Как ВТБ выстраивает внутреннюю разработку ПО на базе методологии DevSecOps

19 июля 2019
В 2018 году в рамках трансформации работы ИТ-департамента ВТБ было принято решение о постепенном и преимущественном переходе к внутреннему (in-house) развитию ИТ-систем и создании внутри ИТ соответствующего блока разработки. Его возглавил Андрей Овсянников, заместитель руководителя департамента информационных технологий ВТБ.

Первоочередная цель, которая была поставлена перед ИТ-разработкой, - повысить скорость поставки и качество кода с соблюдением стандартов и требований информационной безопасности. Для этого необходимо было разработать новую методологию работы, создать и провести пилоты по апробированию технологического стэка. Ну и, конечно, - сформировать команды разработки, - рассказывал Андрей Овсянников



Методология DevSecOps (Development Security Operations) была выбрана как наиболее подходящий набор практик и инструментария для гибкого и непрерывного процесса внедрения изменений. Она позволяет улучшить качество кода и пропускную способность команд разработки, автоматизировать рутинные операции, сократить сроки проведения проверки разработанного кода на соответствие заявленным функциональным и эксплуатационным характеристикам. Новой методологией должны были в первую очередь начать пользоваться кросс-функциональные команды из бизнеса, ИТ и внешних поставщиков банка.

 В августе 2018 года стартовала первая фаза проекта, которая охватила пять ИТ-систем, относящихся к следующим классам:
• ДБО
• CRM
• АБС
• Web-приложение
• Решение на микросервисной платформе
В рамках этой фазы необходимо было заложить основу для совместной работы с поставщиками, обеспечить последующее тиражирование подходов на все собственные ИТ-системы банка. Предполагалось уменьшить время доставки ИТ-результата, сократить технологические окна при установке релизов ИТ-систем и обеспечить возможность внепланового обновления ИТ-систем без прерывания в обслуживании клиентов.
За первые 6 месяцев проекта был апробирован и внедрен единый формат построения DevSecOps pipeline, содержащий обязательные проверки для каждого этапа ИТ-разработки. Была сформирована команда экспертов по компетенциям DevSecOps. Запущен перевод систем на внутреннюю разработку. Успешно реализован пилотный проект.
Из ключевых результатов в ИТ-блоке ВТБ выделяют следующее:
• Развернуты инструменты Gitlab-CI, Nexus, Ansible, SonarQube, MF Fortify, Jira, Confluence
• Проведено обучение команд работе с новым инструментарием
• Сформирована основа команды и запущен процесс внутренней разработки программного обеспечения (ПО) с одновременным привлечением внешних поставщиков на базе практик DevSecOps
По состоянию на июль 2019 года проходит тиражирование практик на этап тестирования и дальнейшее развитие в периметре промышленной эксплуатации, уточнили в ВТБ.



Как и планировалось, на инструменты DevSecOps и внутреннюю разработку переведены системы первого этапа. Мы сформировали костяк команд внутренней разработки и подключили внешние команды поставщиков для совместной работы в периметре банка. Нами закуплен технологический стек для платформы DevSecOps, автоматизирован pipeline в части Continuous integration. Кроме того, реализованы технические работы по включению этапов автоматизированного анализа исходного кода в pipeline. На данных принципах DevSecOps будет строиться фабрика производства для всех разработчиков ВТБ, - подчеркивает Андрей Овсянников


Одновременно командой проекта построена целевая инфраструктурная платформа на базе гиперконвергентного решения Nutanix. Платформа обеспечивает необходимую гибкость для перехода на заявленную частоту релизов и скорость разработки. Для внешних поставщиков организован доступ для работы над совместными проектами.
Основные результаты проекта представлены в таблице 1. До конца 2019 года вся разработка ИТ-систем банка перейдет на методологию DevSecOps. Одновременно начинается поэтапное внедрение практик Continuous Delivery (непрерывная поставка) и Continuous Deployment (непрерывное развертывание).

Табл. 1. Основные результаты внедрения методологии DevSecOps

Успешное масштабирование DevSecOps ускорит внедрение и переход на слабосвязанную микросервисную ИТ-архитектуру, что также повысит скорость вывода новых решений и продуктов на рынок. Это позволит еще больше снизить сроки разработки и тестирования, увеличить количество релизов, рассчитывают в ВТБ.



Источник: TAdviser