第二点做你所说的事,这个方面Rational提供了很多开发的工具和开发的平台,帮你做事情可以做得比较轻松一点,不要给开发人员增加太大的负担,让开发人员理解法律法规不太可能的事情。要把遵规的过程自动化和流程化,不自觉地就遵规了。我画出一个图,一个开发人员做日常开发的时候,用UCM的方式进行开发的时候,首先第一步选择开发的活动,第二步检出并修改文件,然后编译和链接,然后测试变化,然后检入变化。这个周期花费了很多的时间做了这个东西,然后可以帮助他做审计。这个简单的过程里面,修改某一个缺陷到底动了哪些文件和版本。这个东西不自觉地被工具记录下来。跟我们写日记一样,实际上挺痛苦的,每天要回顾今天所干的事情,但是如果坚持下去的话,不自觉地写日记的话,对你的帮助很大。其实Clear Quest、Clear Cast你今天工作了一天你很容易找到,你可以看到你做了多少。也是一个写日记的过程,是一个帮助你做遵规的过程。
我们看到这张图从交付的角度来说,实际上交付给客户的到底是什么呢,甲方会怀疑你给我的什么东西,以前做得很粗放,搞一个大包送上来,如果遵规的话很严格你这个可执行文件给我的怎么出来的,你做出来的什么时间。然后这个里面的内容包含了哪些工件,最终你这个里面包含哪些功能,哪些文件和版本的变化,如果软件开发可以做到一个逆推的过程的话,可以做任何审计。不要老是想着正向推,如果出事的话要逆推找这个原因,现在没有客户没有办法说清楚在系统上跑的什么版本,但是逆推可以保证你的可追踪性。这个方面有很多的产品,Rational有很多产品可以帮助你做到可逆推的逆倒性。
最后看看Rational的方案,从沟通的高层来进行管理,从战术层面上,变更和发布管理,质量控制架构方面的控制,还有细节的工件层面进行控制管理。在软件交付平台,Rational的覆盖程度很广,你在企业里面做遵规,这个方面改进的时候,一定要选择一个适合自己的开发过程,不要生搬硬套的去CMMI也好,或者Six Sigma也好。第一步可以做拿来主义,第二步要根据自身的情况做定制,你定制好要按照这个方向去做,不断改进。Rational可以给你提供很好的支持平台和方法。那么从遵规的整个方案来说,IBM遵规是很庞大的方案,今天我们讲的方案只是侧重在应用的开发部署和监控的,如果你对IT的运行管理、信息管理,业务的监控这个方面感兴趣的话,IBM和其他的软件部门可以帮助你来做,IBM有五大软件功能,实际上针对五个不同的领域进行不同的解决方案。
那么Rational的整张图可以看到,从战略层面上,从战术层面上,团队的协作上,以及每一种决策的支持上,有很多的工具,很多的方法可以支持。我觉得对大家最有利的是基于开放的平台,很多的公司,第三方的工具可以放在我们的平台里面去。我想提的最近的一个变化,我们刚刚收购一家企业,这家企业在做安全性测试,以前测试好了,用户接收测试,然后就上线了,但是在遵规的背景之下,当然看到遵规跟你的私密性,都有很多的关系,导致很多的系统出现了这个方面的问题,容易遭受攻击,个人资料被剽窃了。前不久出现一个网络问题,银行的网络系统被攻击了,发现个人的身份证号,密码都出现了。跟你的外部系统的安全性有很大的关系,所以Rational最近收购的这家企业专门做安全性测试的,你的应用系统是否具备了抗干扰性、抗攻击性。我们很多的网民系统,最后的有一个认证号的地方可以分析出来,可能受到黑客的攻击,然后有不同的参数测试。告诉你的URL不要这么些等等。这些Rational的产品,有一个非常强的安全性和遵规测试,特别是基于外部的系统,一般的应用系统有两个组件可以扫描你的系统里面是否有攻击的部分,特别是你的外部系统,我们不停地向这个方向做努力。
