Avanzar rápido sin inconvenientesDesarrollo de software de alta velocidad en empresas altamente reguladaspor Greg Hughes, director general de Serena Software (ahora, Micro Focus®)
Informe oficialMicro Focus Solutions Business Manager (SBM)Deployment AutomationDimensions CMChangeMan ZMF
Índice página
Presión por avanzar rápido . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1Por qué avanzar rápido puede traer inconvenientes: prácticas frente a políticas y sistemas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2Riesgos de seguridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4Riesgos de cumplimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 5Riesgos de rendimiento . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 6Avanzar rápido sin inconvenientes: las mejores prácticas para la empresa . . . 7¿Por qué Micro Focus? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8Conclusiones y resumen . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 16Referencias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 18
1www.microfocus.com
Hoy en día, las empresas se ven sometidas a una enorme presión por acelerar la velocidad de
innovación de software debido a la competencia y a la oportunidad de explotar tecnologías
innovadoras, como los dispositivos móviles . Esta presión conlleva que las organizaciones de
desarrollo de aplicaciones apliquen una serie de prácticas modernas, desarrolladas en pequeñas
empresas, al ciclo de vida de desarrollo del software (SDLC) .
En la carrera por ofrecer software más rápido, las pequeñas empresas pueden permitirse adoptar
los principios de Facebook: “avanzar rápido con inconvenientes”. Sin embargo, con el fin de
avanzar más rápido y adoptar las prácticas de desarrollo actuales, las grandes empresas deben
evitar el aumento de los riesgos de seguridad, cumplimiento y rendimiento en el ciclo de vida
del desarrollo de software . La gestión de los riesgos del SDLC es particularmente importante en
sectores muy regulados y que manejan información confidencial, como los servicios financieros,
el gobierno, la salud, la automoción y la defensa .
En muchas empresas altamente reguladas, el software privativo garantiza procesos empresariales
diferenciados, productos únicos y servicios más valorados . Los riesgos en el ciclo de vida de
desarrollo del software pueden poner en peligro valiosos activos empresariales, como:
La propiedad intelectual
La reputación y la confianza del cliente
El estatus legal y normativo
El capital financiero
¿Cómo debe ser la gestión ejecutiva en los sectores altamente regulados para garantizar que sus
equipos de desarrollo de aplicaciones adoptan las prácticas de desarrollo actuales al tiempo que
gestionan los riesgos de seguridad, cumplimiento y rendimiento? En otras palabras, ¿qué pueden
hacer las empresas para “avanzar rápido sin inconvenientes”?
Presión por avanzar rápido
Vivimos en una época de cambios constantes y vertiginosos impulsados por la innovación de
software .
El desarrollo de software es más estratégico y esencial que nunca, lo que tiene como consecuencia
una presión enorme por reducir los tiempos del ciclo de desarrollo . En respuesta, los equipos de
desarrollo de aplicaciones de todos los sectores están adoptando prácticas actuales como:
¿Cómo deben actuar los responsables ejecutivos de sectores altamente regulados para garantizar que sus equipos de desarrollo de aplicaciones adoptan las prácticas de desarrollo actuales al tiempo que gestionan los riesgos de seguridad, cumplimiento y rendimiento?
2
Informe oficialAvanzar rápido sin inconvenientes
El desarrollo Agile, que enfatiza con frecuencia la entrega de software funcional para satisfacer a los clientes y aborda los requisitos cambiantes, incluso en las fases avanzadas del desarrollo (Kent Beck, 2001).
El desarrollo paralelo, que permite que varios desarrolladores trabajen en las funciones en paralelo y fusionen los cambios después en una sola “línea central” (Appleton, 2003).
La integración continua, que fomenta las pruebas de integración y compilación automatizadas y frecuentes de ramas paralelas para identificar los defectos con prontitud y reducir las tareas de rectificación (Fowler, 2006).
La entrega continua, que se centra en el uso de la automatización, la práctica de controles estrictos de las versiones y la colaboración para acelerar la implantación de los cambios del software a través de un canal de despliegue hasta la fase de producción (Farley, 2011).
Lean, que se adapta a los principios del sistema de producción de Toyota para el desarrollo de software, incluidos los paneles Kanban, que eliminan el gasto innecesario (es decir, las actividades que no aportan valor al cliente) y los lotes pequeños (Jez Humble, 2014) (Vodde, 2009).
DevOps, cuyo objetivo es mejorar la colaboración y los objetivos compartidos entre los equipos de desarrollo y operaciones para abordar las metas conflictivas entre ambos equipos (Gene Kim, 2015).
El desarrollo de software innovador es fundamental para desbloquear el potencial de las
tecnologías innovadoras . Según la investigación realizada por McKinsey & Co ., las tecnologías
innovadoras tienen “el potencial para impulsar un impacto económico de entre 14 billones y
33 billones de dólares estadounidenses al año en 2025” (James Manyika, 2013) . Esta tecnología
incluye:
Los dispositivos móviles: el iPhone 4, a un precio de 400 USD, equivale en rendimiento a la supercomputadora más rápida de 1975, que costó 5 millones de USD.
La inteligencia artificial: el rendimiento de la capacidad informática se ha multiplicado por cien desde el Deep Blue de IBM (que fue el campeón de ajedrez en 1997) hasta Watson (el campeón de Jeopardy en 2011).
El Internet de las cosas: en los últimos cinco años, ha habido un aumento del 300 % en los dispositivos interconectados entre máquinas.
La tecnología en la nube: la relación precio-rendimiento de un servidor público en la nube se duplica cada 18 meses.
Adoptar las prácticas de desarrollo actuales se ha convertido en una cuestión de supervivencia .
Por qué avanzar rápido puede traer inconvenientes: prácticas frente a políticas y sistemas
Los desarrolladores de software deberían tener liberad para adoptar las prácticas actuales con el
fin de hacer mejor su trabajo.
Sin embargo, aunque estas prácticas conllevan ventajas, los sistemas y las políticas relacionadas
con ellas son habitualmente muy débiles e introducen vulnerabilidades en el ciclo de vida de
desarrollo del software que pueden ser especialmente problemáticas para las grandes empresas
en sectores altamente regulados .
El desarrollo de software innovador es fundamental para desbloquear el potencial de las tecnologías innovadoras.
3www.microfocus.com
Estas vulnerabilidades incluyen:
Permitir la proliferación de múltiples repositorios de código fuente abierto (por ejemplo, GIT o SVN).
Dejar que los desarrolladores configuren y administren sus repositorios de código fuente sin los sistemas de seguridad adecuados ni una política global.
Controles de acceso, protección de contraseña y mecanismos de autenticación de mala calidad para un equipo de desarrollo distribuido globalmente.
