Conversemos de DevSecOps
En esta nueva sección de nuestro blog compartiremos la visión y experiencia de nuestro equipo de expertos en el ámbito del desarrollo de software y las tecnologías de información en general, quienes tocarán distintos temas relacionados con las tecnologías y metodologías utilizadas por Sovos para crear e implementar un mejor software, y entregarán tips y datos orientados a aportar valor a quienes deben trabajar en este ámbito, fundamental para las compañías que crean y utilizan soluciones para impulsar el negocio de sus clientes.
Capability Model de Sovos: Una guía de buenas prácticas para la mejora continua
Las empresas de tecnología enfrentan cada día mayores desafíos, y para mantenerse competitivas, no quedar obsoletas y satisfacer adecuadamente la demanda de los mercados, requieren mejorar de forma permanente sus prácticas. Esto es especialmente relevante para los equipos de desarrollo de software, que tienen que adaptarse constantemente, tanto a nivel de conocimientos técnicos, como de prácticas y metodologías.
En este artículo vamos a mostrar el modelo llamado Capability Model, que desarrollamos en Sovos para guiar a todos aquellos equipos en búsqueda de mejora continua.
¿Por qué Capability Model?
En el libro Accelerate (Nicole Forsgren, Jez Humble, Gene Kim), los autores proponen utilizar Capability Models en vez de Maturity Models. La razón principal se centra en el carácter extremadamente dinámico de las tecnologías, las prácticas y, en general, de la industria del software; este dinamismo se traduce en cambio constante y nos obliga a estar en permanente reinvención y reevaluación; algunas capacidades que antes fueron mejores prácticas pueden quedar obsoletas en el futuro, o simplemente, no resultar en grandes mejoras. Por esta razón decidimos trabajar en nuestro departamento de tecnología con un modelo de capacidades, incluyendo prácticas, técnicas y tendencias que mejoren la eficiencia de nuestros equipos de desarrollo a medida que las vayan implementando.
Como herramienta de mejora continua, nuestro Capability Model nos permite mejorar las prácticas de desarrollo, adquirir nuevos conocimientos y cambiar viejos paradigmas, además de:
- Visibilizar los resultados de la forma en que desarrollamos software hoy
- Identificar oportunidades de mejora
- Crear un plan, ajustarlo a la realidad del equipo, ejecutar y comparar con nuestros resultados anteriores
- Volver a medir
- Compartir con otros equipos
- Monitorear la mejora
¿Qué es para Sovos el Capability Model y cómo se usa?
Para crear la primera versión de nuestro Capability Model nos basamos en el modelo de DevOps y las conocidas etapas de Plan-Code-Build-Test-Release-Deploy-Operate-Monitor, a las cuales agregamos Feedback para hacer más explícita nuestra relación con los usuarios de los productos. Además tomamos como ventaja las buenas prácticas de nuestro departamento de Customer Success.
Modelo infinito de DevOps
Cada categoría incluye un conjunto de capacidades y prácticas, básicas y avanzadas. Estas últimas permiten desarrollar mayores ventajas competitivas y lograr niveles de eficiencia superiores en los equipos de desarrollo.
Por eso dividimos las capacidades en una matriz con categorías y 4 niveles, siguiendo el modelo de Tuckman Norming-Forming-Storming-Performing:
Modelo de capacidades v1
Gamification
Cuando hablamos de gamification nos referimos a la posibilidad de motivar, generar concentración y otros valores positivos a través del juego. Y todo equipo de desarrollo en Sovos parte la autoevaluación desde la etapa de forming.
El Capability Model evoluciona de la mano del crecimiento tecnológico
Para la segunda versión de nuestro modelo decidimos revisitar las capacidades con un mayor enfoque en DevSecOps, lo que implica integrar mejores prácticas relacionadas a seguridad informática, no solo a nivel de código y testing, sino en todas las etapas del desarrollo.
Algo importante que aprendimos en este proceso es que, indefectiblemente, las tecnologías, metodologías y las formas en que construimos software cambiarán con el tiempo. Esta lógica tiene una relación directa con el Capability Model: este también debe cambiar. Esta es una de las grandes diferencias con los antiguos Maturity Model.
DevSecOps incorpora prácticas de seguridad a todos los niveles del ciclo de vida de software
Evaluar y guiar mejoras en equipos de desarrollo
Nuestro Capability Model no es solamente una guía teórica de prácticas a adoptar para mejorar el rendimiento de los equipos de desarrollo. Una parte importante de la implementación es realmente ejecutar este modelo con los equipos, a fin de determinar el estado de sus prácticas y definir cuáles nuevas prácticas adoptar para pasar al siguiente nivel.
La idea es seguir la evolución de los equipos a mediano y largo plazo; ver cómo comparten sus dinámicas y al final, analizar cómo mejoran.
Surge una pregunta: ¿con qué frecuencia ejecutar el modelo con un mismo equipo? Si bien no hay una única respuesta correcta, se pueden considerar factores como los cambios de los integrantes del equipo (turnover), o en el propósito o tecnología usadas; las modificaciones de proyectos o conexión con otros equipos y los cambios de frameworks ágiles. Si nada de lo anterior sucede en un equipo, una frecuencia regular de cada 6 meses resulta un buen balance.
En el siguiente gráfico se pueden observar los cambios entre la primera ejecución (en azul) y la segunda (en verde): Este es un ejemplo de un equipo que decidió enfocar sus mejoras principalmente en prácticas de testing y en su metodología de trabajo.
Usamos gráficos de radar para visualizar resultados
Para colectar los resultados de esta evaluación se pueden utilizar diversas técnicas sencillas. En la primera versión de nuestro modelo usamos preguntas cerradas (Sí/No) siguiendo un checklist, consultando a los equipos sobre la utilización de prácticas particulares. Por ejemplo, ¿estamos realizando pruebas automatizadas de API para nuestros microservicios?
En la segunda versión del modelo estamos utilizando una escala de Likert, lo que permite apreciar el grado de adopción de una práctica, sin cerrarnos en un Sí o No categórico. Utilizando un estilo declarativo como Realizamos pruebas automatizadas de API para todos nuestros microservicios, y respuestas posibles desde Totalmente en Desacuerdo hasta Totalmente de Acuerdo -variando el grado de seguridad en la respuesta- obtenemos una buena idea promedio del uso de cada práctica particular.
Al final de cada evaluación los equipos deciden el próximo paso en términos de mejoras a realizar. Siguiendo el ejemplo de pruebas automatizadas de API, se puede tomar como objetivo a completar -hasta la siguiente evaluación- la implementación de dichas pruebas para optimizar la capacidad de testeo automatizado, disminuyendo tiempos de feedback para el equipo y para mejorar la confianza en sus servicios.
Para ayudar a los equipos en la implementación de mejoras, cada práctica presente en el modelo de capacidades contempla documentación que explica las formas de adoptarlas a través de ejemplos de otros equipos que lo hicieron anteriormente, ya sea en Sovos, o fuera, para las prácticas más nuevas.
En conclusión, el modelo de capacidades de Sovos nos brindó múltiples resultados orientados a diferentes públicos. Para los equipos de desarrollo, permite evaluar y orientar mejoras para lograr mayor eficiencia, mientras que para el team de management, permite entender el estado de los equipos a nivel de eficiencia, ayuda a tomar decisiones a nivel de capacitaciones e inversiones (infraestructura, por ejemplo), y entrega mejor visibilidad para definir dónde ejecutar proyectos.
