摘要：為應(yīng)對(duì)快速變化的市場(chǎng)需求，越來(lái)越多的企業(yè)將DevOps理念引入軟件研發(fā)，從而加快軟件迭代速度，提升交付質(zhì)量，但往往忽視了軟件安全。究其原因，是企業(yè)研發(fā)團(tuán)隊(duì)架構(gòu)設(shè)置不合理，研發(fā)團(tuán)隊(duì)與安全團(tuán)隊(duì)溝通低效甚至相互對(duì)立，無(wú)法兼顧效率與安全。以中國(guó)國(guó)家鐵路集團(tuán)有限公司（以下簡(jiǎn)稱“中國(guó)鐵路”）為例，分析鐵路企業(yè)研發(fā)現(xiàn)狀和面臨的問(wèn)題，基于認(rèn)知負(fù)荷理論和康威法則提出鐵路企業(yè)軟件研發(fā)團(tuán)隊(duì)架構(gòu)及協(xié)同方式。該架構(gòu)在中國(guó)鐵路本級(jí)和部分鐵路局得到驗(yàn)證，為鐵路企業(yè)數(shù)字化轉(zhuǎn)型提供支撐。

關(guān)鍵詞：開(kāi)發(fā)安全運(yùn)維一體化；軟件安全；團(tuán)隊(duì)拓?fù)?；認(rèn)知負(fù)荷；康威法則

0 引言

隨著企業(yè)數(shù)字化轉(zhuǎn)型不斷深入，企業(yè)發(fā)展和創(chuàng)新對(duì)軟件的質(zhì)量和迭代速度要求越來(lái)越高。敏捷開(kāi)發(fā)和開(kāi)發(fā)運(yùn)維一體化理念被提出以來(lái)，以互聯(lián)網(wǎng)公司為代表的企業(yè)致力于打造自己的DevOps團(tuán)隊(duì)，通過(guò)工程化的方法加速軟件迭代，快速向用戶交付價(jià)值。與此同時(shí)，應(yīng)用軟件尤其是Web應(yīng)用面臨的安全威脅日益嚴(yán)峻。針對(duì)應(yīng)用軟件漏洞的攻擊事件頻發(fā)，造成了企業(yè)數(shù)據(jù)泄露、拒絕服務(wù)等后果。國(guó)家信息安全漏洞共享平臺(tái)（CNVD）公開(kāi)數(shù)據(jù)顯示，超過(guò)90%的軟件安全漏洞與研發(fā)過(guò)程中缺少安全管理有關(guān)。因此，軟件開(kāi)發(fā)需要在全生命周期中融入安全管理，探索開(kāi)發(fā)安全運(yùn)維一體化的軟件開(kāi)發(fā)新模式。

1 鐵路企業(yè)研發(fā)團(tuán)隊(duì)現(xiàn)狀

中國(guó)鐵路以鐵路客貨運(yùn)輸為主業(yè)，實(shí)行多元化經(jīng)營(yíng)［1］。中國(guó)鐵路日常運(yùn)行的各種信息系統(tǒng)數(shù)量眾多，覆蓋戰(zhàn)略決策、經(jīng)營(yíng)開(kāi)發(fā)、運(yùn)輸生產(chǎn)、資源管理、建設(shè)管理和綜合協(xié)同六大領(lǐng)域［2］。中國(guó)鐵路軟件研發(fā)團(tuán)隊(duì)分散于各所屬企業(yè)，形成“1+18”（中國(guó)鐵路本級(jí)+18個(gè)鐵路局）架構(gòu)。其中，中國(guó)鐵路本級(jí)軟件研發(fā)團(tuán)隊(duì)約3000人，主要承擔(dān)中國(guó)鐵路范圍內(nèi)共用的大型信息系統(tǒng)和平臺(tái)級(jí)系統(tǒng)的研發(fā)工作；各鐵路局軟件研發(fā)團(tuán)隊(duì)約2000人，主要承擔(dān)滿足鐵路局特性需求的信息系統(tǒng)研發(fā)，也參與部分中國(guó)鐵路系統(tǒng)的研發(fā)和建設(shè)。