Controles y aplicación de procesos débiles como:
– Gestión de cambios
– Pruebas y controles de calidad automáticos
– Ciclo de vida de desarrollo seguro y análisis de seguridad estática
– Control del uso del módulo de código fuente abierto
– Gestión de la incorporación de empleados y proveedores
Procesos altamente manuales
Falta de un registro de eventos detallado y de trazabilidad, lo que conlleva un soporte de auditoría débil
Separación insuficiente de la autorización de tareas y funciones
Aunque las pequeñas empresas pueden adoptar los principios de Facebook: “avanzar rápido
con inconvenientes”, las grandes empresas, especialmente aquellas pertenecientes a los sectores
altamente regulados, necesitan avanzar rápido sin inconvenientes .
Mientras los desarrolladores de software adoptan nuevas prácticas para acelerar la comercialización
de las funciones, los ejecutivos y los accionistas deben ocuparse de que se gestionen adecuadamente
los riesgos en el SDLC .
Para equilibrar estos principios contradictorios, los ejecutivos deben aplicar la filosofía de gestión
de riesgos empresariales (ERM) en el SDLC . Aplicar la gestión de riesgos empresariales al SDLC
requiere que los equipos de desarrollo de aplicaciones, gestión de cambios, seguridad y riesgo de
TI, y auditoría colaboren y trabajen estrechamente con los expertos del sector .
Aplicar la filosofía de gestión de riesgos empresariales en el SDLC comienza con la identificación
de los riesgos de seguridad, cumplimiento y rendimiento en el desarrollo de software .
Aplicar la filosofía de gestión de riesgos empresariales en el SDLC comienza con la identificación de los riesgos de seguridad, cumplimiento y rendimiento en el desarrollo de software.
4
Informe oficialAvanzar rápido sin inconvenientes
Las amenazas cibernéticas son un problema creciente en los sectores altamente regulados.
Riesgos de seguridad
El 12 de enero de 2010, Google reveló mediante una publicación en un blog que había sido víctima
de un ciberataque muy sofisticado que tenía como objetivo su propiedad intelectual más valiosa:
su código fuente (Drummond, 2010) . El ataque, posteriormente conocido como la “Operación
Aurora”, se originó en China y su objetivo era robar o quizás incluso modificar el código fuente
de docenas de empresas estadounidenses de diversos sectores delicados como el software, la
defensa o los servicios financieros. El ataque fue uno de los primeros ejemplos de una “amenaza
persistente avanzada”, una sigilosa red de malware que se infiltra silenciosamente en una red,
busca la propiedad intelectual valiosa y, cuando se dan las condiciones adecuadas, la roban antes
de que salten las alarmas .
Según Dmitri Alperovitch, vicepresidente de McAfee Labs, “los sistemas de gestión de código
fuente estaban muy abiertos . Nadie había pensado en protegerlos hasta entonces, pero eran la
joya de la corona de muchas empresas por varios motivos . De hecho, son mucho más valiosos que
cualquier dato identificable personal o financiero que posean y al que dediquen mucho tiempo
y esfuerzo en proteger” (Zetter, 2010) .
Las amenazas cibernéticas son un problema creciente en los sectores altamente regulados, como
demuestra el director general de JP Morgan Chase, que declaró que el banco duplicará su gasto en
seguridad cibernética de 250 millones a 500 millones de dólares estadounidenses al año, después
de una reciente vulneración muy notoria (Tracy, 2014) .
Estas amenazas cibernéticas provienen de dos fuentes de categorías diferentes con distintas
motivaciones: las internas y las externas a la empresa:
Las internas: después de lo ocurrido con Edward Snowden, las organizaciones se están dando cuenta de los enormes daños que pueden causar las personas que tienen permiso para acceder a la información, como empleados, proveedores y equipos externos. Aunque las amenazas internas no siempre tienen malas intenciones, ya que, con frecuencia, se causan daños desde dentro por mero desconocimiento. El autor ha descubierto recientemente el caso de un cliente del sector de servicios financieros que contaba con un desarrollador que enviaba por correo electrónico el código fuente a su propia casa.
Las externas: las amenazas externas tienen mayor financiación, sofisticación y organización. Normalmente se clasifican en estos cuatro tipos:
1. Patrocinadas por el estado
2. Crimen organizado
3. Activistas
4. Terroristas
5www.microfocus.com
Existe una amplia variedad de amenazas a la seguridad del SDLC, como:
El robo de la propiedad intelectual: el código fuente puede ser la propiedad intelectual más importante creada por una empresa. En la “Operación Aurora”, Google, Adobe, Juniper Networks y Rackspace confirmaron que sus sistemas habían sido atacados. Los medios de comunicación publicaron que, además de estas, también hubo decenas de empresas importantes que sufrieron ataques.
Los cambios no autorizados al código fuente (la “puerta trasera”): los atacantes que consiguen acceder al código fuente pueden instalar “puertas traseras”, lo que les permite “dirigir y controlar” las funciones fundamentales.
La utilización del código fuente para identificar las vulnerabilidades: estudiar el código fuente robado puede dar información suficiente a los atacantes para encontrar nuevas vulnerabilidades en los sistemas que fijen como objetivo.
La corrupción a lo largo del proceso hasta la fase de producción: en la mayoría de empresas, trasladar el código finalizado desde el desarrollo hasta las operaciones es un proceso manual sin control que se paraliza por las noches y durante los fines de semana. Las aplicaciones de varios niveles requieren cambios coordinados en los que intervienen muchas personas, plataformas y entornos, como mainframe, sitios web, sistemas en la nube, bases de datos, etc. Si estos cambios no se realizan correctamente, los sistemas pueden quedar expuestos a las vulnerabilidades en cada paso manual.
Riesgos de cumplimiento
Desde la promulgación de la ley Sarbanes-Oxley (SOX) en 2002, la gestión de la conformidad con
la normativa es una exigencia creciente en el SDLC . La creciente diversidad de las normativas en
los diferentes niveles (estatal, federal e internacional) hace que sea más difícil mantenerse al día
con los cambios necesarios en el SDLC, especialmente en los sectores altamente regulados como:
Los servicios financieros: la ley de confidencialidad Gramm-Leach-Bliley (GLBA), Dodd-Frank, Basel III
Las aseguradoras: la regla de modelos de auditoría
Transacciones: la norma de seguridad de datos del sector de pagos con tarjeta (PCI DSS)
La sanidad: la ley de portabilidad y responsabilidad de los seguros médicos (HIPAA), la ley de cuidados de la salud asequibles
La automoción: ISO26262
El gobierno: los estándares federales de procesamiento de la información y la ley federal de gestión de la seguridad de la información (FIPS, FISMA)
La industria aeroespacial y de defensa: la ley de control de exportaciones
El cumplimiento de la nueva normativa es costoso . Por ejemplo, se calcula que la norma Reg
SCI de SEC (cumplimiento e integridad de los sistemas), que se aplica a 44 entidades, supondrá
un gasto inicial de 242 millones de USD en total, junto con otros 191 millones de USD en gastos
anuales .
