跳转到主要内容
不囿于开放 ,不止于敏捷——开放敏捷架构O-AA™标准指南与案例分析重磅发布!

不囿于开放 ,不止于敏捷——开放敏捷架构O-AA™标准指南与案例分析重磅发布!

2022年11月25日 42次秝妤
 

在应用经济和数字化经济并生的潮流下,通过数字化转型加强数字创新能力、提升市场竞争力势在必行。敏捷为数字化转型提供了一个出色的框架。

 

2022年11月22日19:30pm,The Open Group《发布时刻》系列网络研讨会重磅发布了开放敏捷架构相关的《O-AA™安全手册》指南《订单到回款——流程轮胎行业领域驱动设计案例研究》

 

活动邀请到天邦股份CIO姚凯老师,以及翌擎智能科技咨询部经理刘亮老师进行正式发布和解读,从发布物本身切入,与大家一起了解如何有效利用开放敏捷架构助力数字化企业转型。同时,对案例的研究也将助力推动对标准的理解,也为最佳实践提供指引。

 

本期发布物

 
 

无论探讨何种敏捷架构,都离不开“安全”这个关键词,其中,最小安全架构(MSA)是敏捷开发的关键要素。不仅要将安全性在最一开始就构建在架构中,同时还必须通过不需要大量前期规划的定期反馈循环快速响应、必须考虑到远超出当前架构的未来状态。

 

 
本指南因此提出了需要遵循的三个核心理念:
 
  • 敏捷安全架构必须在短而快速的周期内构建。

  • 安全架构的任何变化都必须应用于每个团队的环境。

  • 安全架构师和卫士将确保任何架构符合组织预先定义的风险偏好

 

 

对此,架构师、特别是敏捷安全架构师所应当扮演的角色、所应该履行的职责都是什么,在本文第二章进行了详细说明。如何能淋漓尽致发挥上述职责、而不是每次都“重新发明轮子”,从而实现敏捷安全架构治理,详见指南第三章。“敏捷安全架构师必须与负责风险管理的业务组织以及解决方案的功能用户”共同组成团队,方能一展身手。第四章、第五章则分别从架构安全的特征(即,特别针对安全方面的策略与控制措施)、作为制品的敏捷安全架构(即,其所含内容与质量属性)两方面进行了阐述。

 
 

本案例研究基于米其林的真实案例(两位作者同样来自该公司),聚集于这一轮胎生产企业的订单到回款流程,体现了在数字化转型的大背景环境下、领域驱动设计(DDD)和事件风暴是如何发挥实际作用的。

 

作者们在其实际工作中发现:一方面,单体系统不足以灵活适应流程的局部优化;另一方面,即便引入业务流程管理(BPM)工具作为“中央编排器”,但几年后,编排器本身也会出现故障、反而变成了另一种单体,其维护也日渐难以为继。

 

此时,DDD成为了重构架构的好方法:通过定义领域边界、开启事件风暴(并在描述依赖关系时使用战略集成模式、体现上下文映射)、识别业务事件、深入实施细节、描述边界上下文等五个主要步骤,将从订单到回款领域清晰而完整地展现出来。

 

 

发布嘉宾

 

 

获得中欧国际工商学院MBA学位,持有CISA、CISM、CGEIT、CRISC、CISSP、CCSP、CSSLP、CEH、CIPT、CIPM、CIPP/US和EXIN DPO等认证。现任天邦食品有限公司CIO职务,负责IT战略规划、政策程序制定、IT架构设计及数字化推进工作。是ISACA、(ISC)2和IAPP协会的会员。

 

数字化转型更多指战略和运营模式的改变,利用技术进步改善人类体验和运营效率,并发展客户将保持忠诚的产品和服务。数字企业指的是具有以下特征的企业:创建完全数字化交付的数字化产品或服务;客户通过数字方式获得实物产品和服务。敏捷安全架构必须在短而快速的周期内构建;安全架构的任何变化都必须应用于每个团队的环境;确保任何架构符合组织预先定义的风险偏好。

