程序员本应是信息时代流水线上的工人,但现在还是手工艺者,复杂系统甚至需要软件“艺术家”(架构师)。工业化消灭了手工业者,但信息化又催生了程序员一一这个世上仅存的最大的手工业群体。 在后工业化时代才诞生的这些手工业者,在夹缝中用工业时代之前的生产方式,建设着面向未来的信息高楼大厦。经常被取笑的程序员们, 跨了三个时代:在现代社会,用过去的生产方式和工具,打造未来世界。 From 《风向》豆瓣点评
能力成熟度模型集成 Capability Maturity Model Integration: CMMI
由卡内基梅隆大学提出的一种改进过程方法,目的是协助提升组织的绩效。把能力体系分为了五层:1.初始化;2.可管理;3.可定义;4.可度量;5.可改进。
《中国行业标准:研发运营一体化(DevOps)能力成熟度模型 第3部分:持续交付》
由中国信息通信研究院组织起草的行业参考标准,完整的标准有以下部分:总体架构、敏捷开发管理、持续交付、技术运营、应用设计、安全及风险管理、评估方法、系统和工具技术要求。
CI/CD能力评级里面有个TTM指标很重要,所以怎么实现“实现从需求到部署发布各个环节的相关全部信息的全程可追溯”也就意味着“TTM”的可度量。
麦肯锡 软件开发人员效率评估
[ThoughtWorks Maturity Model]
ThoughtWorks基于CMMI模型能力成熟度做了更多的一些探索。
-The Agile Maturity Model -The Security Maturity Model
Snyk
Synk在做安全开源安全状况调查采用了问卷调查,问卷的构成:安全工具、供应链、人工智能与自动化、漏洞、修复;
以安全流程组织应用问题为例,会有明确的选项,如:软件组成分析(SCA)、静态代码分析(SAST)、自动化包管理、以上都不是等选项。
当问卷被填写回收后再整体对问卷进行汇总总结。
Snyk 2023年开源安全状况
OpenSSF Scorecard
帮助开源维护者评估改进安全最佳实践以及帮助开源消费者判断依赖是否有风险。
在最佳实践徽章计划,徽章有:黄金徽章、白银徽章、通过徽章三种。每个奖牌都有不同的标准要求,具体标准可以看规则定义详情,每个标准都有三个类别:MUST|SHOULD|SUGGESTED。
OpenSSF对工具体系能力评级有一个统计标准,每个级别的标准要求有一定的区分度。
SLSA(Supply-chain Levels for Software Artifacts)
业界制定的供应链安全规范。将安全级别定义为4个级别(Level 0~3) 详情。
DORA
十多年来,DORA 一直在研究高绩效技术驱动团队和组织的能力、实践和衡量标准。 DORA的研发调查问卷中的评估指标选项是自己定义的。
DevOps 4 Key Metrics
前置时间(或交付周期)、部署频率、部署失败率和线上失败恢复时长。