El riesgo de incumplimiento es un problema grave para los ejecutivos de los sectores altamente
regulados . Las molestias y los gastos causados por un litigio son demasiado graves para los equipos de
gestión y las sanciones impuestas por las instituciones de gobierno pueden ser enormes .
La creciente diversidad de las normativas en los diferentes niveles (estatal, federal e internacional) hace que sea más difícil mantenerse al día con los cambios necesarios en el SDLC.
6
Informe oficialAvanzar rápido sin inconvenientes
El ciclo de vida de desarrollo del software para sistemas críticos es el objetivo principal de estas
normativas (Epps y Norris, 2012) (MSDN, 2006) . El cumplimiento de la normativa requiere
la adopción de prácticas de desarrollo seguro y de procesos de gestión rigurosos como la
autorización, la segregación de tareas, el control de cambios y el soporte de las auditorías (por
ejemplo, el registro y la realización de informes) .
Además de la conformidad normativa, el cumplimiento de las leyes es otro problema para
el SDLC . Los desarrolladores de software están utilizando cada vez más el código fuente que
está disponible en línea de manera gratuita para cumplir plazos exigentes . ¿Cómo se rastrea
y se supervisa todo este código fuente? ¿Cómo se aseguran las empresas de que se siguen las
restricciones de las licencias? Y, finalmente, ¿cómo se aseguran las empresas de que este software
se corrige y se actualiza cuando es necesario?
Riesgos de rendimiento
La definición de rendimiento utilizada aquí es muy amplia: el rendimiento significa que el
software realiza aquello para lo que se ha diseñado . Los riesgos de rendimiento se dan en el SDLC
cuando no se llevan a cabo las pruebas adecuadas y se pueden sortear antes de que el código
llegue a producción . El proceso de lanzamiento que traslada el código de la fase de desarrollo a la
de producción es uno de los pasos más peligrosos del SDLC .
Uno de los ejemplos más catastróficos del riesgo del rendimiento es el caso de Knight Capital
(Heusser, 2012) . Knight Capital era una empresa de negociación de alta frecuencia y uno de los
principales operadores de bolsa de Estados Unidos . En junio de 2012, la Bolsa de Valores de
Nueva York obtuvo permiso para lanzar su programa RLP para negociar acciones de empresas
minoristas e informó a las empresas de intercambio de valores, entre ellas, Knight Capital, de que
dicho programa estaría disponible desde el 1 de agosto .
Debido a las prisas por conseguir que su software comercial estuviera preparado para esa fecha,
Knight Capital cometió un terrible error que causó la pérdida de aproximadamente 440 millones
de dólares estadounidenses en los primeros 30 minutos . Esta enorme pérdida hizo tanto daño a la
empresa que tuvo que ser adquirida por la competencia (Getco LLC) .
Además de la conformidad normativa, el cumplimiento de las leyes es otro problema para el SDLC.
7www.microfocus.com
A medida que las empresas adoptan nuevas prácticas para acelerar el desarrollo de aplicaciones, las empresas de sectores muy regulados deberían adoptar un enfoque disciplinado y programático para garantizar la seguridad, el cumplimiento y el rendimiento del SDLC.
En el artículo “Trying to Be Nimble, Knight Capital Stumbles” (Knight Capital tropieza en su
intento de ganar agilidad), publicado en el New York Times, la competencia puso en duda el
enfoque agresivo de Knight Capital (Silver-Greenberg, 2012) . “El plazo entre la aprobación del
software y su implementación fue increíblemente rápido”, declaró un directivo de otra empresa
de intercambio de valores .
Un análisis detallado del error indicó que Knight Capital implementó erróneamente en la
producción un módulo de software de prueba que ejecutaba sus propias operaciones en lugar de
responder a operaciones externas (Nanex Research, 2012) . Este módulo de software de prueba,
que nunca debería haberse implementado en la producción, se incluyó accidentalmente en el
paquete de lanzamiento y se activó en el sistema real de la bolsa de valores de Nueva York .
Avanzar rápido sin inconvenientes: las mejores prácticas para la empresa
A medida que las empresas adoptan nuevas prácticas para acelerar el desarrollo de aplicaciones,
las empresas de sectores muy regulados deberían adoptar un enfoque disciplinado y programático
para garantizar la seguridad, el cumplimiento y el rendimiento del SDLC . La siguiente lista ofrece
las cinco mejores prácticas a tener en cuenta con este fin.
1. Adoptar herramientas sencillas para los desarrolladores. Esta es la regla número uno por un motivo: si a los desarrolladores no les gustan las herramientas elegidas, evitarán utilizarlas. Y no importará nada más. La tecnología de gestión de riesgos debe actuar como una protección invisible para los desarrolladores. El desarrollo de aplicaciones quedará “excluido” de los sistemas proporcionados por TI si no permiten las prácticas avanzadas que el equipo elija o si su uso es demasiado engorroso. Las herramientas deben adoptar las prácticas de desarrollo actuales y ser compatibles con las interfaces de usuario modernas.
2. Actualizar el nivel de control del proceso en el SDLC de manera integral. En muchas empresas, el SDLC se compone de muchos productos distintos sin una base sólida de gestión del flujo de trabajo entre productos. Las herramientas sólidas de gestión de procesos facilitan la coordinación de las actividades y de la información entre las herramientas y proporcionan el control de acceso y el seguimiento de eventos necesarios para la gestión del riesgo. Las áreas clave de los procesos entre productos son:
La imposición del uso de las prácticas del ciclo de vida de desarrollo seguro, por ejemplo, el análisis de la seguridad y del código abierto
La gestión sólida de los cambios, como las peticiones de cambios en el código fuente para lograr la integridad
La gestión del lanzamiento, como, por ejemplo, garantizar que se siguen los pasos aprobados por el comité de asesoramiento en materia de cambios (CAB)
La incorporación y la salida de empleados y proveedores
8
Informe oficialAvanzar rápido sin inconvenientes
3. Automatizar siempre que sea posible. Sustituir los pasos manuales por la automatización permite las repeticiones, disminuye los gastos y reduce la probabilidad de errores (ya sean intencionales o no). En algunos casos, la automatización supone muchas ventajas: aumenta la velocidad de las operaciones y reduce los costes, garantizando el control y la trazabilidad. Por ejemplo, en la mayoría de empresas, la implementación de aplicaciones es un proceso intenso y laborioso que involucra a muchas personas por la noche y durante los fines de semana. Los productos de automatización de la implementación de aplicaciones pueden eliminar cientos de pasos manuales, sustituyéndolos por un proceso estandarizado, auditable y automatizado.
