DevOps Handbook中DevOps三步工作法原则的核心内容

 

（1）流动原则（效率） – 使得工作能够在价值流中，从左到右快速流动；

（2）反馈原则 （质量）- 使得工作从右到左每个阶段能够快速、持续反馈；

（3）持续学习与创新原则 – 建立高度信任文化、不断尝试，不断成长进步；

第一步：流动原则

可视化: 通过看板，让研发工作可视化。

限制在制品数量: 在制品，在技术价值流中指的是待实现的需求、待修复的缺陷。限制工程师正在进行的工作量，可减少“认知切换”带来的不可见成本。

减小批量大小: 减小批量大小，如使用单件流，可以减少前置时间，快速发现问题，减少问题导致的损失。

减少交接次数:

把能自动化的工作尽量自动化，避免因为交接过程中的沟通、等待、协调等原因导致前置时间加长。

第二步：反馈原则

反馈机制:当每个工序的操作都能被度量和监控时，就能快速发现和修复缺陷。

比如通过自动化测试，监控新的变更是否影响原有的功能。

立刻解决问题: 立刻解决问题能避免问题被带到下游，避免修复成本增加。

在源头保证质量: 需要所有人为自己的工作质量负责，而不是某个部门。

第三步：持续学习与创新原则

避免事故复发的关键，就是消除恐惧、从而避免因为恐惧导致问题被隐瞒。实践 DevOps ，要鼓励创新，调查事故根本原因、共同承担责任。

在实践 DevOps 的组织中，领导者和员工需要共同努力，领导者要帮助和辅导员工进行不断的尝试，通过尝试改进方法流程，总结经验。

 

我们也可建立DevSecOps对应的三步工作法：

第一步：建立安全工作流

传统上，安全经常被定义为一系列宏大，事无巨细但无法实现的任务，试图发现所有风险，解决所有问题。例如，编写一套全面的安全需求，设计一个全面的安全架构，执行一个全面的安全测试，等等……。

在DevOps环境下，使得我们要将这项工作分解成小块，这样我们就可以随着时间的推移不断的提高安全性，而不是试图一次完成所有事情。通过使安全工作对每个人都可见，可以将其作为正常开发过程的一部分进行优先级排序、度量和分配。DevSecOps最简单的一个循环是：先确定最关键的安全挑战，再制定并采取针对性的预防性措施, 然后自动化该预防措施的安全测试，最后进行监视和防御攻击。随着时间的推移，通过以上循环的不断迭代，我们的安全自动化流水线会逐步强化，应用程序的安全都会变得越来越强。

 

第二步：建立安全反馈机制

安全性问题是导致技术债务的最常见原因之一，随着时间的累积，修复安全问题的成本会急剧增加。我们如何保证安全工作正常进行?
为了避免这种常见的陷阱，组织应该尽可能地自动化安全性流程，通过工具向团队成员进行实时的反馈，安全反馈机制必须考虑没有完整安全专业知识的开发人员、测试人员和运维人员，确保他们能够看得懂。
DevSecOps流水线是一组工具和流程，它们在代码编写、集成、测试、部署和运行过程中持续执行安全工作。这实际上只是DevOps管道的一个面向安全的视图，但是单独查看这个安全层很有用。下面的反馈循环显示了漏洞和攻击的即时反馈，这些反馈通过他们已经使用的工具提供给需要它们的团队。

第三步：构建组织安全文化

在不少公司，安全团队，开发团队和业务团队都是在一种不信任，不配合，不理解的氛围中工作，安全经常被看作交付的障碍。这阻止了安全人员和其他团队的合作。我们如何创造一种安全的文化呢？

DevSecOps文化的关键是确保安全的责任直接落在开发团队身上。如果安全团队负责安全，其他人就不会做他们的工作。安全专家应该将自己转变为安全教练和工具专家，并尽可能专注于培训和提高安全的自动化水平。
在DevSecOps中，组织努力实践“阳光下的安全”，并将漏洞和攻击视为改进安全的机会。