短縮化の必要性を(正しく)認識しています。ビジネス目標に密接に沿った、より正確なプロセスにより、開発チームと運用チームの間で明確なワークフローとコラボレーションが可能になります。DevOpsは本質的に「アジャイル」な開発であり、常に革新的で迅速な展開を行う現代のビジネスのニーズに対応するために成長したものです。セキュリティの専門家にとっても、DevOpsは素晴らしい取り組みです。プロセスにセキュリティを導入することで、バグ修正のコストを削減し、将来起こりうる大惨事を回避することができます。
問題は、DevOpsの導入で本当に成功している企業が少ないことです。ビジネス全体で適切なサポート、育成、理解が得られなければ、すぐに「白い象」のような存在になってしまいます。
では、何が問題なのでしょうか?これは興味深い議論ですが、DevOpsをより円滑に進めるためのアプローチ方法がいくつかあります。効果的なプログラムは、いくつかの派手な新しいツールや肩書き、チームミーティングを超えたものです。常に簡単というわけではありませんが、時間をかけて壊れた戦略を修正する(あるいは最初から正しい方法で導入する)ことは、長い目で見ればはるかに苦痛が少ないはずです。そして最終的には、より高品質で安全なソフトウェアを生み出すことになるでしょう。
それを分解してみましょう。
アジャイル」というエプロンの紐を手放してください。
組織はアジャイルかDevOpsのどちらかを選ばなければならず、どちらかの道に進み、後戻りはできないという誤解があります。実際には、両方を考慮し、1つのものとして実装したときに、開発プロセスは最もうまく機能します。DevOpsは、アジャイル開発の再発明ではなく、むしろその延長線上にあります。プロセスがアジャイルと全く同じであるか、アジャイルとは全く異なるものであるかという期待があると、歯車が狂いがちになります。
アジャイルは、デザイナー、テスター、開発者が最初から一緒に仕事をするクロスファンクショナルチームの原則を支持し、プロジェクト全体を通してオープンなコミュニケーションラインを約束します。アジャイルの目的は、サイロ化したデリバリーを止め、二重処理を減らすことですが、これはDevOpsプロセスの利点でもあります。しかし、DevOpsはさらに一歩進んで、システム、セキュリティ、オペレーションをミックスして、お客様に完全で機能的なソフトウェアを提供することを最終目標とした、堅牢でエンドツーエンドなスキルセットを提供します。
よりDevOpsを中心としたプロセスに移行する際に避けられない苦痛の中で、サイロ化した開発のリスクが再び浮上することがあります。元々のアジャイルチームが一緒に仕事をしていても、セキュリティやオペレーションの担当者がまだ機械の中に入っていないことがよくあります。
DevOpsは、明確に定義された目的、部門を超えたオンボーディング、すべての関係者との直接的なコミュニケーションなしには機能しません。慎重な変更管理を必要とする調整期間があるのは確かですが、DevOps機能がもたらす機能強化について全員が同じ見解を持つことは、戦いの半分です。
最近では(ありがたいことに)、DevOpsはプロセスの一部としてセキュリティのベストプラクティスを重視するようになってきており、このステップを解明し、セキュリティチームとその他の人々との間のギャップを埋めています。前にも述べたように、開発者が最初から安全なコードを書けるようにするには、まだまだ長い道のりがあります。しかし、DevOpsの方法論をうまく導入することは、開発チーム内でセキュリティ・スキルを構築するための優れた基盤となります。
自動化がすべてではありません(そして、最も安全ではありません)。
DevOpsのもう一つの特徴は、ソフトウェア開発プロセスをある程度自動化することです。継続的インテグレーションと継続的デリバリ(CI/CD)の原則は、このコンセプトの基礎であり、推測できるように、非常にツールに依存しています。
ツールは素晴らしいものです、本当に。ツールは、コードリポジトリ、テスト、メンテナンス、ストレージの各要素を比較的シームレスに管理することで、ソフトウェア開発プロセスにかつてないスピードをもたらします。
しかし、いつかはロボットが私たちの仕事を奪い、私たちを投獄するかもしれませんが、まだそこまでには至っていません。ツールや自動化への依存度が高いと、エラーの余地が大きくなります。スキャンやテストではすべてを発見できないかもしれませんし、コードがチェックされないかもしれません。そうなると、セキュリティはもちろんのこと、品質面でも大きな問題となります。攻撃者は、データを盗むためのバックドアを1つ開けさえすればいいのですから、品質とセキュリティの管理に人間の要素が欠けていると、悲惨な結果になりかねません。
ハッピーミディアム」とは、人とツールのバランスをとることです。ツールは、プロジェクトの目標を達成するために、信頼できるチームのアシスタントとしての役割を果たすべきです。そうすべきです。
- 選択したDevOpsツールチェーンに慣れるための十分な時間を確保する。
- 効果的なコラボレーションに焦点を当てる(ツールがどのようにそれをサポートするかについても
- スキルや知識、ツールなど、プロセス上のギャップを解消する。
要するに、ただ「道具をそろえる」だけではダメだということです。
DevOpsはバズワードではなく、文化です。あなたは自分の文化を育てていますか?
