開發安全運維一體化模式下鐵路企業軟件研發團隊架構研究

摘要：為應對快速變化的市場需求，越來越多的企業將DevOps理念引入軟件研發，從而加快軟件迭代速度，提升交付質量，但往往忽視了軟件安全。究其原因，是企業研發團隊架構設置不合理，研發團隊與安全團隊溝通低效甚至相互對立，無法兼顧效率與安全。以中國國家鐵路集團有限公司（以下簡稱“中國鐵路”）為例，分析鐵路企業研發現狀和面臨的問題，基于認知負荷理論和康威法則提出鐵路企業軟件研發團隊架構及協同方式。該架構在中國鐵路本級和部分鐵路局得到驗證，為鐵路企業數字化轉型提供支撐。

關鍵詞：開發安全運維一體化；軟件安全；團隊拓撲；認知負荷；康威法則

0 引言

隨著企業數字化轉型不斷深入，企業發展和創新對軟件的質量和迭代速度要求越來越高。敏捷開發和開發運維一體化理念被提出以來，以互聯網公司為代表的企業致力于打造自己的DevOps團隊，通過工程化的方法加速軟件迭代，快速向用戶交付價值。與此同時，應用軟件尤其是Web應用面臨的安全威脅日益嚴峻。針對應用軟件漏洞的攻擊事件頻發，造成了企業數據泄露、拒絕服務等后果。國家信息安全漏洞共享平臺（CNVD）公開數據顯示，超過90%的軟件安全漏洞與研發過程中缺少安全管理有關。因此，軟件開發需要在全生命周期中融入安全管理，探索開發安全運維一體化的軟件開發新模式。

1 鐵路企業研發團隊現狀

中國鐵路以鐵路客貨運輸為主業，實行多元化經營［1］。中國鐵路日常運行的各種信息系統數量眾多，覆蓋戰略決策、經營開發、運輸生產、資源管理、建設管理和綜合協同六大領域［2］。中國鐵路軟件研發團隊分散于各所屬企業，形成“1+18”（中國鐵路本級+18個鐵路局）架構。其中，中國鐵路本級軟件研發團隊約3000人，主要承擔中國鐵路范圍內共用的大型信息系統和平臺級系統的研發工作；各鐵路局軟件研發團隊約2000人，主要承擔滿足鐵路局特性需求的信息系統研發，也參與部分中國鐵路系統的研發和建設。

在上述兩級研發團隊成員中，前端、后端和全棧開發工程師占絕大多數。服務于研發團隊的專職測試人員和信息安全人員極度缺乏。團隊間交流以項目組技術分享為主要方式，頻率以每周、每月或不定期居多。超過50%的團隊采用無固定迭代周期的研發方式，只有30%的團隊能夠把迭代周期控制在2～4周。絕大多數團隊不了解云原生技術，只有少量團隊將云原生技術應用于生產系統。綜上所述，中國鐵路研發團隊現狀如圖1所示。

2 現存問題

根據調研結果的統計分析可知，中國鐵路研發團隊現存以下4個問題：

（1）團隊結構不合理，不能適應當前主流的軟件開發模式。中國鐵路軟件研發團隊在總體規模上與其他大型央企國企及一些中大型規模互聯網公司不相上下，但團隊成員分工模糊，工種單一，缺乏復合型人才，對新的研發理念適應性較弱。

（2）多地分散的研發團隊容易形成技術孤島。中國鐵路研發團隊分布在全國各地，各團隊技術能力高低不同，技術棧選擇因地而異，導致研發的信息系統在技術架構、中間件選型方面不統一，給企業帶來軟件安全隱患。

（3）公共性平臺團隊支撐力量薄弱。中國鐵路缺少提供公共數據、中間件、開發測試服務的平臺團隊，不利于提升企業軟件研發質量和效率。

（4）研發與安全脫節。大多數企業在研發過程中由于追趕進度，極少讓安全人員介入，僅將安全管理作為事后查找漏洞的手段，無法從根本上解決軟件安全風險。

為解決上述問題，需要對中國鐵路軟件研發團隊結構進行設計，明確團隊內組成、各團隊職責和溝通協作關系，從組織層面保證開發安全運維的相互融合。因此，基于S-SDLC和DevSecOps進行軟件安全開發實踐。

3 開發安全運維一體化實踐

3.1 S-SDLC

安全開發全生命周期（Secure Software Development Lifecycle Project，S-SDLC）是OWASP組織提出的一套面向Web和APP開發廠商的安全工程方法［3］，能夠幫助軟件企業降低安全風險，提升軟件安全質量。S-SDLC理念源自微軟SDL［4］，最終目標是幫助用戶減少安全問題，并通過該方法提高項目總體安全級別。企業要實施S-SDLC，不能單靠傳統的信息安全部門或幾個網絡安全人員，而是需要與研發部門的各個環境深度結合，因此必須由公司領導層自上而下推行。

