DevOps Report 2022を見て思ったこと

投稿者 投稿日:

今年もGoogle CloudのDORAチームがDevOps Report 2022を発表した。
原文のPDFもあるが、、英語をスラスラ読む力はないので、Japan Teamが出してくれた抄訳を見ています。
参考はこちら

セキュリティ

いまソフトウェアのセキュリティ確保が世の中で喫緊の課題だと言われている。
ただそのセキュリティ対策スキルをもったプロフェッショナル人材がほとんどいない、確保できないとも言われていて、とはいえセキュリティリスクを放置して
事業リスクを抱えるわけにはいかないという状況だと思う。

セキュリティについて今回のレポートで一番目を引いたのは以下の部分

驚くべきことの一つは、組織のソフトウェア セキュリティ プラクティスの最大の予測因子は、技術的なものではなく文化的なものであるということでした。Westrum が定義しているように、パフォーマンスを重視する、信頼性が高く、非難されることが少ない文化は、権力や規律を重視する、信頼性が低く、非難されることが多い文化より、新しいセキュリティ プラクティスを導入する傾向がかなり高くなっています。それだけでなく、調査結果によると、セキュリティ プラクティスの確立を重視しているチームは、開発者の燃え尽き症候群を減らし、自分のチームを他の人に推薦する傾向が高いことが示されています。

https://cloud.google.com/blog/ja/products/devops-sre/dora-2022-accelerate-state-of-devops-report-now-out

セキュリティ対策の条件というところが、技術的なものではなくて文化的なものだと。
これってセキュリティにかかわらず、新しいアーキテクチャや開発手法の選択とも同じことが言えるんじゃないかと思った。
新しいプラクティスに対して、肯定的な組織・チームでなければプラクティスを行うモチベーションや試す機会も生まれないんだと思う。

逆に否定的な組織や、否定的ではないにしても無関心な組織では同じくプラクティスを導入することはないんだろう。

個人的なイメージでは後者の「否定的ではないが無関心な組織」が日本では多いんじゃないかと思ってる。もしくはセキュリティインシデント起きてほしくないから多少関心はあるが、インシデントが発覚するまでは機能追加を優先度をあげている組織といったこともあると思う。

セキュリティチェック(チェック企業に外注)して通したあとは継続的なチェックはされず、プロダクトオーナーの匙加減で、「この機能追加は変更が大きいからセキュリティチェックを発注しよう」こんな対応が多いんじゃなかろうか。

セキュリティインシデント(特に個人情報の流出など)がニュースで取り上げられることになっている現代社会ではセキュリティに対しての関心は当たり前なんだという状況にもなっていると思うので、その対策は技術的な話ではなく、
自分たちの組織の状態を振り返るのに良い機会なのではないかと感じた。

ソフトウェアデリバリーのパフォーマンス

もう1つ目に留まったところは、毎年見ているグラフの部分で今回は前年度と比べてハイパフォーマンスが減ってローパフォーマンスが増えたところ。

全体的に見た場合には上昇傾向なのかもしれないがその仮説として以下のように述べられていた。

この変化をもっとよく把握できるように、追加の調査を実施する予定ですが、現時点では、現在進行中のパンデミックがチームの知識共有、コラボレーション、イノベーションの能力を阻んでいることで、パフォーマンスの高いクラスタ数が減少し、パフォーマンスの低いクラスタ数が増加している一因となっている可能性があるという仮説を立てています。

https://cloud.google.com/blog/ja/products/devops-sre/dora-2022-accelerate-state-of-devops-report-now-out

これにはすごく共感するところがあった。
コロナによるテレワーク・リモートワークが当たり前となった昨今、ここで述べられているように、知識共有やコラボレーションの機会が減ったと感じることが多い。

それはカンファレンスや社内勉強会だったり大きなものから、雑談・small talkレベルでの共有が減ったと思う。
zoomやmeetなどでもちろん会話はできるはできる。
とはいえ、今まで無意識的にやっていたことを意識的にやる必要があって
それって仕事の話だけではなく、プライベートの話の一環からつながるケースもあるのでオンラインだけではどうしても足りない。

その結果がこのレポートに表れているんじゃないかと。

今後のレポート

勝手な予想としては今後のレポートでは、
組織・チームの風土がどうなっているか と コミュニケーションの課題 をクリアしている会社とそうではない会社によってパフォーマンスが二極化していくんじゃないかと思っている。

プロダクトがよほど世の中にヒットするものでなければ、そこを意識して解消している会社が成長していくんじゃないかと。

関連記事

  1. DXDXDXと叫ぶその前に
  2. SRE組織作ればSREになる!?
  3. 岸和田2歳児置き去り死亡した事故