在上述兩級(jí)研發(fā)團(tuán)隊(duì)成員中，前端、后端和全棧開(kāi)發(fā)工程師占絕大多數(shù)。服務(wù)于研發(fā)團(tuán)隊(duì)的專職測(cè)試人員和信息安全人員極度缺乏。團(tuán)隊(duì)間交流以項(xiàng)目組技術(shù)分享為主要方式，頻率以每周、每月或不定期居多。超過(guò)50%的團(tuán)隊(duì)采用無(wú)固定迭代周期的研發(fā)方式，只有30%的團(tuán)隊(duì)能夠把迭代周期控制在2～4周。絕大多數(shù)團(tuán)隊(duì)不了解云原生技術(shù)，只有少量團(tuán)隊(duì)將云原生技術(shù)應(yīng)用于生產(chǎn)系統(tǒng)。綜上所述，中國(guó)鐵路研發(fā)團(tuán)隊(duì)現(xiàn)狀如圖1所示。

2 現(xiàn)存問(wèn)題

根據(jù)調(diào)研結(jié)果的統(tǒng)計(jì)分析可知，中國(guó)鐵路研發(fā)團(tuán)隊(duì)現(xiàn)存以下4個(gè)問(wèn)題：

（1）團(tuán)隊(duì)結(jié)構(gòu)不合理，不能適應(yīng)當(dāng)前主流的軟件開(kāi)發(fā)模式。中國(guó)鐵路軟件研發(fā)團(tuán)隊(duì)在總體規(guī)模上與其他大型央企國(guó)企及一些中大型規(guī)模互聯(lián)網(wǎng)公司不相上下，但團(tuán)隊(duì)成員分工模糊，工種單一，缺乏復(fù)合型人才，對(duì)新的研發(fā)理念適應(yīng)性較弱。

（2）多地分散的研發(fā)團(tuán)隊(duì)容易形成技術(shù)孤島。中國(guó)鐵路研發(fā)團(tuán)隊(duì)分布在全國(guó)各地，各團(tuán)隊(duì)技術(shù)能力高低不同，技術(shù)棧選擇因地而異，導(dǎo)致研發(fā)的信息系統(tǒng)在技術(shù)架構(gòu)、中間件選型方面不統(tǒng)一，給企業(yè)帶來(lái)軟件安全隱患。

（3）公共性平臺(tái)團(tuán)隊(duì)支撐力量薄弱。中國(guó)鐵路缺少提供公共數(shù)據(jù)、中間件、開(kāi)發(fā)測(cè)試服務(wù)的平臺(tái)團(tuán)隊(duì)，不利于提升企業(yè)軟件研發(fā)質(zhì)量和效率。

（4）研發(fā)與安全脫節(jié)。大多數(shù)企業(yè)在研發(fā)過(guò)程中由于追趕進(jìn)度，極少讓安全人員介入，僅將安全管理作為事后查找漏洞的手段，無(wú)法從根本上解決軟件安全風(fēng)險(xiǎn)。

為解決上述問(wèn)題，需要對(duì)中國(guó)鐵路軟件研發(fā)團(tuán)隊(duì)結(jié)構(gòu)進(jìn)行設(shè)計(jì)，明確團(tuán)隊(duì)內(nèi)組成、各團(tuán)隊(duì)職責(zé)和溝通協(xié)作關(guān)系，從組織層面保證開(kāi)發(fā)安全運(yùn)維的相互融合。因此，基于S-SDLC和DevSecOps進(jìn)行軟件安全開(kāi)發(fā)實(shí)踐。

3 開(kāi)發(fā)安全運(yùn)維一體化實(shí)踐

3.1 S-SDLC

安全開(kāi)發(fā)全生命周期（Secure Software Development Lifecycle Project，S-SDLC）是OWASP組織提出的一套面向Web和APP開(kāi)發(fā)廠商的安全工程方法［3］，能夠幫助軟件企業(yè)降低安全風(fēng)險(xiǎn)，提升軟件安全質(zhì)量。S-SDLC理念源自微軟SDL［4］，最終目標(biāo)是幫助用戶減少安全問(wèn)題，并通過(guò)該方法提高項(xiàng)目總體安全級(jí)別。企業(yè)要實(shí)施S-SDLC，不能單靠傳統(tǒng)的信息安全部門或幾個(gè)網(wǎng)絡(luò)安全人員，而是需要與研發(fā)部門的各個(gè)環(huán)境深度結(jié)合，因此必須由公司領(lǐng)導(dǎo)層自上而下推行。

