La trasformazione digitale in atto chiama le aziende a modernizzare il parco applicativo e allo sviluppo di nuove applicazioni. Un’esigenza tanto più sentita quanto più sono percepiti i vantaggi nell’adozione di architetture cloud. Infatti, il termine DevOps e, con più precisione, quello DevSecOps, sono utilizzati oggi in ogni contesto di sviluppo che si muova facendo leva sui digital enablers, e sono associati in via diretta al mondo “cloud native”.
Anche per questo, quasi tutte le aziende che intraprendono un percorso di sviluppo e modernizzazione delle applicazioni sono interessate a utilizzare processi di DevSecOps, ma mentre la parola richiama spesso solo l’insieme dei tool tecnici necessari, sarebbe più opportuno parlare di una vera “cultura DevSecOps”, intesa non solo come somma delle sue componenti (Development, Security – embedded nel modello – e Operations) ma, ancora prima, come approccio culturale condiviso tra tutti i team.
Sono questi anche gli spunti iniziali del confronto con Mirko Gubian, Global Demand Senior Manager di Axiante, che così esordisce: “Sì, non si tratta solo di scegliere tool tecnologici ma di comprendere a fondo il paradigma ed i motivi per cui un’azienda dovrebbe adottare un determinato modello di sviluppo e quali vantaggi si ottengono abbracciando quello DevSecOps. Le aziende prima di tutto devono chiedersi proprio quali vantaggi di business otterranno, perché le scelte tecnologiche devono essere funzionali a quello“.
I vantaggi dell’approccio DevSecOps
Il primo set di vantaggi DevSecOps per il business è proprio di natura economico-finanziaria. “DevSecOps abbatte il Tco che è elevato quando si utilizzano tecnologie obsolete. Soprattutto, il modello svincola dall’utilizzo di risorse di personale legato a mondi legacy. Risorse che diventano sempre più scarse e per questo più costose anche tenendo conto del fatto che gli interventi sulle applicazioni legacy oggi comportano costi elevati ma di fatto non apportano vantaggi concreti di campo”.
La cultura DevSecOps aiuta le aziende a crescere anche in altre direzioni. In un contesto macro-economico come quello attuale sempre più fluido e variabile, “il primo vantaggio apportato dal modello DevSecOps al business delle aziende è legato doppio filo alla flessibilità, all’incremento di velocità e quindi alla riduzione del time to market tra il momento in cui si prende consapevolezza di una caratteristica o di una funzione applicativa utile ed il momento in cui è veramente possibile disporne nei sistemi di produzione”. Tanti dei processi strutturati, e per certi versi inquadrati nel tempo come funzionali, lo sono in verità solo in relazione ad abitudini consolidate mentre la metodologia DevSecOps non solo può aiutare a velocizzare i progetti di application modernization ma anche proprio la nascita di nuove applicazioni in tempi più rapidi.
Superare le barriere tra i team
E’ importante però riconoscere e superare le barriere esistenti. Spiega Gubian: “Per anni le aziende hanno utilizzato metodologie tradizionali di sviluppo che hanno garantito che i sistemi di produzione funzionassero bene senza problemi”. Vero.
Questo è accaduto però anche a discapito di “flessibilità e velocità che ora sono termini di riferimento imprescindibili”. Siamo di fronte quindi ad una vera e propria contrapposizione culturale. Non solo: “I team che si occupano di sviluppare l’applicazione e i team di operations sono sempre stati separati ed hanno operato spesso con obiettivi diversi: i primi misurati in relazione alla velocità con cui erano in grado di offrire nuove funzionalità mentre i secondi, adibiti alla gestione dell’applicazione, dovevano invece assicurare la stabilità del sistema“. E’ facile comprendere come in questo modo i team si siano spesso trovati ad agire in contrapposizione, perché le rispettive performance sono state misurate sulla base di parametri opposti: nel primo caso la velocità di sviluppo, nel secondo invece la riduzione degli incident.
