▲点击播放采访视频

视频文字实录

在实践 DevSecOps 时，企业普遍会遇到哪些难点？

A：我觉得这可能有比较多方面的一些挑战跟痛点吧，首先比方说他们内部可能没有这样子的人员，那拥有相关的可以去落地跟推行 DevOps，或者是 ITSM 管理的这些人员，就是技能方面的一个痛点。然后另外一个可能就是，他们没有一些合适的工具链去支撑他们去做这些事情，或者是说他们急于想要做这件事情。因为其实现在 DevOps，或者是 ITSM 的这种概念都非常热，那很多公司，就急于想要去做这些事情。但他实际上内部的一些流程、组织架构或者是工具的资源等等其实都不具备的情况下，那想要试图直接去学习这种大公司去落地 DevOps，实际上是很大的概率是不可能会成功的。

A：他的挑战我觉得有两个方面，一个就是说从代码的需求到最终的一个落地，他们有很多的系统，那这些系统怎么整合在一起是他们的一个痛点。另外的话就是公司里边各个部门各自就使用的一些软件，然后怎么去统一公司全部用一个，然后这也是他们的一个痛点。

A：现在客户一个比较关心品质的这个方面，一个就是说是代码的编程质量，一个就是说是我们这种静态的扫描工具，比如说 SonarQube、QAC。另外还有一个就是说因为要经过大量的测试，这个时候是测试的话全靠人工呢，就说是量太大，可能就是这个方面，可能自动化的一些测试工具，可能也是我们现在比较关注的一个地方吧。

企业落地 DevSecOps 解决方案时，有没有通用步骤或模式可供参考？

A：单单产品进来其实还不够，了解产品的最基本的功能是最主要的。其实了解产品的功能经过培训，是让我们从事这个行业的人会在我们培训的过程中，自己的业务知识得到一次的整理，迅速的提升。

比如说包括一些项目管理关注的地方，全生命周期有什么东西去管控，各个生命周期是怎么去连续，那有什么东西是敏捷，什么东西又是瀑布开发，如果不经过培训，到你遇到这个产品就肯定一头雾水的。

那么培训还不够，你甚至还要进一步（了解）敏捷是什么东西，可能还要请其他第三方的咨询公司，给全公司的层面进行一些敏捷的是什么东西的一个培训，是什么东西让全公司能支持这样子，一个敏捷的方法或者管理机制。然后呢再根据你的各个项目的特点，自己管理的特点，这自己管理的出力度等等之类，或者精细化这种管理可能，不会一下子非常精细化去管理，没意义的。要适合自己的，慢慢慢慢再精细化起来。

A：首先是要了解他们各个层面，都是用的是什么软件。比如说他们的需求是怎么来管控的，他们实际的落地，然后持续集成、持续发布这块是用的什么，包括他们的运维是用的什么，然后我们针对客户的这些具体的需求，然后给他们提出一些定制化的一些开发需求方案。包括比如说我们可以跟他建议，比如说你的项目要怎么去管控，然后你的需求怎么来管理会更好，然后给他们一些建设性的一些方案来协助他们去真正把这个项目落地。

A：解决方案都会有的，但是呢实际的话在企业里边，你如果要让它落地，建议不要一下子一口吃出胖子来。对慢慢来，先从一些部门开始，先用然后再推广，先一个平台开始把这些做起来，然后再慢慢推广，这个我觉得是一个比较切实可行的。

解决方案会有，就说非常成熟的或者每样子都有的，但是真正的落地要不同产品的组合，这个需要按阶段的。

企业应该如何选择、引入一款新的工具，有哪些需要注意的“坑”

A：这个确实比较难。可能工具也没有什么一个专业的团队去评估他，大家都说自己都可以。我们代理的几个产品也都是世界最顶级的公司都在用的，那包括我们国内的最顶级的公司也在用。所以说，细节的东西只有自己用了才明白，但从这个层面可以看得出哪一些的产品的好与坏。当然，产品的价格在这边做一个因素来考虑的。

还有一点的话，我觉得一个好的产品社会越来越开放，就说软件的产品也都要越来越开放，自己产品接口要非常的开放，甚至开放源代码，来跟其他公司的好的产品进行这个无缝的集成。这个能提供越多的这种开放的东西的话，也是证明这个产品更加有生命力的，可以走的更远的。

A：这些工具最好是得到就是行业的认可。这些咨询公司的话有过一些实践成功的一些案例的时候，那么这个是比较好的。主要是经验层面的，我们其实还是有比较多的客户在我们就是指导跟培训下面，去逐步的把工具用起来。那我们比较推荐的方式是不要一下子就把整个公司去推广，或只是你一下子就要上线非常复杂的这种流程，那也是逐步来。比方说先从一个部门，然后从某一些比如说你的缺陷先管起来，然后逐步逐步的在大家就是已经习惯在这个平台上面去录入数据，然后习惯了把线下流程线上化之后，你再去把其他的工具添进来，然后再向全公司去推广，这样是比较合适的。

A：我们很多客户有一种反馈，其中我们有个客户曾经发过十几页的 Word，他们各个员工抱怨，就他这个系统不好用。为什么呢？因为首先人呢都习惯于旧的习惯，他们很难去接这些新的工具，因为这要改变他的工作的方式。第二就是这种工具的话，你必定要额外代入些引入成本，那么你员工在使用时候肯定是增加工作时间的，那么各种抱怨是不可避免的。

那我们刚建议客户是首先要从上往下，就是我们要从领导层面要去强推这个工具，对这工具的效率会慢慢的在使用中体现出来，不是一开始就体现出来的。第二呢就是这个工具一定要易用化，这样员工才会去愿意以后去使用。那么通过这两点的方式，包括我们那些培训，就专业指导，一对一的服务，这样的话就帮客户尽快上手，这样也可以能够方便客户尽快的使用这些工具，并让这些工具用好。

A：这个是有一定的相关的标准的吧。就是这样你比如说像静态扫描工具，可能根据你所处的行业，你要用的那个的编程语言，这个基本上可以大致定下来你要选择什么样的一个工具。要是自动化测试现在可能有免费的，这个就看公司的这个你这个代码的那个量，可能想测试的有多大的范围，这个也是可以作为一些参考的标准的。

请分享一些让你印象深刻的客户案例

A：像我们有一个上海的一家银行的客户，我们也持续服务的有三年多。就前期的话，我们肯定是要跟客户一起，帮他把这个流程顺利打通，并通过工具把这流程工具化。那这样的话，他们员工就按照这个流程化去操作，就比较简单容易上手。然后呢，实时监控日常的工作中可能遇到这些问题，或者是需要优化的一些地方，在日常工作中不断去把它优化，把这些流程固化下来、优化下来，然后一年年就这么用下去，这样的话还可以统一的规划去管理某家公司开发的东西、开发流程。

国内企业在 DevSecOps 方面的水平或能力如何，企业应该如何面对各种新的理念和变化？

A：我觉得目前实际情况来看，大家可能有一些是概念都比较超前。那么实际能够一步一步的脚踏实地的做好，一步步的成长还是很重要。也不要太担心好像很多的先进的理念、新的概念没有跟上，一步步做好就可以了。

图片龙智集成全球主流工具及自研插件产品，为您量身定制 DevSecOps 解决方案。立刻联系我们（电话：400-7755-506 邮箱: marketing@shdsd.com），了解如何更好、更快地交付软件。