S-SDLC的人員角色配置是為了解決傳統(tǒng)軟件面臨的安全風(fēng)險(xiǎn)，通過(guò)引入安全編程規(guī)范、代碼掃描、安全測(cè)試，實(shí)現(xiàn)軟件安全質(zhì)量的提升。但是，在應(yīng)對(duì)云環(huán)境下所需要解決的深層次安全問(wèn)題（如技術(shù)棧、基礎(chǔ)組件、全鏈路加密、存儲(chǔ)方案等）時(shí)作用并不明顯。

3.2 DevSecOps

過(guò)程、方法與系統(tǒng)（Development amp; Operations，DevOps）是近年來(lái)被廣泛應(yīng)用的開(kāi)發(fā)模式。DevOps的核心思想是將開(kāi)發(fā)運(yùn)維一體化，快速推出產(chǎn)品進(jìn)行AB測(cè)試，通過(guò)數(shù)個(gè)版本的迭代，使產(chǎn)品變得成熟穩(wěn)定，同時(shí)也使產(chǎn)品功能變得豐富。在DevOps開(kāi)發(fā)模式下，傳統(tǒng)的S-SDLC流程顯得過(guò)于煩瑣，需要有適用于DevOps流程的S-SDLC，這也是DevSecOps［5］的由來(lái)。

與傳統(tǒng)的將安全團(tuán)隊(duì)和研發(fā)團(tuán)隊(duì)割裂的理念不同，DevSecOps強(qiáng)調(diào)開(kāi)發(fā)運(yùn)維安全團(tuán)隊(duì)融為一體，彼此共享知識(shí)、工具和技術(shù)，以促進(jìn)團(tuán)隊(duì)間的交流合作，從而在團(tuán)隊(duì)中建立安全文化，使每個(gè)人都為安全負(fù)責(zé)，發(fā)現(xiàn)和解決安全問(wèn)題不再是安全人員的獨(dú)有任務(wù)。DevSecOps金字塔如圖2所示。

對(duì)比以上兩種實(shí)踐方法，DevSecOps更加敏捷，強(qiáng)調(diào)團(tuán)隊(duì)協(xié)作、溝通和知識(shí)分享，并形成企業(yè)自由的安全文化，更適合解決鐵路企業(yè)軟件安全開(kāi)發(fā)面臨的問(wèn)題。

4 鐵路企業(yè)軟件研發(fā)團(tuán)隊(duì)結(jié)構(gòu)設(shè)計(jì)

4.1 設(shè)計(jì)原則

開(kāi)展鐵路企業(yè)軟件研發(fā)團(tuán)隊(duì)結(jié)構(gòu)設(shè)計(jì)時(shí)，應(yīng)充分考慮認(rèn)知負(fù)荷理論和康威法則中的基本原則。認(rèn)知負(fù)荷理論是指任何一個(gè)人或團(tuán)隊(duì)在給定時(shí)間內(nèi)能夠掌握的信息總量是有限度的，這個(gè)限度就是這個(gè)人或團(tuán)隊(duì)的認(rèn)知負(fù)荷［7］。如果團(tuán)隊(duì)被分配的工作模塊過(guò)多，將會(huì)使團(tuán)隊(duì)工作負(fù)荷過(guò)載導(dǎo)致效率低下。康威法則是馬爾文·康威于1967年提出的，即設(shè)計(jì)系統(tǒng)的架構(gòu)受制于產(chǎn)生這些設(shè)計(jì)的組織的溝通結(jié)構(gòu)。

認(rèn)知負(fù)荷理論對(duì)團(tuán)隊(duì)分工給出了基本原則，康威法則指出了軟件產(chǎn)品的結(jié)構(gòu)取決于研發(fā)團(tuán)隊(duì)的溝通結(jié)構(gòu)。因此，基于上述原則，本文提出一方面限制團(tuán)隊(duì)的認(rèn)知負(fù)荷，通過(guò)不同的團(tuán)隊(duì)類型及相互合作提升團(tuán)隊(duì)效率；另一方面，將安全成員同研發(fā)運(yùn)維成員組成復(fù)合團(tuán)隊(duì)，使產(chǎn)品具有安全屬性。