Il primo promotore della cultura DevSecOps deve invece essere proprio il business chiamato a cambiare approccio, mentalità, cultura all’interno dell’azienda sui temi di application modernization e sviluppo, per avvantaggiarsi di maggiore flessibilità e velocità nella realizzazione dei progetti. “Con un sistema DevSecOps condiviso, le applicazioni che supportano i processi aziendali saranno modificabili più rapidamente e si guadagnerà in flessibilità nell’organizzare i processi in modo diverso. Si tratta proprio di riuscire a leggere i vantaggi a livello di change management“.
In un team DevSecOps correttamente strutturato quindi sviluppo e gestione applicativa sono condivisi da un unico team coeso, senza “confini netti, proprio per essere in grado di affrontare nuove sfide e sviluppare rapidamente garantendo comunque scalabilità e stabilità”. Promuovere questa cultura non è semplice, perché sono diffuse le situazioni conflittuali, “è però necessario infrangere le barriere dipartimentali classiche e serve puntare su team multidisciplinari”. Devono essere coordinati preferibilmente da persone di business, super partes, cui assegnare obiettivi chiari. Se si riesce a condividere la cultura DevSecOps si è abbattuta la barriera principale, “restano da costruire metodologie e processi e, solo poi, a seconda delle specificità di ogni realtà, decidere quali strumenti DevSecOps adottare”. Saranno i team stessi a questo punto, sulla scorta delle proprie competenze, a compiere le scelte più opportune.
Axiante, cultura DevSecOps e formazione
Ecco che il ruolo di Axiante si rivela cruciale proprio nell’indirizzare l’esigenza di una nuova cultura. “Axiante fornisce ai clienti sviluppi per modernizzare le applicazioni e crearne di nuove sulla base ovviamente di queste metodologie, ma lavora anche sull’aspetto strategico della formazione“, dettaglia Gubian. Formazione culturale, come anche formazione specifica legata a processi e tecnologie, quindi a partire dall’esperienza già vissuta internamente dalla stessa Axiante quando sono state introdotte le nuove metodologie. “Axiante è altresì in grado di affiancare il personale delle aziende clienti impegnato nei progetti, condividendo le migliori modalità per affrontare le sfide, con la formazione relativa su metodologie e competenze DevSecOps, così da portare al business i vantaggi attesi”.
Le discipline dello sviluppo e quello della gestione applicativa così come la sfera business, e quelle di chi si occupa di sicurezza infrastrutturale e applicativa devono essere messe a fattor comune, e Axiante vanta un’importante esperienza proprio nella gestione di team multidisciplinari, che sono la struttura portante dei propri stessi team. Per questo l’azienda è in grado di offrire ai clienti “progetti chiavi in mano, per garantire i quali bisogna saper interpretare al meglio i requisiti del business – e disporre quindi di persone con competenze funzionali – ma anche poter investire nella definizione degli scopi progettuali per cui servono competenze di business e competenze tecniche senior”.
Anche il tema della formazione del cliente resta centrale e caratterizza l’attività di Axiante. “Si tratta di mettere il cliente in grado di poter controllare quello che avverrà nello sviluppo/modernizzazione delle applicazioni”. Tecnologie e metodologie nuove spesso portano i clienti a stare sulla difensiva per la paura di dover poi dipendere dal fornitore, invece “Axiante vuole formare i clienti perché possano scegliere sempre liberamente il proprio percorso, attraverso la formazione ancora prima dell’effettivo accordo contrattuale per lo sviluppo di una nuova soluzione”, specifica Gubian.
Formazione culturale, sulle metodologie e sulle tecnologie sono quindi i tre pilastri chiave così come il tema della centralità di risorse e competenze. Axiante non nasconde di attingere anche all’estero per integrare le competenze interne di un team composto oggi già da circa 50 persone che a sua volta dedicano tantissimo tempo alla formazione su queste tematiche con un focus indirizzato in modo particolare allo studio ed alla comprensione dei progetti sul campo realizzati presso le aziende clienti, anche attraverso pacchetti formativi basati proprio sulle esperienze estere.
© RIPRODUZIONE RISERVATA