目录
一、度量指标概述
1.1 概述
二、度量指标内容介绍
2.1 指标概览
2.1.1 指标概览说明
2.1.2 指标概览图
2.1.3 指标概览图说明
2.2 必选指标
2.2.1 必选指标含义说明
2.2.2 必选指标内容
2.3 可选指标
2.3.1 可选指标含义说明
2.3.2 可选指标内容
一、度量指标概述
1.1 概述
介绍完DevSecOps成熟度模型,接下来来了解一下DevSecOps的度量指标。任何一家企业,当开始规划DevSecOps,推动DevSecOps在企业落地时,一定是通过管理流程和组织承载让DevSecOps相关的具体任务与管理指标保持一致,以运营管理的方式跟踪任务进度,以促进目标的达成。这其中,就需要用到DevSecOps度量指标。
二、度量指标内容介绍
2.1 指标概览
2.1.1 指标概览说明
DevSecOps的度量指标主要包含必选指标和可选指标两类,它们覆盖DevSecOps体系落地时涉及的组织、流程、技术等方面。通过指标的拟定和过程跟踪可以持续地推进企业DevSecOps体系建设水平的提升。
DevSecOps体系建设覆盖企业研发的方方面面,所以在制定指标时,既包含 DevSecOps平台建设的指标,也包含DevSecOps体系落地的指标。平台建设的指标主要面向 DevSecOps 管理组织内部 ,用于支撑体系落地,为参与DevSecOps体系建设中的非安全角色提供平台赋能;体系落地的指标更多的是面向研发组织 ,用于管理研发组织的各个角色是否将DevSecOps管理策略落实到软件项目研发过程中去。
为了便于描述,这里将整个DevSecOps体系建设看作一个项目,软件研发过程管理和DevSecOps平台建设是这个项目的业务需求。此时,其总体流程和涉及的指标则如下图所示。
2.1.2 指标概览图
2.1.3 指标概览图说明
从上图中可以看出,每一个不同的组织或角色,关注的指标是不尽相同的。 DevSecOps管理组织由企业中高层人员组成,他们的安全目标是关注于DevSecOps体系建设的整体情况,如DevSecOps成熟度、DevSecOps组织覆盖率、安全成本下降率、安全效率提升率等; 研发组织是DevSecOps体系落地的主要执行单元,他们主要关注的有漏洞发现时长、漏洞修复时长、一次性测试通过率、自动化率、缺陷率、修复率等;运维组织主要关注于上线发布和线上运维相关的指标,如部署成功率、部署耗时时长、线上问题发现平均时长、线上问题闭环率、线上问题平均修复时间等;而 DevSecOps平台建设的安全组织更关注于平台的本身,如平台SLA可用性承诺(是99.9%还是99.99%)、扫描失败率、平均故障恢复时间MTTR等。这些不同的指标,一起构成了DevSecOps度量指标的全部。
2.2 必选指标
2.2.1 必选指标含义说明
这里必选指标的含义是指在DevSecOps体系建设过程中,强烈建议企业管理者采纳这些指标,而不是指必须选择的指标,毕竟对每一个企业来说,企业内部的实际情况不一样,DevSecOps体系建设的成熟度水平也不一样,也就无法强制所有的企业制定同样的指标。
2.2.2 必选指标内容
就必选指标而言,其主要的指标项内容如下表所示:
以上指标从研发组织、运维组织、DevSecOps平台建设、DevSecOps管理组织四种角色简要地归纳了强烈推荐的度量指标。在实际使用中,建议大家根据企业的自身情况,明确指标的定义,且和相关干系人达成一致后开始实施。
2.3 可选指标
2.3.1 可选指标含义说明
之所以定义可选指标,是因为某些指标是随着DevSecOps体系建设的成熟度不断变化的,或者说某些指标只是在其中某一个阶段存在,只是作为可选项。
2.3.2 可选指标内容
与必选指标相比,常用的可选指标要多且复杂,如下表所示:
这些指标在一定程度上,反映出某个组织在某个阶段或DevSecOps活动的运营情况,通过定义正向的指标,也可以定义一些反向的指标,一同来审视DevSecOps体系建设开展的健康状态,以便及时纠偏,持续改进。
当然,这些指标的名称和含义,读者在使用中也需根据企业的实际情况拟定所需要的指标。同时,需要注意的是指标与指标之间有一定的相关性,防止指标冲突带来的考核结果的偏差。例如,对安全检测工具来说,是希望在应用程序发布前尽可能地发现安全缺陷,则发现的安全缺陷总数可以作为一个考核指标。如果同时增加了安全培训的指标,当开发人员通过安全培训后编码能力获得了提升,应用程序中漏洞下降明显。这时候,还是用发现的安全缺陷总数来衡量安全检测工具的可靠性显然是不合理的。这是读者在设计指标时需要关注的点。
好了,本次内容就分享到这,欢迎大家关注《DevSecOps》专栏,后续会继续输出相关内容文章。如果有帮助到大家,欢迎大家点赞+关注+收藏,有疑问也欢迎大家评论留言!