4. Controlar la “proliferación de repositorios” y crear un “sistema de gestión de código fuente optimizado” centralizado. Esta es la consecuencia de la regla número uno. Demasiadas empresas dejan que el número de repositorios de código fuente crezca sin control porque los desarrolladores pueden configurar fácilmente sus propios sistemas basados en código abierto, como GIT y Subversion. La gestión de configuración y cambios de software (SCCM) debe estar centralizada y “optimizada”, por ejemplo, configurada de forma segura, administrada correctamente e instalada en un servidor seguro e independiente (McAfee Labs, 2010). La selección de proveedores es fundamental, ya que no todos los productos de SCCM admiten un nivel suficiente de seguridad y control, como controles de acceso integrados y estrictos, auditorías y registros detallados (con objeto de identificar los comportamientos anómalos, proporcionar capacidad de auditoría y respaldar los análisis forenses posteriores a incidentes), la revisión integral entre compañeros y las líneas de base. Las empresas de mayor rendimiento se centran en las prácticas de controles estrictos de versiones (Puppet Labs, 2014). Por ejemplo, Google tiene un repositorio de código único que admite 15 000 ingenieros y 5500 aprobaciones de código y pruebas automatizadas a diario. Si los ejecutivos de Google pueden controlar la proliferación del repositorio, cualquiera puede hacerlo.
5. Seguir utilizando el mainframe para los sistemas transaccionales principales. Muchas empresas siguen aumentando su capacidad de mainframe, entre otras razones, por la seguridad incomparable que proporcionan estos sistemas. Las vulnerabilidades de mainframe (según NIST y US-CERT) se encuentran en cifras de un solo dígito, en comparación con las miles de Windows, Linux o UNIX.
¿Por qué Micro Focus?
Durante los últimos 35 años, Serena (ahora, Micro Focus) se ha centrado en la misión de ayudar a
grandes empresas muy reguladas a mejorar el ciclo de vida del desarrollo de software, realizando
entregas de software más rápidas y con menor riesgo .
Micro Focus comprende los problemas únicos de las grandes empresas altamente reguladas,
ya que da servicio a más de la mitad de las empresas de la lista Fortune 100 de distintos sectores,
como aseguradoras, banca comercial, transacciones, gestión de activos, gubernamentales,
hospitales y planes de sanidad, defensa y seguridad nacional, y telecomunicaciones . Por ejemplo,
los clientes de Micro Focus de EE . UU . incluyen:
8 de los 10 principales bancos
5 de las 5 principales empresas aeroespaciales y de defensa
6 de las 10 empresas de seguros de vida principales
3 de las 3 principales empresas de seguros sanitarios y gestión de cuidados
Micro Focus comprende los problemas únicos de las grandes empresas altamente reguladas, ya que da servicio a más de la mitad de las empresas de la lista Fortune 100 de distintos sectores, como aseguradoras, banca comercial, transacciones, gestión de activos, gubernamentales, hospitales y planes de sanidad, defensa y seguridad nacional, y telecomunicaciones.
9www.microfocus.com
Para satisfacer las demandas de estas empresas líderes en sus sectores, Micro Focus proporciona
al cliente servicios galardonados y excepcionales con un personal con gran experiencia,
compuesto por empleados de servicio al cliente con una permanencia media de 11 años . Este
enfoque hacia el cliente se ve recompensado por una gran fidelidad: los 100 clientes principales
llevan trabajando con Micro Focus un promedio de 18 años .
Los cuatro productos principales de Micro Focus aceleran la adopción de las mejores prácticas en
el SDLC:
Micro Focus Solutions Business Manager (SBM): una plataforma de flujo de trabajo para actualizar el nivel de control del proceso en todo el SDLC.
Micro Focus Deployment Automation: para automatizar la etapa de implementación de aplicaciones.
Micro Focus Dimensions CM: un sistema de gestión de cambios de software (SCM) ampliable, rastreable, seguro y sencillo para los desarrolladores que sirve para controlar la proliferación del repositorio.
Micro Focus ChangeMan ZMF: el mainframe de SCM líder para las aplicaciones transaccionales esenciales.
Micro Focus se centra en la primera regla de las mejores prácticas: garantizar que todos los
productos resulten sencillos para los desarrolladores . Los desarrolladores de software de Micro
Focus utilizan los productos de la propia empresa para el SDLC y emplean consejos asesores de
clientes, grupos de usuarios virtuales y eventos para obtener los comentarios de los clientes .
Las soluciones de Micro Focus abordan la complejidad del SDLC empresarial, mediante la
integración con soluciones de terceros (de código abierto, patentados, de mainframe) y los
procesos personalizados fácilmente adaptables .
Solutions Business Manager En una gran empresa, el ciclo de vida de desarrollo del software se compone de flujos de
trabajo entre equipos especializados que se comunican entre diferentes áreas funcionales en
las que se usan distintas herramientas . En el proceso de liberación de software, por ejemplo,
están involucrados las funciones de desarrollo, control de calidad y operaciones, y entre las
herramientas utilizadas se incluyen la gestión del código fuente, las bases de datos de fallos y la
gestión de las pruebas. Otros flujos de trabajo incluyen la gestión del cambio, el seguimiento de
defectos y problemas, la gestión de los proveedores y la incorporación de empleados .
Muchas organizaciones tienen estos flujos de trabajo en estado “no gestionado” y dejan que los
empleados utilicen una colección ad hoc de tecnologías (como correo electrónico u hojas de
cálculo) para compatibilizar la coordinación necesaria para realizar su trabajo . Sin embargo,
aunque parezca que ahorran una pequeña cantidad de dinero, hay una serie de costes ocultos y
problemas con este enfoque de “no gestión” .
Las soluciones de Micro Focus abordan la complejidad del SDLC empresarial, mediante la integración con soluciones de terceros (de código abierto, patentados, de mainframe) y los procesos personalizados fácilmente adaptables.