4.2 團(tuán)隊(duì)結(jié)構(gòu)設(shè)計(jì)

4.2.1 團(tuán)隊(duì)類型和協(xié)作設(shè)計(jì)

中國(guó)鐵路本級(jí)和各鐵路局均有軟件研發(fā)團(tuán)隊(duì)，區(qū)別在于中國(guó)鐵路本級(jí)研發(fā)團(tuán)隊(duì)規(guī)模大、技術(shù)能力強(qiáng)；鐵路局級(jí)研發(fā)團(tuán)隊(duì)規(guī)模較小，技術(shù)攻關(guān)能力較弱。同時(shí)，兩級(jí)組織可以被看作一個(gè)整體，本級(jí)團(tuán)隊(duì)有責(zé)任和義務(wù)對(duì)鐵路局級(jí)團(tuán)隊(duì)提供支撐服務(wù)。

將鐵路開(kāi)發(fā)安全運(yùn)維一體化團(tuán)隊(duì)分為4種類型：產(chǎn)品交付團(tuán)隊(duì)、賦能團(tuán)隊(duì)、平臺(tái)團(tuán)隊(duì)、復(fù)雜問(wèn)題團(tuán)隊(duì)［8］，以及三種協(xié)作關(guān)系。團(tuán)隊(duì)結(jié)構(gòu)示意圖如圖3所示。

產(chǎn)品交付團(tuán)隊(duì)面向特定的業(yè)務(wù)領(lǐng)域，職責(zé)清晰、目標(biāo)明確，持續(xù)性地向用戶交付產(chǎn)品或服務(wù)。

賦能團(tuán)隊(duì)由特定領(lǐng)域的技術(shù)專家組成。技術(shù)專家在各自所擅長(zhǎng)的領(lǐng)域開(kāi)展研究，整理最佳實(shí)踐方法，并提供工具、框架、技術(shù)選項(xiàng)給產(chǎn)品交付團(tuán)隊(duì)，不斷提升產(chǎn)品交付團(tuán)隊(duì)的能力，從而促進(jìn)客戶價(jià)值的交付。

平臺(tái)團(tuán)隊(duì)將一系列自動(dòng)化工具、自服務(wù)API、知識(shí)體系等應(yīng)用于企業(yè)內(nèi)部服務(wù)平臺(tái)，用于支撐產(chǎn)品交付團(tuán)隊(duì)快速進(jìn)行產(chǎn)品迭代，降低產(chǎn)品交付團(tuán)隊(duì)的認(rèn)知負(fù)荷。

復(fù)雜問(wèn)題團(tuán)隊(duì)面向?qū)W習(xí)曲線比較陡峭、人才培養(yǎng)周期較長(zhǎng)的問(wèn)題域。團(tuán)隊(duì)中大多數(shù)成員都是該領(lǐng)域的專家，能夠有效地幫助產(chǎn)品交付團(tuán)隊(duì)降低認(rèn)知負(fù)荷。

各團(tuán)隊(duì)之間存在的三種協(xié)作關(guān)系見(jiàn)表1。

4.2.2 團(tuán)隊(duì)組成及職責(zé)

產(chǎn)品交付團(tuán)隊(duì)由產(chǎn)品經(jīng)理、用戶體驗(yàn)工程師、架構(gòu)師、開(kāi)發(fā)和測(cè)試人員及安全倡導(dǎo)者組成。其中，安全倡導(dǎo)者是從開(kāi)發(fā)人員中遴選出來(lái)的、對(duì)安全實(shí)踐感興趣的人員，對(duì)其進(jìn)行必要的培訓(xùn)后，成為產(chǎn)品交付團(tuán)隊(duì)中負(fù)責(zé)解答安全問(wèn)題的π型人才。兼具產(chǎn)品研發(fā)能力和安全知識(shí)的安全倡導(dǎo)者為所在團(tuán)隊(duì)提供安全支持，將研發(fā)和安全無(wú)縫融合，避免獨(dú)立安全團(tuán)隊(duì)與研發(fā)團(tuán)隊(duì)之間形成相互對(duì)立的局面。