チェンジマネジメントは、最高の状態では困難です。
「DevOpsをやろう」と言ってオペレーションチームのデスクを移動させただけでは、魔法のようにプロセスを成功させることはできません。多くの人が混乱し、長く働いているメンバーは不満を感じているでしょう。期待されていることを伝えることは、"歩く "ことと同様に重要です。DevOpsは開発手法と同様に文化的なムーブメントであり、チームはクロスファンクショナルでコラボレイティブなマインドセットを実践しなければなりません。
優れたDevOps文化とはどのようなものでしょうか?
- リーダーだけでなく、個人にも専門知識を提供する権限が与えられている
- チーム間のオープンで、正直で、尊敬に満ちたコミュニケーション
- 開発プロセスに品質とセキュリティを組み込むという全体的な目的に対して、各担当者が責任を持つ
- ビジネスにおけるDevOpsの定義、ロードマップ、各人の役割のhow/what/whyについて、全員が同じ見解を持っています。
私は長年にわたり、開発チームにおいて積極的なセキュリティ文化を構築することの重要性を強調してきましたが、それはDevOpsも同様です。
セキュリティのベスト・プラクティスを達成し、発見された脆弱性を減少させ、データ保護の重要性にチームの目を向けさせるには、適切なツール、知識、サポートが不可欠です。DevOpsでは、ポジティブな変化のための文化的基盤を築く必要があります。つまり、全員が自分の役割、価値、期待、プロジェクト全体の目標、プロセスのステップを理解できるようにしなければなりません。
それはマスターしていますか?素晴らしいですね。次は、針を移動させ、セキュリティ面を強化して、DevSecOpsをソフトウェア・エクセレンスのための究極のプランにしましょう。
始めるためのリソース
Secure Code Warrior corporate overview
Secure Code Warrior is an AI Software Governance platform designed to enable organizations to safely adopt AI-driven development by bridging the gap between development velocity and enterprise security. The platform addresses the "Visibility Gap," where security teams often lack insights into shadow AI coding tools and the origins of production code.
セキュアコード・トレーニングのトピックと内容
Our industry-leading content is always evolving to fit the ever changing software development landscape with your role in mind. Topics covering everything from AI to XQuery Injection, offered for a variety of roles from Architects and Engineers to Product Managers and QA. Get a sneak peek of what our content catalog has to offer by topic and role.
始めるためのリソース
Observe and Secure the ADLC: A Four-Point Framework for CISOs and Development Teams Using AI
While development teams look to make the most of GenAI’s undeniable benefits, we’d like to propose a four-point foundational framework that will allow security leaders to deploy AI coding tools and agents with a higher, more relevant standard of security best practices. It details exactly what enterprises can do to ensure safe, secure code development right now, and as agentic AI becomes an even bigger factor in the future.