 

 

在汽车数字化方面经验丰富,始终活跃在奥迪中国市场敏捷转型的一线。他专注于变革时代的创新企业数字化架构设计、开发和管理,以确保价值符合不断进取的业务场景。作为数字服务提供商的背景和敏捷方面的经验,他始终坚持从业务和用户出发,让数据助力营销,软件赋能汽车。

 

 
以业务服务为起点,通过业务服务识别限界上下文,同时,对业务服务进行细化,编写包含领域知识的业务服务规约。这属于领域驱动设计统一过程的全局分析阶段。进入架构映射阶段。可以通过业务服务识别限界上下文,使用界限上下文画布可清晰列出了领域实体或值对象(“统一语言”)和 “业务决策”(规则、策略和决策),然后在此基础上,得到各个限界上下文的服务契约,包括服务契约的定义,确定上下文映射关系。由此进入领域建模阶段。

 

通过与在线观众的互动问答,两位老师的解答帮助大家对“敏捷安全架构”以及“领域驱动设计“主题有了更加清晰的理解:

 

Q1:敏捷安全架构与传统安全架构的区别是什么?

 

姚凯:敏捷安全架构是对传统安全架构在敏捷环境下的优化。传统安全架构的部署可以认为是瀑布式的,需求事先确认,然后根据需求完成设计、实施,整个流程周期比较长,期间任何变更都比较难于直接实现。敏捷安全架构引入了MSA的概念,可以先提供最小的安全架构,满足基本的要求,而后在这个基础上逐步迭代和加强,这样这个安全体系的响应速度大为加强。同时,敏捷安全架构可以与更有效地冲刺和MVP集成,不至于造成安全性能的过度或不足。敏捷安全架构与敏捷开发有效融合,在DevOps的每个环节,都融入了安全要素和活动。

 

Q2:安全架构与信息系统架构如何融合?

 

姚凯:从TOGAF®标准的观点来说,我们是从业务架构出发,推导出信息系统架构,在往下到数据架构、技术架构和安全架构的。当然,TOGAF®标准也指出了,这个次序不是一成不变的。

 

安全需求同样来源于业务。因此,我们必须从业务出发,了解组织对风险的态度,并结合具体的业务,识别可能存在的风险点,在去检查我们的信息系统架构,看看在哪些位置有针对性的增强。比方,我们做一个电商系统,存在的风险点可能有注册环节的个人信息,有商品展示环节的价格被篡改,下单环境的“薅羊毛”,支付环节的资金安全等等。针对其中的某些关注点,我们可以检查信息系统架构设计,有没有缓解相应的威胁,比方个人信息的通知和对同意的存储,存储的个人信息类型等等。基于这些设计和我们的安全要求,在某些环节进行加强,并把这个需求传导到技术架构,例如要求数据加密存储,个人信息进行混淆等等。最后,从整体看,信息系统架构中已经包含了安全的内容,就像一个建筑设计图,单独有建筑设计、结构设计、水电、暖通,但合在一起又是彼此融为一体的。

 

Q3:应用端到端的流程梳理的优势和劣势分别是什么?
 

刘亮:通过事件风暴梳理端到端的流程是架构规划里面常见的方法。优势显而易见,包括可有效梳理及可视化业务流程和架构;利于可视化管理业务流程的变更;为未来IT业务和目标架构也提供更好的方向。
 

但任何事物都有正收益和负收益。负收益方面,具体体现在清晰的流程可能会使得业务和IT产生路径依赖,不利于颠覆式创新,所以我们需要定期反思和回顾流程和架构。
 

Q4:可以展开讲述上下文画布的应用吗?
 

刘亮:上下文画布广泛应用在敏捷开发和架构的多个方面,是一个战略和战术的结合工具。通过这个工具,有助于把相关的元素、信息进行有序的整合。这里我们说的限界上下文画布,将帮助我们把领域的上下文信息、关系、属性进行集中式模块化的展现,是个设计和文档类的工具。