10
Informe oficialAvanzar rápido sin inconvenientes
Las empresas más grandes deberían pasar de los flujos de trabajos “no gestionados” a otros
“gestionados” en sus SDLC mediante una aplicación de procesos para obtener las siguientes
ventajas:
Impulsar un proceso uniforme y estándar
Realizar un seguimiento de los pasos para cumplir las políticas y normativas, y contar con registros con fines de auditoría
Proporcionar transparencia y rendición de cuentas, de forma que se muestre quién está haciendo qué y quién no
Eliminar y corregir los obstáculos en los procesos para que mejoren continuamente
Automatizar y organizar medidas para reducir el tiempo empleado en las actividades que no aportan valor
Tradicionalmente, las aplicaciones basadas en procesos en el SDLC se han desarrollado a través
de uno de estos dos enfoques: si existen, mediante la adquisición de una aplicación empaquetada
o un servicio SaaS, o a través de la creación de un sistema propio . Los sistemas propios
están construidos de diversas formas: aplicaciones de desarrollo personalizado en lenguajes
de programación modernos, además de herramientas de creación de guiones en productos
individuales o, incluso, utilizando Lotus Notes y SharePoint .
Con frecuencia, las aplicaciones empaquetadas son inflexibles, ya que resulta difícil
personalizarlas o adaptarlas a futuros cambios . Los sistemas propios suelen ser difíciles de
mantener y pueden carecer de funciones empresariales básicas como la seguridad y los controles
de acceso .
Micro Focus ofrece una “tercera vía” para desarrollar aplicaciones basadas en procesos para
la gestión de flujos de trabajo en el SDLC: el empleo de la plataforma de automatización de
procesos de gestor de negocios Solutions Business Manager . Solutions Business Manager es
una plataforma de gestión de procesos empresariales (BPM) para TI diseñada desde cero para
automatizar procesos clave durante el desarrollo de aplicaciones, la gestión de lanzamientos y las
operaciones de TI, así como necesidades más amplias de servicios de TI .
Los clientes de Micro Focus suelen aplicar la plataforma Solutions Business Manager en tres fases
progresivas (consulte la Tabla 1):
1. Lograr resultados a corto plazo en el SDLC
2. Aplicar Solutions Business Manager para gestionar procesos más amplios de TI
3. Ampliar Solutions Business Manager en los procesos empresariales vinculados con TI
Micro Focus ofrece una “tercera vía” para desarrollar aplicaciones basadas en procesos para la gestión de flujos de trabajo en el SDLC: el empleo de la plataforma de automatización de procesos de gestor de negocios Solutions Business Manager.
11www.microfocus.com
Solutions Business Manager ofrece las siguientes ventajas como plataforma de gestión de flujos de
trabajo de procesos:
Crear rápidamente aplicaciones basadas en procesos. Comience con una de las plantillas de procesos básicas y, a continuación, utilice Composer (un diseñador de aplicaciones basado en procesos unificado) para perfeccionarla. Composer es un diseñador completamente visual que modela todos los aspectos de una aplicación, incluidos flujos de trabajo humanos, flujos de trabajo de sistemas, integraciones, formularios dinámicos, interacción del usuario, reglas empresariales, funciones, privilegios, informes y dependencias.
Personalizar y adaptar fácilmente. Los analistas empresariales pueden modificar fácilmente flujos de trabajo, formularios, datos, integraciones, reglas, privilegios y otros elementos de clasificación con Solutions Business Manager Composer, e implantarlos sin perjudicar la integridad del proceso ni extraviar historiales ni datos. Opcionalmente, los cambios se pueden aplicar a elementos de procesos en curso. Las versiones de los cambios de procesos se controlan automáticamente en las fases de diseño y ejecución, y es posible realizar reversiones fácilmente.
Integración con otros sistemas. Utilizar el motor de organización incorporado para gestionar integraciones sofisticadas con otros sistemas a través de servicios web y API basadas en REST. Recopilar información de distintas fuentes y entregarla a los usuarios en tiempo real. Automatizar pasos que anteriormente requerían interacción manual.
Composer es un diseñador completamente visual que modela todos los aspectos de una aplicación, incluidos flujos de trabajo humanos, flujos de trabajo de sistemas, integraciones, formularios dinámicos, interacción del usuario, reglas empresariales, funciones, privilegios, informes y dependencias.
Fase Ejemplos
1. Lograr resultados a corto plazo en el SDLC. Actualizar el nivel de control de procesos de SDLC suele ser una buena oportunidad para Solutions Business Manager.
Micro Focus ofrece plantillas de procesos para diversos flujos de trabajo de SDLC, entre los que se incluyen:
Gestión de problemas y defectos
Gestión de peticiones de cambio
Gestión de trabajos y proyectos
Gestión de casos de prueba
Gestión de código abierto
Gestión de lanzamientos: Micro Focus proporciona una aplicación integrada en la parte superior de la plataforma Solutions Business Manager para la gestión de lanzamientos. Micro Focus Release Control ayuda a madurar el proceso de gestión de lanzamientos, e incrementa la transparencia, la trazabilidad y el control.
2. Aplicar Solutions Business Manager para gestionar los procesos más amplios de TI. Es una excelente plataforma para la gestión de procesos de TI.
Gestión de servicios de TI. Micro Focus Service Manager, por ejemplo, es una aplicación integrada en la parte superior de la plataforma Solutions Business Manager que ayuda a impulsar el progreso hacia la gestión de procesos basada en ITIL para gestionar incidentes, cambios y problemas
Gestión de la seguridad. Por ejemplo, gestión de incidentes de seguridad o gestión de certificados
Gestión y seguimiento de activos
Provisión para servidores
Investigación de causas
3. Ampliar Solutions Business Manager en los procesos empresariales vinculados con TI. Los usuarios más activos de Solutions Business Manager lo amplían para gestionar multitud de procesos empresariales.
Recursos humanos: contratación y despido de empleados, gestión de trabajadores externos, aprovisionamiento de nuevos empleados
Ventas: proceso de elaboración de presupuestos, aprobación de descuentos, referencias de clientes
Finanzas: reembolso de gastos de viaje, aprobación de peticiones de viaje, peticiones de compra, peticiones de inversión en capital
Legal: aprobación de copias, celebración de litigios
Específicos del sector: procesamiento de reclamaciones, gestión de ensayos clínicos
Tabla 1.
12
Informe oficialAvanzar rápido sin inconvenientes
Aprovechar las soluciones completas de informes y auditoría. Eliminar obstáculos de procesos con una biblioteca integrada de listas, distribución, tendencias, informes y consolas. Los usuarios finales pueden crear informes eficaces para gestionar y medir el trabajo automatizado en Solutions Business Manager con los asistentes de creación y edición de fácil uso. Además, Solutions Business Manager ofrece auditorías de cambios completas, con identificación y elaboración de informes de cambios automáticas, por lo que proporciona soporte para el control de normativas.
