Проект

Как ВТБ выстраивает внутреннюю разработку ПО на базе методологии DevSecOps

Заказчики: Банк ВТБ

Москва; Финансовые услуги, инвестиции и аудит

Продукт: Red Hat Ansible
Второй продукт: Atlassian JIRA
Третий продукт: Nutanix Acropolis

Дата проекта: 2018/08 — 2019/07
Технология: ITSM - Системы управления IT-службой
подрядчики - 237
проекты - 1159
системы - 593
вендоры - 330
Технология: EAP - Enterprise Agile Planning
подрядчики - 8
проекты - 41
системы - 10
вендоры - 6
Технология: Системы управления проектами
подрядчики - 277
проекты - 1282
системы - 300
вендоры - 225
Технология: Виртуализация
подрядчики - 240
проекты - 600
системы - 491
вендоры - 206
Технология: СХД
подрядчики - 239
проекты - 630
системы - 774
вендоры - 267

В 2018 году в рамках трансформации работы ИТ-департамента ВТБ было принято решение о постепенном и преимущественном переходе к внутреннему (in-house) развитию ИТ-систем и создании внутри ИТ соответствующего блока разработки. Его возглавил Андрей Овсянников, заместитель руководителя департамента информационных технологий ВТБ.

«
Первоочередная цель, которая была поставлена перед ИТ-разработкой, - повысить скорость поставки и качество кода с соблюдением стандартов и требований информационной безопасности. Для этого необходимо было разработать новую методологию работы, создать и провести пилоты по апробированию технологического стэка. Ну и, конечно, - сформировать команды разработки, - рассказывал TAdviser Андрей Овсянников
»

ВТБ реализовал первый этап внедрения DevSecOps

Методология DevSecOps (Development Security Operations) была выбрана как наиболее подходящий набор практик и инструментария для гибкого и непрерывного процесса внедрения изменений. Она позволяет улучшить качество кода и пропускную способность команд разработки, автоматизировать рутинные операции, сократить сроки проведения проверки разработанного кода на соответствие заявленным функциональным и эксплуатационным характеристикам. Новой методологией должны были в первую очередь начать пользоваться кросс-функциональные команды из бизнеса, ИТ и внешних поставщиков банка.

В августе 2018 года стартовала первая фаза проекта, которая охватила пять ИТ-систем, относящихся к следующим классам:

  • ДБО
  • CRM
  • АБС
  • Web-приложение
  • Решение на микросервисной платформе

В рамках этой фазы необходимо было заложить основу для совместной работы с поставщиками, обеспечить последующее тиражирование подходов на все собственные ИТ-системы банка. Предполагалось уменьшить время доставки ИТ-результата, сократить технологические окна при установке релизов ИТ-систем и обеспечить возможность внепланового обновления ИТ-систем без прерывания в обслуживании клиентов.TAdviser Security 100: Крупнейшие ИБ-компании в России 59.7 т

За первые 6 месяцев проекта был апробирован и внедрен единый формат построения DevSecOps pipeline, содержащий обязательные проверки для каждого этапа ИТ-разработки. Была сформирована команда экспертов по компетенциям DevSecOps. Запущен перевод систем на внутреннюю разработку. Успешно реализован пилотный проект.

Из ключевых результатов в ИТ-блоке ВТБ выделяют следующее:

  • Развернуты инструменты Gitlab-CI, Nexus, Ansible, SonarQube, MF Fortify, Jira, Confluence
  • Проведено обучение команд работе с новым инструментарием
  • Сформирована основа команды и запущен процесс внутренней разработки программного обеспечения (ПО) с одновременным привлечением внешних поставщиков на базе практик DevSecOps

По состоянию на июль 2019 года проходит тиражирование практик на этап тестирования и дальнейшее развитие в периметре промышленной эксплуатации, уточнили TAdviser в ВТБ.

«
Как и планировалось, на инструменты DevSecOps и внутреннюю разработку переведены системы первого этапа. Мы сформировали костяк команд внутренней разработки и подключили внешние команды поставщиков для совместной работы в периметре банка. Нами закуплен технологический стек для платформы DevSecOps, автоматизирован pipeline в части Continuous integration (непрерывная интеграция - прим. TAdviser). Кроме того, реализованы технические работы по включению этапов автоматизированного анализа исходного кода в pipeline. На данных принципах DevSecOps будет строиться фабрика производства для всех разработчиков ВТБ, - подчеркивает Андрей Овсянников
»

Одновременно командой проекта построена целевая инфраструктурная платформа на базе гиперконвергентного решения Nutanix. Платформа обеспечивает необходимую гибкость для перехода на заявленную частоту релизов и скорость разработки. Для внешних поставщиков организован доступ для работы над совместными проектами.

Основные результаты проекта представлены в таблице 1. До конца 2019 года вся разработка ИТ-систем банка перейдет на методологию DevSecOps. Одновременно начинается поэтапное внедрение практик Continuous Delivery (непрерывная поставка) и Continuous Deployment (непрерывное развертывание).

Табл. 1. Основные результаты внедрения методологии DevSecOps

Что сделано Любая ИС Банка ДБО CRM Web-приложение АБС Микросервисная платформа
Универсальный стек инструментов для реализации передовых практик DevOpsСделаноСделаноСделаноСделаноСделаноСделано
Время разворачивания компонентного контура с нуля4 часа (было 5-7 дней)*1 час (было 5-7 дней)*1 час (было 5-7 дней)*10 минут (Было 5-7 дней)*-
Динамическое выделение инфраструктуры (в части Nutanix) в контуре разработки на основании согласованного шаблона ГотовоГотовоГотовоГотовоГотово
Автоматизация процесса наката релизной поставки. Минимизация человеческого фактора при deployГотовоГотовоГотовоГотовоГотово
Универсальное средство разработки автотестов. Исключение дублирующей разработки автотестовГотовоГотовоГотовоГотовоГотово
Успешное масштабирование DevSecOps ускорит внедрение и переход на слабосвязанную микросервисную ИТ-архитектуру, что также повысит скорость вывода новых решений и продуктов на рынок. Это позволит еще больше снизить сроки разработки и тестирования, увеличить количество релизов, рассчитывают в ВТБ.