S-SDLC的人員角色配置是為了解決傳統軟件面臨的安全風險，通過引入安全編程規范、代碼掃描、安全測試，實現軟件安全質量的提升。但是，在應對云環境下所需要解決的深層次安全問題（如技術棧、基礎組件、全鏈路加密、存儲方案等）時作用并不明顯。

3.2 DevSecOps

過程、方法與系統（Development amp; Operations，DevOps）是近年來被廣泛應用的開發模式。DevOps的核心思想是將開發運維一體化，快速推出產品進行AB測試，通過數個版本的迭代，使產品變得成熟穩定，同時也使產品功能變得豐富。在DevOps開發模式下，傳統的S-SDLC流程顯得過于煩瑣，需要有適用于DevOps流程的S-SDLC，這也是DevSecOps［5］的由來。

與傳統的將安全團隊和研發團隊割裂的理念不同，DevSecOps強調開發運維安全團隊融為一體，彼此共享知識、工具和技術，以促進團隊間的交流合作，從而在團隊中建立安全文化，使每個人都為安全負責，發現和解決安全問題不再是安全人員的獨有任務。DevSecOps金字塔如圖2所示。

對比以上兩種實踐方法，DevSecOps更加敏捷，強調團隊協作、溝通和知識分享，并形成企業自由的安全文化，更適合解決鐵路企業軟件安全開發面臨的問題。

4 鐵路企業軟件研發團隊結構設計

4.1 設計原則

開展鐵路企業軟件研發團隊結構設計時，應充分考慮認知負荷理論和康威法則中的基本原則。認知負荷理論是指任何一個人或團隊在給定時間內能夠掌握的信息總量是有限度的，這個限度就是這個人或團隊的認知負荷［7］。如果團隊被分配的工作模塊過多，將會使團隊工作負荷過載導致效率低下。康威法則是馬爾文·康威于1967年提出的，即設計系統的架構受制于產生這些設計的組織的溝通結構。

認知負荷理論對團隊分工給出了基本原則，康威法則指出了軟件產品的結構取決于研發團隊的溝通結構。因此，基于上述原則，本文提出一方面限制團隊的認知負荷，通過不同的團隊類型及相互合作提升團隊效率；另一方面，將安全成員同研發運維成員組成復合團隊，使產品具有安全屬性。

4.2 團隊結構設計

4.2.1 團隊類型和協作設計

中國鐵路本級和各鐵路局均有軟件研發團隊，區別在于中國鐵路本級研發團隊規模大、技術能力強；鐵路局級研發團隊規模較小，技術攻關能力較弱。同時，兩級組織可以被看作一個整體，本級團隊有責任和義務對鐵路局級團隊提供支撐服務。

將鐵路開發安全運維一體化團隊分為4種類型：產品交付團隊、賦能團隊、平臺團隊、復雜問題團隊［8］，以及三種協作關系。團隊結構示意圖如圖3所示。

產品交付團隊面向特定的業務領域，職責清晰、目標明確，持續性地向用戶交付產品或服務。

賦能團隊由特定領域的技術專家組成。技術專家在各自所擅長的領域開展研究，整理最佳實踐方法，并提供工具、框架、技術選項給產品交付團隊，不斷提升產品交付團隊的能力，從而促進客戶價值的交付。

平臺團隊將一系列自動化工具、自服務API、知識體系等應用于企業內部服務平臺，用于支撐產品交付團隊快速進行產品迭代，降低產品交付團隊的認知負荷。

復雜問題團隊面向學習曲線比較陡峭、人才培養周期較長的問題域。團隊中大多數成員都是該領域的專家，能夠有效地幫助產品交付團隊降低認知負荷。

各團隊之間存在的三種協作關系見表1。

4.2.2 團隊組成及職責

產品交付團隊由產品經理、用戶體驗工程師、架構師、開發和測試人員及安全倡導者組成。其中，安全倡導者是從開發人員中遴選出來的、對安全實踐感興趣的人員，對其進行必要的培訓后，成為產品交付團隊中負責解答安全問題的π型人才。兼具產品研發能力和安全知識的安全倡導者為所在團隊提供安全支持，將研發和安全無縫融合，避免獨立安全團隊與研發團隊之間形成相互對立的局面。

兩級組織可分別設置多個產品交付團隊，每個團隊負責獨立的產品或產品模塊。每個團隊的規模不宜超過10人，遵循“兩個披薩原則［9］”。產品交付團隊職責和人數定義見表2。

