जब अभियंता दोनों को तैनात करते हैं और कोड चलाते हैं, तो कौन सी प्रक्रिया या उपकरण कर्तव्यों के पृथक्करण को सक्षम करते हैं?

18

अत्यधिक विनियमित वातावरण में, जैसे कि वित्तीय सेवा क्षेत्र, कर्तव्यों का पृथक्करण विकास जिम्मेदारियों और उत्पादन विशेषाधिकारों वाले व्यक्तियों के बीच टकराव से बचने के लिए एक आवश्यक तंत्र है।

परंपरागत रूप से इसका मतलब है कि डेवलपर्स कोड विकसित करते हैं और फिर इसे संचालन के लिए सौंप देते हैं, हालांकि कई DevOps ऑपरेटिंग मॉडल में विकास और संचालन के बीच अलगाव कम से कम, धुंधला है:

कर्तव्यों के पृथक्करण के मूल कारणों के लिए महीनों तक ड्रिलिंग करने के बाद ऐसा लगता है कि यह मुख्य रूप से सर्बानस ऑक्सले धारा 404 को संतुष्ट करने के लिए मौजूद है : आंतरिक नियंत्रणों का प्रबंधन आकलन:

(ए) आवश्यक नियम। आयोग आंतरिक नियंत्रण रिपोर्ट को शामिल करने के लिए प्रतिभूति विनिमय अधिनियम 1934 की धारा 13 (ए) या 15 (डी) द्वारा आवश्यक प्रत्येक वार्षिक रिपोर्ट की आवश्यकता वाले नियमों को लिखेगा, जो -

(1) वित्तीय रिपोर्टिंग के लिए पर्याप्त आंतरिक नियंत्रण संरचना और प्रक्रियाओं की स्थापना और रखरखाव के लिए प्रबंधन की जिम्मेदारी; तथा

(2) आंतरिक मूल्यांकन संरचना और वित्तीय रिपोर्टिंग के लिए जारीकर्ता की प्रक्रियाओं की प्रभावशीलता के जारीकर्ता के सबसे हाल के वित्तीय वर्ष के अंत के रूप में एक मूल्यांकन होता है।

(बी) आंतरिक नियंत्रण मूल्यांकन और रिपोर्टिंग। उपधारा (ए) द्वारा आवश्यक आंतरिक नियंत्रण आकलन पर, प्रत्येक पंजीकृत पब्लिक अकाउंटिंग फर्म जो जारीकर्ता के लिए ऑडिट रिपोर्ट तैयार करती है या जारी करती है, और जारीकर्ता के प्रबंधन द्वारा किए गए मूल्यांकन पर निर्भर करती है। बोर्ड द्वारा जारी या अपनाए गए सत्यापन कार्यों के लिए इस उपधारा के तहत किए गए सत्यापन को मानकों के अनुसार बनाया जाएगा। ऐसा कोई भी सत्यापन अलग सगाई का विषय नहीं होगा।

टिप्पणियों के आधार पर मैं जो कुछ धारणाएं बना रहा हूं, उन्हें बाहर करना महत्वपूर्ण है :

  • मैं मुख्य रूप से बड़े पैमाने पर बाजार वित्तीय सेवाओं पर विचार कर रहा हूं, यानी लेनदेन की मात्रा उच्च लेकिन अपेक्षाकृत कम मूल्य है। यह वाणिज्यिक वित्तीय सेवाओं के विपरीत होगा जिसमें एक अलग लेनदेन मूल्य प्रोफ़ाइल है।
  • एक वित्तीय संस्थान की ऑनलाइन पेशकश कई घटकों से बनी होगी जिनमें जोखिम संबंधी विचार भिन्न होते हैं:
    • मूव मनी - खातों के बीच पैसे को स्थानांतरित करना या विभिन्न मालिकों के खातों के बीच स्थानांतरण। एक ऑपरेशन जिसे एंटी-मनी लॉन्ड्रिंग, फ्रॉड प्रोटेक्शन, और इमबार्गो के देशों पर कुछ लोगों के नाम पर विचार करना है।
    • ग्राहक अधिग्रहण - कम "जोखिम भरा" क्योंकि इसमें मूव मनी की तुलना में कम लेन-देन की मात्रा है, लेकिन फिर भी इस पर विचार करने की आवश्यकता है।
    • इंटरनेट बैंकिंग - जोखिम के विभिन्न स्तरों के साथ सेवाओं की एक विस्तृत श्रृंखला को शामिल करता है, मूव मनी को इसका हिस्सा माना जाएगा।
  • संभवतः जोखिम के आधार पर प्रत्येक के लिए एक अलग दृष्टिकोण लिया जा सकता है, हालांकि, इसे सरल रखने के हितों में, मैं एक ऐसे समाधान की दिशा में काम कर रहा हूं जो कुछ जोखिम भरे ऑपरेशनों पर लागू होगा।