Modelo privilegiado basado en procesos ampliable y personalizable con Solutions Business Manager Composer. Los diseñadores de procesos pueden definir la seguridad basada en funciones a nivel de aplicación hasta los niveles de datos y campo, y acciones de flujos de trabajo específicas para satisfacer los requisitos de cumplimiento de normativas y seguridad. Además, el motor de entrada única (SSO) de Solutions Business Manager garantiza que la identidad de los usuarios participantes se propague de forma segura a través de cualquier flujo de trabajo de sistemas desencadenado para conservar la integridad de las transacciones.
Compatibilidad con toda la gama de dispositivos de usuario (móvil, tablet y PC). Esto incluye aprobaciones de acceso rápido y notificaciones puntuales en el momento y el lugar de trabajo de los usuarios.
Solutions Business Manager y sus aplicaciones de procesos son la base de una estrategia para
actualizar el control de procesos en el SDLC de manera integral, y aplicar esa eficiencia a TI y al
resto de la empresa .
Deployment AutomationComo ya se ha señalado, muchas empresas caminan hacia un enfoque de desarrollo de software
de gran velocidad para lanzar aplicaciones nuevas y mejoradas . El desarrollo rápido de software
impulsa los ingresos, ya que el software no aporta beneficios económicos hasta que está en manos
de los usuarios .
Actualmente, sin embargo, la mayoría de empresas utiliza un proceso de implantación de
aplicaciones de forma manual en gran medida . Esto implica el uso de guiones personalizados
detallados para cada nivel de aplicaciones (por ejemplo, bases de datos, web, servidor) y puede
requerir que docenas de personas pasen horas al teléfono .
Es imposible que este laborioso proceso de implantación pueda hacer frente a una mayor
frecuencia de lanzamientos de software sin incrementar significativamente el riesgo de que se
produzcan errores en el rendimiento o vulneraciones de la seguridad . Además, las empresas
sujetas a regulaciones estrictas deben ofrecer soporte para el seguimiento detallado y la
separación de tareas necesarios para el cumplimiento de requisitos, algo difícil en un proceso
manual .
Solutions Business Manager y sus aplicaciones de procesos son la base de una estrategia para actualizar el control de procesos en el SDLC de manera integral, y aplicar esa eficiencia a TI y al resto de la empresa.
13www.microfocus.com
La solución de Micro Focus pasa por automatizar la implantación de aplicaciones con Deployment
Automation .
El uso de Deployment Automation ofrece las siguientes ventajas:
Simplificar, estandarizar y automatizar las implantaciones de las aplicaciones más complejas y de varios niveles en todos los entornos
Implantar de forma óptima las aplicaciones en servidores distribuidos físicos, virtuales y en la nube muy heterogéneos
Reducir los fallos en las aplicaciones de producción en el centro de datos hasta en un 90 %
Reducir el tiempo y el coste de la gestión de implantaciones hasta en un 80 %
Entre las funciones de Deployment Automation se incluyen:
Editor gráfico fácil de utilizar que sirve para automatizar los procesos y las implantaciones
Implantaciones basadas en modelos que se realizan a través de instantáneas de la aplicación
Repositorio de elementos que proporciona capacidades de seguimiento y almacenamiento seguros
Visibilidad completa e informes de auditoría y conformidad de uso inmediato
Arquitectura de modelos auxiliares con compatibilidad inmediata con la mayoría de entornos de aplicación
Compatibilidad con notificaciones, autorizaciones y seguridad basada en funciones
Integración perfecta con herramientas de terceros: gestión de cambios y configuraciones de software (SCCM), compilación y lanzamiento, control de calidad, servicio de ayuda técnica y tickets.
Deployment Automation es el componente clave de una estrategia para automatizar el SDLC
siempre que sea posible .
Dimensions CM Dimensions CM está considerado uno de los sistemas de gestión de cambios y configuraciones
de software líderes, con una fuerte implantación en empresas altamente reguladas, en las que es
necesario controlar de manera absoluta el proceso de desarrollo y los elementos de software .
Sin embargo, desde hace unos 5 o 10 años, a medida que los equipos de desarrollo de grandes
empresas han ido adoptando las prácticas modernas de las pequeñas empresas, el uso de
conjuntos independientes de las herramientas de control de versiones de código abierto
Subversion y GIT se ha ido incrementando rápidamente .
Deployment Automation es el componente clave de una estrategia para automatizar el SDLC siempre que sea posible.
14
Informe oficialAvanzar rápido sin inconvenientes
La consiguiente “proliferación de repositorios” ha causado muchos problemas para las empresas
sujetas a regulaciones estrictas:
Varios repositorios de código fuente y otros elementos crean problemas potenciales de seguridad, acceso y pérdida de datos.
El control sobre las políticas que rigen el acceso al código fuente es intrínsecamente débil.
La adhesión a un proceso de desarrollo documentado (por ejemplo, las comprobaciones de seguridad estáticas) está en peligro.
La gestión de cambios y configuraciones se realiza manualmente mediante el etiquetado y la eliminación de diferencias durante el control de entrada y la fusión en herramientas de código abierto.
Las herramientas de código abierto realizan un seguimiento de los cambios a través de archivos de registro en lugar de bases de datos completas como lo hace una verdadera herramienta de SCCM, lo que limita las funciones de seguimiento y auditoría.
Micro Focus, que advirtió esta situación hace años, ha realizado una gran inversión en ingeniería
para crear una verdadera herramienta de SCCM fácil de utilizar y eficaz para los desarrolladores
que, al mismo tiempo, garantiza que no existan riesgos en las áreas de procesos y control
de elementos esenciales para las empresas altamente reguladas . El resultado es el mayor
lanzamiento de Micro Focus en siete años: Dimensions CM 14 .
Dimensions CM 14 tiene muchas características que a los desarrolladores les encantan:
Función de fusión y bifurcación visual de gran capacidad.
Proceso de revisión por pares optimizado e integrado.
Acceso de alta velocidad a través de WAN mediante caché de biblioteca local.
Integración con los principales entornos de desarrollo integrados (IDE), como Eclipse y Visual Studio, y con la cadena de herramientas modernas de entrega continua (Jenkins, Hudson, Chef, Puppet...).
Compatibilidad con el desarrollo de tecnología móvil.
Dimensions CM 14 también incluye funciones muy apreciadas por los equipos de operaciones,
control de calidad y auditoría:
Control de acceso estricto que permite gestionar quién puede hacer qué, sobre qué elementos actúa, cuándo y por qué.
Seguimientos de auditoría completos para actividades de desarrollo, lo que facilita la conformidad con estándares como ISO9000, la integración de modelos de madurez de capacidades (CMMI), etc.
Gestión de peticiones de cambio integrada con grados de control configurables.