平臺可以為包括IaaS、PaaS、SaaS等在內的一切為軟件研發提供公共支撐的基礎平臺。平臺團隊角色包括主管、平臺運維和平臺研發。平臺團隊的價值可以通過向產品交付團隊提供的服務來衡量，平臺團隊成員人數一般為企業研發團隊總人數的10%。平臺團隊職責和人數定義見表3。

賦能團隊分為兩個部分：DevOps賦能和安全賦能。DevOps賦能團隊為產品交付團隊快速迭代產品提供教練引導和技術支持，為產品交付團隊提供通用的架構、技術解決方案，降低產品交付團隊的認知負荷，提升產品迭代效率，同時提升企業研發標準。安全賦能團隊從企業角度識別當前面臨的安全風險，進行安全分析建模和安全架構設計。團隊中的安全顧問為產品交付團隊中的安全倡導者提供專業的安全支持。賦能團隊作為企業級團隊，能夠支持多個產品交付團隊。賦能團隊職責和人數定義見表4。

隨著鐵路項目不斷邁向智能化，智能建造、智能裝備、智能運營使鐵路軟件研發越來越多地面臨音視頻分析、人臉識別、智能問答、基礎設施故障預測與健康管理（Prognostics and Health Ma-nagement，PHM）等場景。具備深度學習、機器學習、數據分析的專業人員將成為復雜問題團隊的主力。復雜問題團隊職責和人數定義見表5。

4.2.3 與企業既有IT組織的關系

首席信息官（Chief Information Officer，CIO）是企業信息技術管理部門的最高管理者，配合CEO領導企業的數字化轉型［10］。中國鐵路的IT組織架構中沒有CIO。因此，可以視中國鐵路和各鐵路局科技和信息化部的主管領導分別為中國鐵路本級CIO和鐵路局級CIO。涉及信息安全的方案、策略和事件，各級安全賦能團隊需要向本企業CIO進行匯報，接受CIO的直接領導，形成中國鐵路本級首席信息安全官（Chief Information Security Officer，CISO）、鐵路局級信息安全官（Business Information Security Officer，BISO）、安全顧問、安全倡導者的溝通架構。安全信息溝通架構如圖4所示。

目前，主要的鐵路應用系統基本實現了云化，但為了更好地支撐和服務鐵路應用的云原生，正在組建“云卓越中心”。“云卓越中心”一般包括云架構師、解決方案架構師、安全架構師、云工程師、網絡工程師。DevOps賦能團隊和安全賦能團隊應在云架構解決方案方面與“云卓越中心”保持密切協作。

5 結語

中國鐵路開發安全運維一體化團隊結構設計充分考慮了企業研發團隊構成及兩級團隊現狀，通過團隊功能的劃分和溝通協作方式的設計，旨在解決當前研發面臨的標準化缺乏、安全無介入、迭代周期不確定的問題。企業研發團隊架構變革需要人員能力和制度的雙重保證，并通過長期實踐得以不斷完善。

參考文獻

［1］武中凱.鐵路局集團公司與非運輸企業管理關系研究［J］.中國鐵路，2021（10）：29-34.

［2］任俊樺.大數據標準在鐵路信息化中的需求及應用［J］.鐵道經濟研究，2022（1）：41-44.

［3］顧先華，施勇，薛質.S-SDLC影響因素分析［J］.通信技術，2020，53（1）：225-229.

［4］任地成，王麗君，潘瑞.融入安全的軟件開發方法SDL的研究［J］.計算機應用與軟件，2010，27（7）：280-282，293.

［5］戴啟銘，毛潤豐，黃璜，等.DevSecOps：DevOps下實現持續安全的實踐探索［J］.軟件學報，2021，32（10）：3014-3035.

［6］TOMAS N，LI J，HUANG H.An empirical study on culture，automation，measurement，and sharing of DevSecOps［C］.2019 International Conference on Cyber Security and Protection of Digital Services（Cyber Security），2019.

［7］龍玲.認知負荷理論綜述［J］.新智慧，2018（6）：47-48.

［8］SKELTON M，PAIS M.Team topologies：organizing business and technology teams for fast flow［M］.Portland：IT Revolution，2019.

［9］姚恩育.什么樣的文化造就了他們？［J］.浙商，2017（15）：66-69.

［10］王新成，李垣.首席信息官、企業領導者與企業數字創新［J］.科技進步與對策，2022，39（13）：83-93.

收稿日期：2022-09-13

作者簡介：

王喆（1981—），男，副研究員，博士，研究方向：DevSecOps、云原生技術。