टीएल; डीआर : यह सुनिश्चित करने के लिए प्रबंधन की जिम्मेदारी है कि पर्याप्त आंतरिक नियंत्रण उस स्थान पर हो जो प्रतिभूति और विनिमय आयोग के नियमों का पालन ​​करता है

सर्बेंस ऑक्सले 404 आमतौर पर टॉप-डाउन रिस्क असेसमेंट के पूरा होने से संतुष्ट होता है, जिसका हिस्सा मिलीभगत के जोखिम का आकलन करेगा और शमन की कार्यनीतियों को आगे बढ़ाएगा।

एक कंपनी के भीतर जो DevOps अभ्यास और संस्कृति को नियोजित करता है, जहां डेवलपर्स नियमित रूप से स्रोत नियंत्रण और उत्पादन दोनों तक पहुंच रखते हैं, कर्तव्यों के अलगाव को कैसे प्राप्त किया जा सकता है, या अधिक सामान्यतः कैसे मिलीभगत के जोखिम को कम किया जा सकता है।

sre  financial-services  operating-model 
रिचर्ड स्लेटर
स्रोत
उत्पादन में क्या होता है, इसके लिए जवाबदेह टीम के सभी लोगों को एक मुख्य संगठन के पीछे मुख्य विचार, कर्तव्यों का पृथक्करण नहीं हो सकता है। इसका मुख्य रूप से मतलब है कि इस तरह के संगठन का वास्तव में उपयोग नहीं किया जा सकता है जब इस पृथक्करण के लिए नियामक आवश्यकताएं हैं।
तैंशीबाई
@ तेंसबाई मैं इस बात से सहमत नहीं है कि देवो का पृथक्करण कर्तव्यों से असंगत है। कानून नियंत्रण के तरीके के रूप में निर्धारित नहीं हैं, और न ही नियामक बैंकों और वित्तीय सेवाओं पर एक पूर्वनिर्धारित प्रक्रिया को लागू कर रहे हैं। यह काफी हद तक संगठन की पहचान करने के लिए नीचे है कि क्या उपयुक्त है और नियामकों और उनके नियुक्त लेखा परीक्षकों के साथ पूरी तरह से पारदर्शी है। एक उदाहरण के रूप में ING और बार्कलेज दोनों ने DevOps प्रथाओं को अपनाया है ताकि वे अपने ग्राहकों को मूल्य प्रदान करने की क्षमता में तेजी ला सकें।
रिचर्ड स्लेटर
हां, विषयों पर विचलन विनियामक पृथक्करण के लिए बाध्य नहीं है, और उन्होंने प्रतिबंधित विषयों के लिए एक पारंपरिक साइलो आधारित अंग पर स्वचालन का लाभ उठाया (जो वास्तव में बहुत कम हैं)। उनके पास बस दो तरह के
ओर्गेस हैं
"रेगुलेटरी सेपरेशन" जैसी कोई बात नहीं है, क़ानून / क़ानून और नियामक संस्थाएँ वित्तीय संस्थानों पर अलग-थलग नहीं होती हैं, वे वित्तीय जोखिम का प्रबंधन करने के लिए "उचित नियंत्रण" रखने के लिए एक प्रबंधन जिम्मेदारी देते हैं। जिस तरह से एजाइल ने सॉफ्टवेयर विकास को लंबे चक्रों से छोटे चक्रों में ले लिया, उसी तरह से DevOps छोटे चक्रों में कार्य कर रहा है, वित्तीय सेवाओं में DevOps को एक छोटे से चक्र में कर्तव्यों के पृथक्करण को लेने के लिए एक रास्ता खोजने की जरूरत है, उदाहरण के लिए एक सीडी पाइपलाइन का निर्माण करके सहकर्मी समीक्षा और अनुमोदन आधारित पदोन्नति जैसे "उपयुक्त नियंत्रण" को लागू करता है।
रिचर्ड स्लेटर
1
@ पियरे.वीयरेंस व्यापक प्रश्न शीर्षक में है, मैंने कुछ धारणाएँ बनाकर इस पर विस्तार करने की कोशिश की है। रोल्स समाधान का हिस्सा होने की संभावना है क्योंकि ब्रेक-ग्लास और प्रिविलेज अकाउंट मैनेजमेंट जैसी चीजें हैं। Roles और जिम्मेदारियाँ DevOps / Agile में एक दिलचस्प अवधारणा हैं, जहाँ एक बार आपके पास एक जावा डेवलपर, F / E डेवलपर, डिज़ाइनर, PM, बिल्ड इंजीनियर, रिलीज़ मैनेजर और ऑप्स इंजीनियर थे - अब आपके पास ऐसे लोगों का एक समूह है जो कई टोपी पहनें - क्रॉस-फंक्शनल टीमें "इंजीनियर" से बनीं, जो विशेषज्ञ हो सकती हैं, लेकिन अंततः जिम्मेदारी साझा करती हैं।
रिचर्ड स्लेटर