兩級(jí)組織可分別設(shè)置多個(gè)產(chǎn)品交付團(tuán)隊(duì)，每個(gè)團(tuán)隊(duì)負(fù)責(zé)獨(dú)立的產(chǎn)品或產(chǎn)品模塊。每個(gè)團(tuán)隊(duì)的規(guī)模不宜超過(guò)10人，遵循“兩個(gè)披薩原則［9］”。產(chǎn)品交付團(tuán)隊(duì)職責(zé)和人數(shù)定義見(jiàn)表2。

平臺(tái)可以為包括IaaS、PaaS、SaaS等在內(nèi)的一切為軟件研發(fā)提供公共支撐的基礎(chǔ)平臺(tái)。平臺(tái)團(tuán)隊(duì)角色包括主管、平臺(tái)運(yùn)維和平臺(tái)研發(fā)。平臺(tái)團(tuán)隊(duì)的價(jià)值可以通過(guò)向產(chǎn)品交付團(tuán)隊(duì)提供的服務(wù)來(lái)衡量，平臺(tái)團(tuán)隊(duì)成員人數(shù)一般為企業(yè)研發(fā)團(tuán)隊(duì)總?cè)藬?shù)的10%。平臺(tái)團(tuán)隊(duì)職責(zé)和人數(shù)定義見(jiàn)表3。

賦能團(tuán)隊(duì)分為兩個(gè)部分：DevOps賦能和安全賦能。DevOps賦能團(tuán)隊(duì)為產(chǎn)品交付團(tuán)隊(duì)快速迭代產(chǎn)品提供教練引導(dǎo)和技術(shù)支持，為產(chǎn)品交付團(tuán)隊(duì)提供通用的架構(gòu)、技術(shù)解決方案，降低產(chǎn)品交付團(tuán)隊(duì)的認(rèn)知負(fù)荷，提升產(chǎn)品迭代效率，同時(shí)提升企業(yè)研發(fā)標(biāo)準(zhǔn)。安全賦能團(tuán)隊(duì)從企業(yè)角度識(shí)別當(dāng)前面臨的安全風(fēng)險(xiǎn)，進(jìn)行安全分析建模和安全架構(gòu)設(shè)計(jì)。團(tuán)隊(duì)中的安全顧問(wèn)為產(chǎn)品交付團(tuán)隊(duì)中的安全倡導(dǎo)者提供專業(yè)的安全支持。賦能團(tuán)隊(duì)作為企業(yè)級(jí)團(tuán)隊(duì)，能夠支持多個(gè)產(chǎn)品交付團(tuán)隊(duì)。賦能團(tuán)隊(duì)職責(zé)和人數(shù)定義見(jiàn)表4。

隨著鐵路項(xiàng)目不斷邁向智能化，智能建造、智能裝備、智能運(yùn)營(yíng)使鐵路軟件研發(fā)越來(lái)越多地面臨音視頻分析、人臉識(shí)別、智能問(wèn)答、基礎(chǔ)設(shè)施故障預(yù)測(cè)與健康管理（Prognostics and Health Ma-nagement，PHM）等場(chǎng)景。具備深度學(xué)習(xí)、機(jī)器學(xué)習(xí)、數(shù)據(jù)分析的專業(yè)人員將成為復(fù)雜問(wèn)題團(tuán)隊(duì)的主力。復(fù)雜問(wèn)題團(tuán)隊(duì)職責(zé)和人數(shù)定義見(jiàn)表5。

