Tilpassing av agile- og styrings-prosseser for effektiv og sikker softwareutvikling

Abstract

Implementering av agile utviklingsmetoder kan være krevende. Gamle styringsprosser, som hjelper å kontrollere risiko og sikre sikker utvikling, må tilpasses for å passe med agil utviklingt. Samtidig er styringssystemene mye investering bak dem, og det kan ofte være vanskelig å tilpasse disse til ny bruk.

En av de største utfordringene i Equinor er at styringsprossessene ikke er tilpasset etter endring til agil utvikling. Hovedverktøyet, ServiceNow, støtter ikke iterasjoner, og all informasjon om prosjektet må legges inn hver iterasjon. Før tillatelse er gitt til å starte utvikling, må et teknisk dokument som forteller om hva som er utviklet i iterasjonen bli godkjent. Dette gjør at scope og innhold låses før iterasjonen har startet. Dette er i kontrast med den mer åpne tankegangen i agil utvikling, hvor endringer basert på tilbakemelding er sett på som en god ting. Etter agil implementering i Equinor, ble en rekke nye verktøy introdusert. Etterhvert ble det krevende å holde seg oppdatert på siste nytt, da informasjon ble gitt på tvers av mange forskjellige verktøy.

Agile metoder krever mer fra alle involverte, fra teammedlemmer, interessenter og kunder. På grunn av den smidige metoder og DevOps ble introdusert samtidig må teamet også vende seg til sine nye roller. Medlemmene er ikke lengre testere, support eller utviklere, bare teammedlemmer. Alle medlemmer forventes å bidra i teamet, og det er ikke alltid utvikling oppgaver tilgjengelig. Samtidig krever smidig mer aktive interessenter og kunder. I Equinor var kunden ofte ganske opptatt, og tilgjengeligheten deres var ofte begrenset til et tretti minutter møte hver uke. Kombinert med løse utviklingsspesifikasjoner, kan det være utfordrende å få en klar oversikt over hva som trengte å gjøres. Den høye tilliten til teamet også førte også til slapp testing hos kunden, som ofte bare signerer på brukerens aksepttester uten å teste seg selv.

IT-Governance introduserte også mange godkjenningstrinn og spesifikke verktøy. Enkle go/no-go beslutninger om å starte utvikling tok ofte minst 48 timner å utføre, og trengte god dokumentasjon. Det ble brukt mye tid på å planlegge endringen uten tilgang til systemet. Hvis ytterligere systemkonfigurasjon eller rolle-endringer var påkrevd, måtte de andre team starte den samme prosessen. Disse prosessene er viktige i Equinors risikostyringsarbeid og bidrar til å følge SOX-kravene. Ved å bruke en hybrid metodikk som kombinerer Scrum med Stage-Gate, vil det være mulig å oppnå mer effektiv programvareutvikling uten å gå på bekostning av risiko eller sikkerhet. For å få dette til å fungere, vil man trenge å endre styringsprosessene der smidige metoder brukes, som utviklingsfasen. Ved å introdusere CI / CD i ServiceNow vil følge styringsprosesser bli mer håndterbare. Ved å gi tilgang til utviklingssystemer uten godkjent endring, kunne man la en endringsprossess opprettes automatisk av systemet i ServiceNow etter vellykkede tester. Dette fjerner den 48 timers første godkjenningsperioden mens den fremdeles tillater endelig godkjenning av endringsledelse i ServiceNow. Alle krav, som code review og UAT, vil fortsatt være oppfylt. Å tilpasse styringsprosesser for å passe bedre med smidige metoder er utfordrende, men CI / CD vil muliggjøre mer effektiv ennå sikker programvareutvikling. Omorganiseringsprosjektet One Equinor viser at Equinor prøver å omarbeide både prosessene og organisasjonen for å bli leaner.

Implementing agile methodologies for software development can be challenging. The old governance processes, which help control risk and ensure safe development, need to be adapted to fit better the agile way of working. However, governance processes and tools have much investment behind them and are often difficult to adapt or change.

One of the main challenges in Equinor is that the governance processes were not changed sufficiently after transitioning to agile software development. Their primary tool ServiceNow does not support iterations, and all project information needs to be reentered for each iteration. Before gaining approval to start developing a new iteration, a technical document that included all details of the iteration needed to be produced. Locking down the scope and content of a new iteration before starting defeats some of the purpose of the more open agile processes. As more tools were introduced during the agile implementation, it became challenging to keep information streamlined through the tools, and much work became duplicated.

Agile methodologies require more from all involved, from team members, stakeholders, and customers. Due to the agile transition and DevOps being introduced simultaneously, the team needs to get used to their new roles. Team members are not testers, support, or developers anymore, just team members. All members are expected to contribute to the team, and there are not always development tasks available. At the same time, agile requires more active stakeholders and customers. In Equinor, the customer was often quite busy, and their availability was often limited to a thirty-minute meeting each week. Combined with loose development specifications, it could be challenging to get a clear overview of what precisely needed to be done. The high amount of trust placed on the team also leads to lax testing by the customer, often just signing off on the user acceptance tests without testing themselves.

The IT Governance also introduced a lot of approval gates and specific tools to be used. With simple go/no-go decisions commonly taking at least 48 hours and needing some technical documentation, much time was used to plan the change without access to the system. If additional system configuration or role changes were required, the other teams needed to start the same process. These processes are vital in Equinor’s risk management work and help to be SOX compliant. Using a hybrid methodology combining SCRUM with Stage-Gate would allow for more efficient software development without compromising risk or security. To make this work, one would need to modify the governance processes where agile methodologies are used, like the development phase. By introducing CI/CD with ServiceNow, following the governance processes would become more manageable. By giving access to development systems without an approved change, one could have a change be automatically created by the system after successful tests. This would remove the 48 hours initial approval period while still allowing for final approval by change management in ServiceNow. All requirements, like code review and UAT, would still be met. Adapting governance processes to fit agile methodologies better is challenging, but CI/CD would enable more efficient yet secure software development. The One Equinor reorganization project shows that Equinor tries to rework both processes and the organization to become leaner.