जवाबों:

8

आपका प्रश्न उस मंच / OS के बारे में कोई धारणा नहीं बनाता है जिसके बारे में वह है। यही कारण है कि यह एक मेनफ़्रेम वातावरण में यह आमतौर पर कैसे किया जाता है / संबोधित किया जाता है, इसके बारे में एक जवाब जोड़ने के लिए समझ में आ सकता है, जहां "इंजीनियर" (आपके प्रश्न शीर्षक के रूप में) वास्तव में लोगों के समूह दर्जनों (संभवतः सैकड़ों) थे। शामिल किया गया। मेरा जवाब एससीएम उत्पाद का उपयोग करने पर आधारित है, जहां मैं सबसे अधिक परिचित हूं (यह सुनिश्चित नहीं है कि उत्पाद नाम का खुलासा करने की आवश्यकता है)।

1. वास्तुकला

यहां मैं आपके प्रश्न का उत्तर कैसे दूंगा, इस पर प्रकाश डाला गया है:

  • सभी कोड (और संबंधित कलाकृतियों जैसे कि निष्पादक, इत्यादि) को फाइलों में संग्रहीत किया जाता है, जो सभी को एक साथ कहते हैं जिसे हम पुस्तकालय संरचना कहते हैं
  • प्रत्येक (संभवतः दूरस्थ) लक्ष्य प्रणाली पर प्रत्येक वातावरण के लिए, एक सर्वर (मेनफ्रेम स्पीक में "शुरू किया गया कार्य") है, जो लाइब्रेरी संरचना में किसी भी चीज के लिए सभी (रिपीट: एएलएल) अपडेट का ख्याल रखता है। कुछ अपवाद हैं (जैसे सुरक्षा लोग, या अंतरिक्ष प्रबंधन टीम), लेकिन इसके अलावा, किसी को भी (दोहराने: कोई नहीं) उस पुस्तकालय संरचना के भीतर किसी भी फ़ाइल में अपडेट लागू करने के लिए प्राधिकरण है। दूसरे शब्दों में: सर्वर को संपूर्ण पुस्तकालय संरचना के लिए विशेष अपडेट अथॉरिटी मिलती है । ध्यान दें: यदि आप अपनी पहुंच को सीमित करने के लिए चलते हैं, तो ओपीएस-लोग बोनट पर चले जाएंगे (पहले वे प्रतिरोध करने जा रहे हैं ...), इसलिए सुनिश्चित करें कि आप उन पहुँच नियमों को लागू करने के लिए ऊपरी प्रबंधन (CxO) द्वारा कवर किए गए हैं ...
  • वास्तविक सॉफ्टवेयर मेरे एक घटक (रात के मध्य में एक छोटा कोड तय ...) से मिलकर बनता है, या यह सैकड़ों या हजारों स्रोतों, निष्पादन योग्य, या जो भी अन्य कलाकृतियों (एक रिलीज सप्ताहांत के दौरान) हो सकता है। उन्हें प्रबंधनीय बनाने के लिए, उन चीजों को एक साथ (एक या अधिक) स्थानांतरित किया जाना चाहिए, एक ही समय में एक सॉफ्टवेयर बंडल पैकेज कहा जाता है ।

उपरोक्त स्थान के साथ, सर्वर द्वारा पुस्तकालय संरचना में लागू किए जाने वाले किसी भी प्रकार का अपडेट केवल एक अच्छी तरह से परिभाषित वर्कफ़्लो के माध्यम से संभव होगा, जिसे हम सॉफ़्टवेयर परिवर्तन पैकेज (यदि आप चाहें तो एसडीएलसी) का जीवनचक्र कहते हैं। वास्तव में उस वर्कफ़्लो में विभिन्न चरणों को निष्पादित करने के लिए, यह वही होता है जो इसे बनाने के लिए होता है:

  • केवल सर्वर आवश्यक (और preconfigured) चरणों को निष्पादित करेगा।
  • सर्वर केवल एक विशिष्ट कदम (= पुस्तकालय संरचना में कहीं कुछ अद्यतन करेगा), आवश्यक अनुमोदन के बाद (मानव से) ऐसे कदम को करने के लिए इकट्ठा किया गया है।
  • अनुमोदन केवल उन उपयोगकर्ताओं द्वारा दिया जा सकता है जिनके पास एक भूमिका है जो उन्हें (= अनुमति) इस तरह के अनुमोदन को जारी करने की अनुमति देता है।

2. रोल्स और अनुमतियां

सर्वर यह सुनिश्चित करेगा कि उपयोगकर्ता कुछ बनाने की कोशिश कर रहा है (जैसे 'कुछ को स्वीकार करना') केवल तभी कर पाएंगे, जब उपयोगकर्ता की अनुमति उचित हो। वह हिस्सा आसान है। लेकिन आप उन सभी उपयोगकर्ताओं के लिए उन सभी अनुमतियों को प्रबंधित करने के लिए SCM प्रणाली का उपयोग नहीं करना चाहते हैं, जो कि आपकी सुरक्षा प्रणाली में हैं (SCM प्रणाली नहीं!), ताकि आप अपने वर्कफ़्लो (अपने SCM प्रणाली में) को अनुकूलित कर सकें। जब भी उचित हो उन अनुमतियों की जांच करने के लिए जाएं। नीचे दिए गए कदम उस पर कुछ और विवरण प्रदान करते हैं।

चरण 1: अनुमतियों को कॉन्फ़िगर करें (सुरक्षा प्रणाली में)

  • अपनी सुरक्षा प्रणाली में सुरक्षा संस्थाओं को परिभाषित करें , उन संस्थाओं के लिए अच्छी तरह से परिभाषित नाम। कुछ नमूने (अपनी आवश्यकताओं को पूरा करने के लिए इतने ही लोगों को जोड़ें):

    • PrmUnitएक अनुरोध करने के लिए अनुमति मिलने के लिए प्रयोग किया जाता बढ़ावा देना कहने के लिए यूनिट -testing।
    • PrmQAएक अनुरोध करने के लिए अनुमति मिलने के लिए प्रयोग किया जाता बढ़ावा देना कहने के लिए क्यूए (यह मान परीक्षण के उच्चतम स्तर है चलो) -testing।
    • PrdEnduser, परीक्षण के कुछ स्तरों में शामिल अंतिम-उपयोगकर्ताओं द्वारा, यह इंगित करने के लिए कि वे किसी प्रकार के परीक्षण द्वारा उत्पादित परिणामों से संतुष्ट हैं। और उसके कारण, वे अंतिम उपयोगकर्ता लाइब्रेरी संरचना में आगे बढ़ने वाले परिवर्तन से सहमत हैं।
    • PrdRelmgntका उपयोग, रिलीज मैनेजर द्वारा उत्पादन में सक्रियकरण (पुस्तकालय संरचना में अंतिम / उच्चतम स्तर) को अधिकृत करने के लिए किया जाता है ।

  • अपनी सुरक्षा प्रणाली में उपयोगकर्ताओं के समूहों को परिभाषित करें । कुछ नमूने (अपनी आवश्यकताओं को पूरा करने के लिए इतने ही लोगों को जोड़ें):

    • GrpDevs, जो (कहते हैं) आपके डेवलपर्स से मेल खाती है (शायद अधिक तब सिर्फ 1)।
    • GrpEnduser, जो (कहते हैं) आपके अंतिम-उपयोगकर्ताओं (कम से कम 1, अधिमानतः अधिक समान उपयोगकर्ताओं के साथ) से मेल खाती है।
    • GrpRelMgnt, जो (कहते हैं) आपके रिलीज़ प्रबंधकों (कम से कम 1, अधिमानतः कुछ और उपयोगकर्ताओं) से मेल खाती है।

  • अनुदान सुरक्षा, अपने सुरक्षा प्रणाली का उपयोग करके, चयनित " उपयोगकर्ताओं के समूहों " के लिए चयनित " सुरक्षा संस्थाओं " तक पहुंच प्रदान करने के लिए । ऊपर दिए गए उदाहरण को जारी रखने के लिए, यहां वह उचित लगता है (अपनी आवश्यकताओं के अनुसार अनुकूलित करें):