最后我们看看整个Rational产品线的整个的可跟踪性怎么可以做到的。从一开始的业务线上,从需求管理开始,到你的提案的提出,基于提案做提案的审核,然后做投资回报的分析,最后做批准。然后做资源的组成开发团队。这条业务线都是有产品来覆盖的,比如说Rational Portfolio manager做项目管理的,会跟我们的有集成关系,然后在?进行追踪,还有针对需求的变更,然后进一步跟源代码进行关联,然后进行构建脚本,然后进入应用系统,然后进行发布。燃烧这些产品之间都是告诉可以集成的,然后进行测试,然后把测试结果保持在Clear Quest进行追踪和部署,从而把整个脉络梳理清楚。如果大家要关心一下遵规更多的东西,我们有两门培训课程,还有一本非常好的红皮书希望大家可以阅读,还有药品检查的方面。
给大家介绍一个案例,就要福特,每年投入IT方面20亿美金,按照IT服务业ITIL的方法进行投入。很遗憾他没有通过审计,发现他违规的地方上千。尽管照着ITIL去做的话,发现很多的方面不符。在投产方面缺乏职责分立,类似的这种情况很多。缺乏可审计和可跟踪性,谁,什么,为什么,哪儿,这些方面做的很差。通过Rational的应用,有4000个应用最后120个审查通过认证和审计。然后做到一个三权分立,开发人员,构建经理,部署经理,他们之间互相牵扯还有一个互相的关系。具体的审计和负责工具,开发组长签署变更,构建管理员,保证构建可以进行QA,可以部署到生产,一切环节做到职权分立,做到签署和可追踪。那么客户这边有这么一个决策,专门负责遵规方面的,得到的结果是你可以承受的方式通过审计,付出了很大的代价。但是至少是买了Rational的东西,通过审计。对应用开发部门,按照ITIL的原则进行了职责化,可以保证一个安全的生产环境。具体的控制方法,关键在工作流程中有三个关键控制点,第一点控制由开发组长来进行控制,把什么样的开发成果放在一个共享集成区里面去,要签字的。比如说上面面对上百开发人员,但是最后要集成起来,这个权限在开发组长那儿,是他负责。也许具体做事情的人是集成人员,做合并的人员,这个要负责对他的变化的审批。所以说对于共享区、集成区里面的内容,如果说我上回交错了,再交一遍的话,不是你想就可以,需要通过他的审批。第二控制点由构建管理员进行控制,所有参与构建的对于都会被加入版本控制,我只相信版本控制那条基线的内容,其他人给的任何传输的介质都不相信。因为那个东西是开发组长来负责的,中间不要任何干扰。否则一些非常细小的东西,可能产生不可预期的后果。第三我通过控制之后叫QA Ready,可以进行测试,在部署的时候,由发布管理员进行控制的,如果没有被置成QA Ready则不允许进入QA环境,如果所提交的基线没有被置为Prod Ready的话就不允许通过。这是刚才实施过程的一个具体的做法。平时的开发活动有一个活动的实体进行跟踪和控制,一旦发生变更的话,有一个严格的变更处理过程,部署的时候部署包有自身的生命周期。几个方面有千丝万缕的转移的关系,我看到一个实体的状态的时候可以判断出来处于一个什么阶段,归谁负责。比如说放在这儿的时候,归谁负责,谁来签署以及这个传递的过程,从它到这儿的时候谁来传递,有一个非常强的流程化的控制。其实你日常生活当中,日常开发中不知不觉在遵守某种规定,变成习惯了,习惯成自然了,自然会产生效率。我们要正面看待遵规的问题。当然Rational有很多全球的其他的成功的案例。
最后总结一下遵规管理对一些大型企业来说,对外的全球性的企业是势在必行的,包括IBM自身要遵守很多的规定。如果在座的是IBM的都知道,要求非常严格。包括正装的要求。最好的控制会产生最少的干扰。然后可以提供很好的IT治理的基础。如果想获得更多的案例、白皮书,大家可以上IBM的官方网站。
(c111)
|
服 务 CIO 推 进 信 息 化 