Capacidad de ampliación a miles de usuarios simultáneos, cientos de terabytes de almacenamiento y millones de revisiones de archivos. Dimensions admite el equilibrio de carga para alta disponibilidad y failover para la recuperación tras fallos (DR).
Un cliente de Serena (ahora, Micro Focus) Una de las cooperativas de crédito más grandes y de más rápido crecimiento de EE. UU. trabajó con Micro Focus para ofrecer soporte para sus aplicaciones móviles, que cada vez son más populares. El equipo de desarrollo utiliza prácticas modernas para lograr una innovación rápida y capacidad de respuesta ante el cliente, pero los equipos de auditoría y conformidad normativa requieren trazabilidad y seguridad. La cooperativa de crédito utiliza ChangeMan ZMF para ofrecer soporte para aplicaciones de sistemas transaccionales, Dimensions CM para los demás entornos y Solutions Business Manager para posibilitar el control de procesos.
15www.microfocus.com
Dimensions CM actúa como nodo central de la empresa, aportando seguridad y conformidad
normativa, para la gestión de código fuente fuera del entorno de mainframe . Migrar todo el
código fuente (incluido el que se almacena en repositorios de código fuente abiertos como GIT
y Subversion) a un único repositorio de Dimensions CM seguro ofrece a las empresas seguridad
y conformidad normativa en lo que respecta a la confidencialidad, integridad y capacidad de
auditoría:
Confidencialidad: Dimensions CM admite numerosos mecanismos de autenticación con un estricto control de acceso basado en funciones. GIT y Subversion proporcionan un soporte mínimo para el estricto control de acceso basado en funciones, una autenticación limitada y difícil, y un nivel de autorización precario (por ejemplo, repositorios completos para GIT).
Integridad: Dimensions cuenta con controles herméticos y eficaces para los datos en proceso y en reposo, accesos integrados a etapas, aprobaciones y procesos de revisión. En GIT y Subversion, esto requiere una consolidación significativa, personalizaciones y herramientas de terceros. Dimensions utiliza una arquitectura centralizada de alta velocidad para garantizar la integridad de los datos.
Capacidad de auditoría: Dimensions proporciona un seguimiento de auditoría completo de quién hizo qué, cuándo y por qué con un registro de transacciones completo en un sistema de gestión de bases de datos relacional (RDBMS). GIT y Subversion solo proporcionan un seguimiento de auditoría básico en forma de registro de confirmación, y no identifican registros de por qué se realizaron cambios sin herramientas de terceros.
Dimensions CM es la solución ideal para controlar la proliferación de repositorios
ChangeMan ZMF El mainframe (que existe desde 1960) continúa en expansión, especialmente en el caso de grandes
clientes que lo utilizan para aplicaciones transaccionales complejas . Según una encuesta de
investigación realizada por BMC, el 90 % de los grandes distribuidores de mainframe esperan
que el uso de MIPS crezca o se estabilice durante los dos próximos años (BMC 2014) . Las dos
razones principales citadas para la inversión continua en el mainframe fueron las ventajas de la
disponibilidad de plataformas de mainframe y los beneficios para la seguridad.
En la era de la conectividad ininterrumpida a Internet, las características de disponibilidad
del mainframe (por ejemplo, la virtualización de hardware y software, la redundancia o el
intercambio en caliente) y las tecnologías de seguridad (por ejemplo, coprocesadores de cifrado de
hardware) lo convierten en el servidor de datos centralizado para empresas sujetas a regulaciones
estrictas, como aquellas relacionadas con transacciones, banca, seguros y telecomunicaciones .
Las aplicaciones móviles dirigen un creciente volumen de transacciones al mainframe . Por
ejemplo, los clientes de bancos consultan su saldo más frecuentemente cuando pueden acceder
a él con mayor facilidad . Muchos equipos de mainframe observan que el desarrollo de nuevas
aplicaciones móviles y el soporte para otras existentes son una prioridad .
Las aplicaciones móviles dirigen un creciente volumen de transacciones al mainframe.
16
Informe oficialAvanzar rápido sin inconvenientes
ChangeMan ZMF es la solución de gestión de cambios, configuración y versiones de software en
z/OS más amplia y totalmente integrada . Durante casi 20 años, las empresas altamente reguladas
han confiado en ChangeMan ZMF para gestionar y automatizar el proceso de migración de
cambios de software de la fase de desarrollo a cualquier entorno de prueba y, a continuación,
al entorno de producción .
ChangeMan ZMF está diseñado para desarrolladores, evaluadores y encargados de versiones:
Los desarrolladores pueden elegir entre distintas interfaces de usuario, incluidas las interfaces tradicionales de ISPF o un cliente de Windows. Los usuarios del IDE de RDz basado en Eclipse pueden acceder a la funcionalidad de ZMF sin salir de su IDE. El análisis de impacto amplio y el desarrollo paralelo seguro mejoran la productividad.
Los evaluadores valoran enormemente las aprobaciones y las notificaciones integradas completas y las funciones para asegurar la integridad y la estabilidad de la entrega de código. La promoción a través de entornos de prueba está rigurosamente controlada.
Para reducir el riesgo, los encargados de versiones utilizan el calendario de lanzamientos incorporado, la programación de lanzamientos automatizada, la implantación automatizada en los entornos de prueba y producción, y las funciones de reversión. La capacidad de auditoría está garantizada gracias a la aplicación de la integridad del origen al destino.
Uno de los mayores beneficios de Micro Focus para empresas altamente reguladas es la línea
de productos interplataforma que ofrece soporte de ciclo de vida de desarrollo de software de
mainframe para aplicaciones móviles. A medida que incrementa la influencia del mainframe
sobre nuevas aplicaciones, como dispositivos móviles, muchas empresas descubren que la
coordinación del ciclo de vida de desarrollo de su software en áreas clave como la gestión de
lanzamientos representa una función cada vez más crucial . Micro Focus es un partner tecnológico
ideal para estas empresas .
Conclusiones y resumen
Las grandes empresas adoptan prácticas de desarrollo de software modernas de alta velocidad,
entre las que se incluyen:
Agile
Integración continua o entrega continua
DevOps
Lean
Pregunta: ¿Qué prácticas de desarrollo modernas adopta su empresa para aumentar la velocidad del desarrollo de software? Sin embargo, al mismo tiempo que adoptan estas prácticas modernas, las empresas altamente
reguladas deben gestionar tres riesgos clave del ciclo de vida del desarrollo de software:
A medida que incrementa la influencia del mainframe sobre nuevas aplicaciones, como dispositivos móviles, muchas empresas descubren que la coordinación del ciclo de vida de desarrollo de su software en áreas clave como la gestión de lanzamientos representa una función cada vez más crucial. Micro Focus es un partner tecnológico ideal para estas empresas.