    • समूह GrpDevsको (केवल!) सुरक्षा इकाई में प्रवेश मिलता है PrmUnit
    • समूह GrpEnduserको (केवल!) सुरक्षा इकाई में प्रवेश मिलता है PrdEnduser
    • समूह GrpRelMgnt(दोनों!) सुरक्षा इकाई के लिए उपयोग हो जाता है PrmQAऔर PrdRelmgnt

चरण 2: वर्कफ़्लो कॉन्फ़िगर करें (SCM सिस्टम में)

आपके सुरक्षा सिस्टम में अनुमतियाँ कॉन्फ़िगर होने के बाद (चरण 1 में), आपके SCM सिस्टम में करने के लिए जो कुछ भी बचा है वह कॉन्फ़िगर करना है कि आपके सुरक्षा सिस्टम में संबंधित सुरक्षा संस्थाओं के साथ जीवन रेखा के विभिन्न चरण कैसे मेल खाते हैं। यही है, केवल उन उपयोगकर्ताओं को जिनके पास आवश्यक सुरक्षा इकाई तक उचित पहुंच है, उन्हें सर्वर से वर्कफ़्लो में संबंधित चरण का अनुरोध करने की अनुमति है।

यहां कुछ उदाहरण दिए गए हैं कि आप कुछ जादू करने के लिए अपने SCM सिस्टम को कैसे कॉन्फ़िगर करेंगे:

  • यदि किसी उपयोगकर्ता के पास पहुंच है PrmUnit, तो ऐसे उपयोगकर्ता को यूनिट- टीस्टिंग को बढ़ावा देने का अनुरोध करने की अनुमति है । जाहिर है, समूह में उपयोगकर्ता इसके लिए अधिकृत उपयोगकर्ता हैं (ध्यान दें: नहीं, उदाहरण के लिए, समूह में उपयोगकर्ता )।GrpDevsGrpRelMgnt
  • यदि किसी उपयोगकर्ता के पास पहुंच है PrmQA, तो ऐसे उपयोगकर्ता को QA- testing को बढ़ावा देने का अनुरोध करने की अनुमति है । जाहिर है, समूह के उपयोगकर्ता इसके लिए अधिकृत उपयोगकर्ता हैं (ध्यान दें: नहीं, उदाहरण के लिए, समूह में उपयोगकर्ता , या समूह में )।GrpRelMgntGrpDevsGrpEnduser
  • यदि किसी उपयोगकर्ता के पास पहुंच है PrdEnduser, तो ऐसे उपयोगकर्ता को लाइब्रेरी संरचना में आगे बढ़ने वाले परिवर्तन को अधिकृत करने की अनुमति है (जो आमतौर पर समूह में उपयोगकर्ताओं के लिए एक शर्त GrpRelMgntहै कि किसी बदलाव की समीक्षा करने में सक्षम हो)। जाहिर है, समूह के GrpEnduserउपयोगकर्ता इसके लिए अधिकृत (केवल) उपयोगकर्ता हैं।
  • यदि किसी उपयोगकर्ता की पहुंच है PrdRelmgnt, तो ऐसे उपयोगकर्ता को उत्पादन में सक्रियण (पुस्तकालय संरचना में अंतिम / उच्चतम स्तर) की अनुमति दी जाती है।

3. अप्रत्याशित की अपेक्षा करें, और इसके लिए तैयार रहें

उपरोक्त केवल एक खाका है, जो उम्मीद करता है कि यह समझने में मदद करता है कि आखिरकार यह कैसे सर्वर है जो कर्तव्यों के अलगाव का ख्याल रखता है ... बशर्ते आपके पास कुछ एक्सेस नियमों को लागू करने के लिए CxO कवर है जो हर किसी को पसंद नहीं होगा।

ऊपर बताए अनुसार चित्र को पूरा करने के लिए, सर्वर सिस्टम में होने वाली किसी भी चीज़ का ऑडिट ट्रेल (लॉगिंग) बनाता है। ताकि किसी भी समय, प्रश्नों का उत्तर देना हमेशा संभव हो सके

क्या और कब हुआ, और किस अधिकृत उपयोगकर्ता ने वास्तव में इसे अनुमोदित किया ... अपफ्रंट?

