資策會展示自家DevSecOps整合工具,可涵蓋到程式品質管理、資安檢測與功能測試,不只讓想要自行發展或導入這類工具的企業可作為參考,同時指出這類工具可為委外開發管理帶來幫助。(攝影/羅正漢)

過去對於軟體開發與程式設計的資訊委外管理,普遍的作法,多是從清楚定義委外範圍、合約詳實記錄的角度出發,以履約管理約束委外供應商的品質,然而,大家時常還是會擔心外包商的技術與人力狀況。例如,廠商了解需求嗎?能否如期交付?是否已通過功能與安全測試?因為可能曾經遭遇無法如期驗收,品質低落不符需求的問題。

在7月舉行的臺灣雲端大會上,我們看到資策會發展出用一站式DevSecOps整合平臺,實踐委外管理的應用模式。為何開發這樣的系統可用於委外?他們表示,因為委外軟體開發期間往往缺乏透明度,需建立開放與透明的溝通管道,要求定期進度報告,以及定期稽查與回饋,而他們基於這些需求所開發的這套系統,不只內部開發團隊適用,也能解決委外開發透明度不足的問題,讓專案執行進度、各項資安檢測,都能在驗收前做到更好的即時掌控。

企業軟體開發委外,需面對驗收時出現不合預期的焦慮

基本上,資訊委外分為5大類型,包括:軟體開發與程式設計、資訊系統營運與維護、技術支援與客戶服務、數據管理與資料中心營運,以及雲端服務。

以軟體開發與程式設計的委外而言,資策會專案經理組長林君容表示,委外的確帶來許多好處,例如,現在企業可能為了增加競爭力,將非核心技術委外,讓自家人力可專注於核心業務,就是好處之一,但也有諸多管理議題與風險要注意,尤其是溝通與協調。

例如,從委外管理作業程序來看,首先是委外項目選擇與可行性分析,像是哪些專案適合委外?可不可以委外?以及供應商能力評估與選擇。接下來,除了簽約要確保契約細節清晰明確,並考量各種風險,在簽約流程之後的履約執行控制,又是另一重點。

畢竟,不論案子大小,在委外簽約之後,對於承辦人與經手人而言,還是會擔心各種層面的問題,包括:廠商進度及能否準時交付,以及交付成果可能存在落差,像是不確定外包商對需求的理解程度,甚至於系統臭蟲的妥善處理,資安檢測報告的真實度。

而在資策會與一些機關單位洽談的實際經驗中,他們也收集到很多抱怨。例如:「廠商說好的功能卻沒作到,他們會推託表示先前我們沒講,不然就是說好的交期一拖再拖,甚至做出跟當初要求的明顯不同。」林君容表示,這些情況的發生,對身兼數職的委外承辦人來說,實在苦不堪言。

對於軟體開發委外簽約後的履約執行控制,資策會專案經理組 長林君容表示,過往存在最後交付才見真章的風險,如何讓委外專案進度檢查透明化?借助DevSecOps一站式整合工具來管 控是一種方式。

透過一站式整合平臺,即時掌握委外開發進度與細節

關於如何因應上述委外痛點,以及履約執行控制難題,林君容也趁機介紹自家打造的DevSecOps一站式整合工具,並說明此平臺的特殊應用,可讓委外開發過程「看」得到、「管」得到、「摸」得到。

該平臺是資策會兩年前打造,以開源解決方案為基礎並整合既有工具,而成為資安檢測掃描的敏捷開發平臺,當中整合了Redmine、GitLab、Harbor等CI/CD工具軟體,程式碼品質與風險檢測工具SonarQube,網站安全弱點掃描工具OWASPZAP,API整合測試工具Postman,網頁行為錄製與自動化測試工具SideeX,以及測試實證環境。

由於市面上的DevSecOps相關工具,幾乎都是外商產品的天下,因此這次資策會說明他們開發的平臺框架內容之餘,對於想自行開發DevSecOps平臺的國內企業開發團隊而言,也帶來可從中借鏡的機會。

這樣的平臺對委外開發管理的具體幫助是?林君容表示,過去委外承辦人員要等到最後一刻,交期來臨才會收到外包商提供的光碟,此舉可能造成準備上線的成品,缺乏足夠時間修改。因此承辦人員更希望委外開發的程式碼,能做到自行管理,看得到專案進度,確認程式開發或檢測報告真假。