4.2.3 與企業(yè)既有IT組織的關(guān)系

首席信息官（Chief Information Officer，CIO）是企業(yè)信息技術(shù)管理部門的最高管理者，配合CEO領(lǐng)導(dǎo)企業(yè)的數(shù)字化轉(zhuǎn)型［10］。中國(guó)鐵路的IT組織架構(gòu)中沒(méi)有CIO。因此，可以視中國(guó)鐵路和各鐵路局科技和信息化部的主管領(lǐng)導(dǎo)分別為中國(guó)鐵路本級(jí)CIO和鐵路局級(jí)CIO。涉及信息安全的方案、策略和事件，各級(jí)安全賦能團(tuán)隊(duì)需要向本企業(yè)CIO進(jìn)行匯報(bào)，接受CIO的直接領(lǐng)導(dǎo)，形成中國(guó)鐵路本級(jí)首席信息安全官（Chief Information Security Officer，CISO）、鐵路局級(jí)信息安全官（Business Information Security Officer，BISO）、安全顧問(wèn)、安全倡導(dǎo)者的溝通架構(gòu)。安全信息溝通架構(gòu)如圖4所示。

目前，主要的鐵路應(yīng)用系統(tǒng)基本實(shí)現(xiàn)了云化，但為了更好地支撐和服務(wù)鐵路應(yīng)用的云原生，正在組建“云卓越中心”?！霸谱吭街行摹币话惆ㄔ萍軜?gòu)師、解決方案架構(gòu)師、安全架構(gòu)師、云工程師、網(wǎng)絡(luò)工程師。DevOps賦能團(tuán)隊(duì)和安全賦能團(tuán)隊(duì)?wèi)?yīng)在云架構(gòu)解決方案方面與“云卓越中心”保持密切協(xié)作。

5 結(jié)語(yǔ)

中國(guó)鐵路開(kāi)發(fā)安全運(yùn)維一體化團(tuán)隊(duì)結(jié)構(gòu)設(shè)計(jì)充分考慮了企業(yè)研發(fā)團(tuán)隊(duì)構(gòu)成及兩級(jí)團(tuán)隊(duì)現(xiàn)狀，通過(guò)團(tuán)隊(duì)功能的劃分和溝通協(xié)作方式的設(shè)計(jì)，旨在解決當(dāng)前研發(fā)面臨的標(biāo)準(zhǔn)化缺乏、安全無(wú)介入、迭代周期不確定的問(wèn)題。企業(yè)研發(fā)團(tuán)隊(duì)架構(gòu)變革需要人員能力和制度的雙重保證，并通過(guò)長(zhǎng)期實(shí)踐得以不斷完善。

參考文獻(xiàn)

［1］武中凱.鐵路局集團(tuán)公司與非運(yùn)輸企業(yè)管理關(guān)系研究［J］.中國(guó)鐵路，2021（10）：29-34.

［2］任俊樺.大數(shù)據(jù)標(biāo)準(zhǔn)在鐵路信息化中的需求及應(yīng)用［J］.鐵道經(jīng)濟(jì)研究，2022（1）：41-44.

［3］顧先華，施勇，薛質(zhì).S-SDLC影響因素分析［J］.通信技術(shù)，2020，53（1）：225-229.

［4］任地成，王麗君，潘瑞.融入安全的軟件開(kāi)發(fā)方法SDL的研究［J］.計(jì)算機(jī)應(yīng)用與軟件，2010，27（7）：280-282，293.

［5］戴啟銘，毛潤(rùn)豐，黃璜，等.DevSecOps：DevOps下實(shí)現(xiàn)持續(xù)安全的實(shí)踐探索［J］.軟件學(xué)報(bào)，2021，32（10）：3014-3035.

［6］TOMAS N，LI J，HUANG H.An empirical study on culture，automation，measurement，and sharing of DevSecOps［C］.2019 International Conference on Cyber Security and Protection of Digital Services（Cyber Security），2019.

［7］龍玲.認(rèn)知負(fù)荷理論綜述［J］.新智慧，2018（6）：47-48.

［8］SKELTON M，PAIS M.Team topologies：organizing business and technology teams for fast flow［M］.Portland：IT Revolution，2019.

［9］姚恩育.什么樣的文化造就了他們？［J］.浙商，2017（15）：66-69.

［10］王新成，李垣.首席信息官、企業(yè)領(lǐng)導(dǎo)者與企業(yè)數(shù)字創(chuàng)新［J］.科技進(jìn)步與對(duì)策，2022，39（13）：83-93.

收稿日期：2022-09-13

作者簡(jiǎn)介：

王喆（1981—），男，副研究員，博士，研究方向：DevSecOps、云原生技術(shù)。