लेकिन, शायद सबसे कठिन हिस्सा पर्याप्त रिपोर्टिंग उपकरण उपलब्ध है (और पता है कि उन्हें कैसे उपयोग करना है)। कम से कम (आसानी से) आईटी ऑडिटर से अनुरोधों को संतुष्ट करें (उनके सवाल बहुत चुनौतीपूर्ण हो सकते हैं)। लेकिन संकट की स्थितियों में "क्या हुआ" -संतुलन के सभी प्रकार के जवाब देने के लिए अपने एससीएम सिस्टम में प्रासंगिक लॉग रिकॉर्ड्स की ओर इशारा करने के लिए जहां उत्पादन का हिस्सा नीचे है।

पुनश्च: अगर मेरा जवाब हाँ है या कोई DevOps-compliant है तो मैं इसे हर किसी के अपने फैसले पर छोड़ता हूँ।

Pierre.Vriens
स्रोत
यह शीर्ष-डाउन जोखिम मूल्यांकन के एक बुनियादी कार्यान्वयन की तरह लगता है, मुझे यह नहीं पता कि यह कैसे पता चलता है कि यह कैसे एक देव तरीके से लागू किया जा सकता है जहां देवों को'deploy 'स्विच को ट्रिगर करने का अधिकार होगा। क्या यह विचार है कि आप इसे एक देव संगठन में नहीं कर सकते?
तैंसीबाई
@Tensibai "अगर" devs के पास (उदाहरण के लिए) अंतिम अनुमोदन होगा (जैसे कि आम तौर पर ऐसे संगठनों में नहीं है), तो ऐसे सर्वर (कार्य शुरू) में तैनाती शुरू होगी। और सवाल के शीर्षक के अनुसार, मुझे लगता है कि यह "एक" संभव जवाब है। हालांकि कोई यह सवाल कर सकता है कि यह क्या है जिसे हम एक DevOps संगठन कहेंगे, लेकिन मुझे पता है कि ऑडिटर वास्तव में कर्तव्यों के इस तरह के "कॉन्फ़िगर करने योग्य" अलगाव (जैसे: चार-आंखें और उस के रूपांतर) को पसंद करते हैं। शायद रिचर्ड इस पर अपने दृष्टिकोण के साथ हमारी मदद कर सकते हैं?
Pierre.Vriens
1
मैं पूरी तरह से ऑडिटरों से सहमत हूं, मैंने अभी-अभी याद किया है कि यह कैसे osexplosion 'के उपयोग से संबंधित / फिट है, जो ऑडिटर आमतौर पर पसंद नहीं करता है जब सूची में 6 से 7 व्यक्ति शामिल होते हैं। यह कहना कि यह फिट नहीं है, एक बिल्कुल वैध जवाब है IMHO।
Tensibai
1
एक उत्तर में इतना समय लगाने के लिए धन्यवाद। मैं वास्तव में 3-व्यक्ति नियम को लागू करने के बारे में सोच रहा हूं, उस में, एक डेवलपर कोड लिखता है, एक अलग डेवलपर कोड की समीक्षा करता है और एक तीसरा व्यक्ति कोड को तैनात करने के लिए रिलीज़ बटन दबाता है। अन्य विचार यह है कि यह एक कंपनी का हिस्सा है, एजिल / देवओप्स गोद लेने के विकास दल काफी छोटे हैं, उत्पादन के पतले स्लाइस तक उत्पादन करने वाले लोगों के छोटे समूहों के शुद्ध प्रभाव के साथ, यह जोखिम के दृष्टिकोण से अनुकूल प्रतीत होता है ।
रिचर्ड स्लेटर
1
@ पियरे.वीयरन्स दो बार नहीं बढ़ सकते, महान विस्तार :)
तेंसिबाई
5

फ्रेंच "आंतरिक नियंत्रण" विनियमन के मेरे ज्ञान के आधार पर उत्तर, एसईसी नियमों के समतुल्य जिस तरह से आप इंगित करते हैं, मुझे लगता है कि यहां एक फ्रांसीसी कानूनी पाठ से लिंक करना वास्तव में उपयोगी नहीं होगा और मुझे इसका कोई अच्छा अनुवाद नहीं पता है।