實務上,資策會如何運用這套平臺來管理委外程式開發?他們設法促使委外開發的整個環境與流程,都集中到企業能夠檢視的這個整合性平臺上。林君容表示,對於組織的委外承辦人而言,可透過此平臺提供的儀表板,看到專案執行進度、專案規畫、議題走向與溯源,以及需求開發歷程等。同時,在這平臺上,也能管到各項資安檢測。

基本上,專案程式碼一上傳,就會自動資安掃描測試,快速知道提交的程式是否存在問題,讓軟體開發專案從過程的一開始,就能依據檢測報告,進行資安強化。

至於備受各界關注的軟體物料清單(SBOM)平臺,資策會的這套DevSecOps系統也具備。林君容指出,去年底平臺新增這方面功能,讓第三方套件安全問題也能受管理。

因此,即便負責承辦人員沒有資訊背景,同樣能在此看到外包廠商開發成果——可在此執行驗測,並檢視資安報告的真實產出,也就是能掌握開發環境與開發交付成果,而非所有開發成果都隱藏在委外廠商端,難以確認狀態。相反地,承辦人本身如果有資訊背景,可從中檢視外包工程師處理每個議題,新增或更動的程式碼,另一方面,這也如同專家在側,可以學習廠商程式撰寫技巧。

林君容強調,在委外開發時,由於兩間公司具有不同文化背景,可能常因基於禮貌,詢問一次進度之後,之後就不好意思問第二次,或是問到第三次、覺得打擾對方而作罷,但委外業務的執行,可能會遇到對方缺乏當責觀念與行動,且未落實監督機制,因此如能建立開放、透明的溝通管道,將可以帶來相當大幫助。

綜觀上述應用方式,等於替企業進行委外開發管理作業,提供了新的思路,讓有能力的企業也能參考,進而自行設計打造自家的DevSecOps平臺,而資源不足的企業,也能採用這類型的應用服務,促使委外開發管理變得更容易與透明。

資策會展示自家DevSecOps整合工具,當中整合了Redmine、GitLab、Harbor等CI/CD工具軟體,程式碼品質與風險檢測工具SonarQube,網站安全弱點掃描工具OWASPZAP,API整合測試工具Postman,網頁行為錄製與自動化測試工具SideeX,以及測試實證環境。

打破傳統委外開發管理的透明度不足的枷鎖

關於委外管理,過去大家都談到要透明,但如果能即時監看進度、內容、歷程,顯然又提升到更易了解的程度,讓透明化做到更即時、深入,以及全面的狀態。

對此,林君容表示,過往的資訊委外管理透明,通常是指程序透明,例如,在執行選案選商應秉持公開、公正、透明等原則,對於資策會而言,他們開發的DevSecOps整合工具的委外管理應用,讓交付成品生動,所有交付可分散在不同迭代產生,讓承辦人及業務單位人員即時掌握進度與內容,不再是等到交期到了,才會看到的死板板光碟,或是已經沒有足夠時間可修改準備上線的成品。

另一個我們好奇的問題是,乍看這套工具,初期應該不是針對委外應用而來。林君容表示,資策會DevSecOps整合工具原是因應內部需求而打造。由於坊間工具相當多,加上資策會內部的團隊有上百個,而每個團隊都想自建CI/CD,但每個人的方法不同,且每次開設新專案就要重新做,這不僅是重工(重複工作)且將衍生難維護的問題,因此,他們決定建構出這樣的平臺,幫助同仁提升工作效率與程式品質。

後續資策會在內部推動此平臺的應用時,他們的委外廠商也一同加入,過程中他們發現,原來資訊委外管理的需求,並不亞於內部開發管理的需求,此時外包管理的應用才在內部發酵。而且,後續與其他機關單位互動時,也遇到對方指出外包管理是其痛點的情形。

綜合來說,這個平臺起初並非針對委外應用,但資策會從實務經驗中,注意到可為委外開發管理帶來助益的情形。同時,他們也將這樣的成果,以服務形式提供外界使用,林均容表示,資策會目前提供地端與雲端的解決方案,並有開源免費Lite版與付費企業版之分,如果你是小型團隊,或初次導入DevOps的企業開發團隊,可下載開源的Lite版本使用。

至於平臺是否為了委外應用,而增添更多相應管理功能?她表示,目前主要以查核點進度作為監控依據,未來將全面資訊管理儀表化,讓平臺可以更符合資訊委外承辦人員的需求。

熱門新聞

Advertisement