17www.microfocus.com
Seguridad
Conformidad normativa
Rendimiento
Pregunta: ¿Cuáles son los mayores riesgos en el ciclo de vida del desarrollo de software de su empresa? ¿Cómo se identifican y abordan estos riesgos? Hay cinco mejores prácticas que los ejecutivos deben considerar para agilizar la entrega de
software y gestionar riesgos . Los representantes del desarrollo de aplicaciones, seguridad y
auditoría, y gestión de cambios de TI deben implicarse en el desarrollo de una solución .
Estas cinco mejores prácticas son:
1. Adoptar herramientas sencillas para los desarrolladores
2. Actualizar el nivel de control del proceso en el SDLC de manera integral
3. Automatizar siempre que sea posible
4. Controlar la “proliferación de repositorios” con un “sistema de gestión de código fuente consolidado” central
5. Continuar utilizando el mainframe en sistemas transaccionales centrales
Preguntas: ¿Su empresa tiene una iniciativa en torno a una o más de estas mejores prácticas? ¿Progresa con rapidez y urgencia? ¿Quién es el responsable de impulsar las iniciativas? Micro Focus es un partner tecnológico ideal para ejecutivos de empresas sujetas a requisitos
estrictos que desean aumentar la velocidad de la innovación de software .
Los cuatro productos principales de Micro Focus aceleran la adopción de las mejores prácticas en el SDLC:
Solutions Business Manager para mejorar el control de procesos a través del SDLC
Deployment Automation para automatizar la implantación de aplicaciones
Dimensions CM para controlar la proliferación de repositorios
ChangeMan ZMF para ofrecer soporte para los sistemas de transacción de mainframe centrales
Micro Focus se integra con sistemas de terceros y acerca el mainframe a dispositivos móviles a través del SDLC
Micro Focus proporciona un servicio al cliente óptimo centrado en el SDLC
Pregunta: ¿Cómo puede Micro Focus ayudar a su empresa a avanzar rápido sin inconvenientes?
Micro Focus es un partner tecnológico ideal para ejecutivos de empresas sujetas a requisitos estrictos que desean aumentar la velocidad de la innovación de software.
162-ES0081-002 | S | 04/17 | © 2017 Micro Focus. Reservados todos los derechos. Micro Focus y el logotipo de Micro Focus, entre otros, son marcas comerciales o marcas comerciales registradas de Micro Focus o sus compañías subsidiarias y filiales en Reino Unido, Estados Unidos y en otros países. El resto de marcas son propiedad de sus respectivos propietarios.
Argentina+54 11 5258 8899
Chile+56 2 2864 5629
Colombia+57 1 622 2766
México+52 55 5284 2700
Panamá+507 2 039291
España+34 91 781 5004
Venezuela+58 212 267 6568
Micro FocusSedes corporativasReino Unido+44 (0) 1635 565200
www.microfocus.com
Referencias
Appleton, Stephen Berczuk y Brad . 2003 . Software Configuration Management Patterns: Effective Teamwork, Practical Integration (Patrones de gestión de configuraciones de software: trabajo en equipo efectivo, integración práctica). Addison-Wesley .
BMC . 2014 . 2014 Annual Mainframe Research Results (Resultados de la investigación anual sobre mainframe de 2014) . Survey Findings, BMC Software, Inc .
Drummond, David . 2010 . google .com . 12 de enero . http://googleblog.blogspot.com/2010/01/new-approach-to-china.html
Epps, Cindy Van y Nick Norris . 2012 . Software Development Compliance—Overview (Conformidad normativa del desarrollo de software: descripción general). 28 de septiembre . https://jazz.net/library/article/856
Farley, Jez Humble y David . 2011 . Continuous Delivery: Reliable Software Releases through Build, Test, and Deployment Automation. (Entrega continua: lanzamiento fiable de software a través de la automatización de las compilaciones, las pruebas y la implantación). Pearson Education, Inc .
Fowler, Martin . Mayo de 2006 . Continuous Integration (Integración continua) . www.martinfowler.com
Gene Kim, Patrick Debois, John Willis, Jez Humble, Damon Edwards, John Allspaw . 2015 . The DevOps Cookbook . Se publicará en 2015 . Borrador inicial del proyecto revisado por el autor .
Heusser, Matthew . 2012 . Software Testing Lessons Learned from Knight Capital Fiasco (Lecciones de pruebas de software a partir del fracaso de Knight Capital). 14 de agosto . www.cio.com/article/2393212/agile-development/software-testing-lessons-learned-from-knight-capital-fiasco.html
James Manyika, Michael Chui et . al . 2013 . Disruptive technologies: Advances that will transform life, business, and the global economy (Tecnologías problemáticas: avances que transformarán vidas, empresas y la economía global). McKinsey&Co .
Jez Humble, Joanne Molesky y Barry O’Reilly . 2014 . Lean Enterprise: How High Performance Organizations Innovate at Scale. (Empresas eficaces: cómo innovan las empresas de alto rendimiento a escala) O’Reilly Media .
Kent Beck, et . al . 2001 . Manifesto for Agile Software (Manifiesto sobre el software de Agile). http://agilemanifesto.org/
McAfee Labs . 2010 . Protecting Your Critical Assets: Lessons Learned from “Operation Aurora” (Protección de activos esenciales: lecciones de la “Operación Aurora”). McAfee .
MSDN . 2006 . Regulatory Compliance Demystified: An Introduction to Compliance for Developers (Desmitificación de la conformidad normativa: una introducción a la conformidad normativa para desarrolladores). Marzo . http://msdn.microsoft.com/en-us/library/aa480484.aspx
Nanex Research . 2012 . The Knightmare Explained (Historia de la pesadilla de Knight) . 3 de agosto . www.nanex.net/aqck2/3525.html
Puppet Labs . 2014 . “2014 State of DevOps Report .” (Informe de 2014 sobre el estado de Devops) .
Silver-Greenberg, Jessical . 2012 . Trying to Be Nimble, Knight Capital Stumbles (El capital de Knight tropieza antes de echar a correr). 2 de agosto . http://dealbook.nytimes.com/2012/08/02/trying-to-be-nimble-knight-capital-stumbles/?_r=2
Tracy, Ryan . 2014 . wsj.com . 10 de octubre . www.wsj.com/articles/j-p-morgans-dimon-to-speak-at-financial-conference-1412944976
Vodde, Craig Larman y Bas . 2009 . Scaling Lean & Agile Development (Ampliación del desarrollo de Lean y Agile). Pearson Education .
Zetter, Kim . 2010 . Report: Google Hackers Stole Source Code of Global Password System. 20 de abril . www.wired.com/2010/04/google-hackers/
www.microfocus.com