एक आदर्श 'आप इसे बनाते हैं, आप इसे चलाते हैं' मॉडल में, टीम में हर कोई बदलाव के लिए जवाबदेह होगा। जोखिम मूल्यांकन को कर्तव्यों के पृथक्करण द्वारा लागू नहीं किया जा सकता है और जिस तरह से मैं विनियमन के साथ अनुरूपता रखना जानता हूं, वह एक अचूक कार्रवाई चक्र के साथ-साथ जारी करने वाले व्यक्ति को वापस पाने के लिए एक अटल कार्रवाई पर नज़र रखना है। ।
इसका मतलब यह है कि लेन-देन और कार्यों के सभी लॉग एक प्रतिबंधित क्षेत्र में धकेल दिए जाते हैं, जिस पर टीम की पहुंच नहीं होती है, जो लॉग किया गया है उसमें एक बदलाव "होना चाहिए" जिसे कार्यात्मक परीक्षणों द्वारा पकड़ा जाना चाहिए, टीम के पास कोई एक्सेस नहीं है और इससे भी बदतर पकड़ होगी लेखापरीक्षा द्वारा और उसके लेखक को ट्रैक किया गया।

यह सभी उत्पादों पर लागू नहीं होता है, फ्रांस में लिखने के समय किसी भी कंपनी को धन (मुख्य रूप से बैंकों) को उत्सर्जित करने की अनुमति होती है, यह सुनिश्चित करना होता है कि प्रत्येक लेनदेन रिकॉर्ड किया जाएगा और इस तरह लेनदेन गायब होने का जोखिम नहीं उठाया जा सकता है।
दूसरी ओर, किसी भी व्यावसायिक प्रस्ताव या जोखिम मूल्यांकन को ट्रैक करने के लिए उनके पास कोई कानूनी दायित्व नहीं है जब कोई व्यक्ति ऋण मांगता है, और इस प्रकार इस ग्राहक चयन को संभालने और शुल्क की गणना करने वाले उत्पाद पोस्ट में फिट होने में आसान होते हैं -release ऑडिट मॉडल।

मुख्य विचार यह है कि रिलीज मॉडल को जोखिम मूल्यांकन दायित्वों के अनुसार ट्विक किया जाना है।

एक संबंधित संसाधन ISO27001 मानदंड है।

Tensibai
स्रोत
दिलचस्प जवाब और बहुत प्रासंगिक के रूप में कई यूरोपीय बैंकों वास्तव में फ्रांस में काम करते हैं। क्या कोई मौका है जिस पर आप 'एमिट मनी' का विस्तार कर सकते हैं, इसका मतलब यह है कि एटीएम से केवल नकदी निकलेगी या इसमें बैलेंस ट्रांसफर भी शामिल है। इस मामले में क़ानून से जोड़ना मूल्यवान होगा क्योंकि यह संबंधित कानूनों की ओर संकेत करता है, चाहे वे जिस भी भाषा में हों।
रिचर्ड स्लेटर
@RichardSlater संक्षेप में, पैसे के साथ काम करने वाली कोई भी कंपनी, केवल एक निवेश कंपनी हो सकती है और साथ ही पारंपरिक बैंकों के साथ ऋण दलाल भी हो सकती है। अधिकतर कुछ भी, जिसका वित्तीय प्रभाव कहीं न कहीं होता है (कुछ अपवादों में से जो अधिकार दे सकते हैं, जो अधिकार के तहत दिया जा सकता है)। फ्रांसीसी में कानूनी "सूची" यहां है लेकिन यहां तक ​​कि फ्रांसीसी में यह हमेशा स्पष्ट नहीं होता है।
तेंसिबाई
मैं यह धारणा बना रहा हूं कि आईएसओ मानक का लिंक वास्तव में ISO27001
रिचर्ड स्लेटर
@ रिचर्ड वास्तव में, लगता है कि विकिपीडिया पर फ्रेंच से अंग्रेज़ी लिंक अपडेट नहीं किया गया है। मैं बाद में अपडेट करूँगा (या यदि आप चाहें, तो बेझिझक संपादित करें)
तेंसिबाई
दान कॉर्निलेस्कु
0

IMHO, डेवलपर्स और ऑपरेशंस को एक ही कोडबेस के लिए केवल दो git रिपॉजिटरी से अधिक कुछ नहीं द्वारा प्रतिनिधित्व किया जा सकता है , प्रत्येक के लिए अलग-अलग अनुमति मॉडल के साथ, ताकि टीमें एक-दूसरे के काम में हस्तक्षेप न करें, बिल्कुल भी नहीं।

चलो उन्हें एक उदाहरण के रूप में Dev.mygithub.co और ops.mygithub.co कहते हैं ।

यह विचार है, कि डेवलपर्स अपने दिल की सामग्री को बनाने / शाखा / मर्ज करने के लिए स्वतंत्र हैं, -आईटीजी पूरी पता लगाने की क्षमता प्रदान कर रहा है और यही बात यहां मायने रखती है- इस बीच, उस समय जब नियामक ढांचा समीक्षा का प्रयास करता है तो एक हल अनुरोध उठाया जा सकता है, के लिए। एक नियंत्रित तरीके से होने वाला विलय।

उस अवधारणा को अपने अगले स्तर पर ले जाते हुए, एक विकसित शाखा को दूरस्थ ऑप्स के उत्पादन के लिए एक और पुल अनुरोध अधिनियम के माध्यम से प्रचारित किया जा सकता है । पिछले भाग को ऑपरेशन के हाथों और आंखों से होना है, क्योंकि उनके पास इसे उत्पादन में लाने की जिम्मेदारी है और वे समीक्षा के स्तर को चुनते हैं।

इस तरह की योजना अनंत लचीलापन, पूर्ण ट्रैसेबिलिटी, विभिन्न प्रकार की प्रक्रियाओं के माध्यम से मुद्दों को जल्द पकड़ने की क्षमता, चिंताओं को अलग करने और प्रक्रिया में एक बहुत ही उचित उपयोगकर्ता अनुभव की अनुमति देती है !

नायब ऊपर वर्णित मॉडल का पालन किया जा सकता है भले ही ऑप्स और देव पूरी तरह से ओवरलैप हो!

fgeorgatos
स्रोत
1
निश्चित रूप से, यह समान नियंत्रण पुल अनुरोधों और पोस्ट-कम हुक के माध्यम से प्राप्त किया जा सकता है जो यह सुनिश्चित करता है कि डेवलपर्स स्वतंत्र रूप से प्रतिबद्ध कर सकते हैं, हालांकि, मर्ज कमिट केवल लोगों के एक अनुमोदित समूह द्वारा किया जा सकता है। समान रूप से एक ही पोस्ट-कम हुक यह सुनिश्चित कर सकता है कि कमिट्स के लेखक जो पुल अनुरोध करते हैं, उसमें पुल अनुरोध करने वाले व्यक्ति को शामिल नहीं किया गया था।
रिचर्ड स्लेटर
@RichardSlater: दो अलग-अलग रिपॉजिटरी के लिए आप चाहें तो इसका कारण यह हो सकता है कि आपको दोनों की दोहरी आवश्यकता है ताकि डेवलपर्स को मर्ज करने की अनुमति दी जा सके, जब वे स्वतंत्र रूप से डेवलपर मोड में कोड स्वैप करते हैं- और साथ ही अधिकांश डेवलपर्स को मर्जिंग कोड से ब्लॉक करते हैं जो यह है उत्पादन की ओर जाने के लिए (modulo SysOps, यानी तथाकथित "लोगों का स्वीकृत समूह")।
फर्गोरटोस
फिर से आप यह हासिल कर सकते हैं कि पोस्ट-कम हुक और पुल अनुरोधों के साथ, उल्लेख नहीं करने के लिए गिटहब एंटरप्राइज संरक्षित शाखाओं की अनुमति देता है।
रिचर्ड स्लेटर
0

अधिक महंगा है:

  • अलग-अलग देव और ऑप्स साइट और तरीके एक से दूसरे में काम करने के लिए
  • ऊपर के रूप में अलग देव और ops सिस्टम और तरीके
  • अलग देव और ऑप्स git / vcs रिपॉजिटरी और संबंधित तरीके
  • अलग देव और ops git / vcs शाखाएँ (संरक्षित) और संबंधित विधियाँ

आप जो करते हैं, उसके आधार पर, कुछ समाधान दूसरों की तुलना में बेहतर हैं, उदाहरण के लिए यदि आपको उनके भीतर अलग-अलग भूमिकाओं के साथ दो टीमों की सेवा करने की आवश्यकता है और प्रत्येक के पास स्वामित्व है और पूर्ण पता लगाने की क्षमता प्रदान करता है, तो आप पहले तीन पर मँडरा रहे हैं।

संक्षेप में, जो कुछ भी लागू होता है वह यह है कि एक आदमी या लड़की गेंद को अकेले नहीं ले सकते हैं और उसके साथ दौड़ सकते हैं, और वह देव और ऑप्स के बीच एक स्पष्ट स्पष्ट सीमा पार करता है। अब, जोखिम के स्तर के आधार पर, उस सीमा को लागू किया जा सकता है या नहीं।

fgeorgatos
स्रोत
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.