从设计到部署，安全对于应用程序开发和支持中的每个人都很重要。无论你是开发人员、安全或运维工程师，还是公司的 CISO（首席信息安全官），都已经正在考虑安全问题。全面地考虑安全，需要考虑所有可用的工具及其在软件开发流水线中的位置。

将安全左移意味着从流水线的最早阶段就引入工具和流程来承载安全性，而不是在最后阶段匆忙地进行一些安全测试草草了事。

本报告将帮助你了解为什么安全左移是如此重要以及如何做到这一点。你将了解组织在更快、更安全地交付应用程序的压力下所面临的挑战，同时左移如何帮助解决这些问题，并且需要整个组织改变思维才能实现这一切。

在报告结束时，你将能够向你的组织提出一些应用程序安全建议，并且将通过工具来创建你和你的团队可以应用的策略，以使安全成为每个人的首要任务。通过团队之间和谐的关系和一组共享的安全优先级，任何组织都可以通过将安全左移成功地使其应用程序、服务和开发流程更加健壮。

2021年12⽉4⽇，中国DevOps社区峰会深圳站在圣淘沙酒店隆重举⾏。此次 峰会报名⼈数886⼈，峰会当天约有736⼈到达现场，这再次刷新了DevOps峰 会到场⼈数和到场率两项纪录。此次峰会由深圳DevOps社区核⼼团队倾情奉 献，全国各地的讲师、参会者及志愿者们⻬聚⼀堂分享和交流DevOps的⽂化 和知识。

2021年9⽉4⽇，中国DevOps社区峰会⼤连站在⽇航酒店隆重举⾏。此次峰会 报名⼈数约500⼈，峰会当天约450⼈到达现场，创下DevOps峰会到场⼈数最 多的纪录。此次峰会由⼤连软件⾏业协会秘书⻓秦健致开幕辞，全国各地的讲 师、参会者及志愿者⻬聚⼀堂，积极地分享和交流DevOps⽂化。

这是一份来自 DORA 的白皮书。

DevOps转型的投资回报率：如何量化您现代化举措的影响

组织不断努力量化技术转型的价值。这就是为什么我们利用了六年《加速DevOps状况报告》的行业基准数据，以量化投资回报率。这份白皮书采用了分析、数据驱动的方法来预测价值并证明在DevOps转型中进行投资的合理性。

在这份报告中，您将了解：

• 如何计算DevOps转型的投资回报率
• 您的业务如何与行业其他公司相比
• DevOps的哪些组成部分增加了投资回报率
• 如何展示数字化转型努力的业务影响
• 如何将IT作为价值驱动器和创新引擎进行衡量

目录

导论：将IT作为价值驱动器和创新引擎 02
价值计算 10
偿还期 33
IT和组织绩效 05
每年避免不必要重做所获得的价值 11
投资回报率 34
组成ROI的要素是什么？ 07
通过对新功能再投资而产生的潜在价值 18
结论：技术转型是划算的 35
以价值为导向的分类 08
成本节约计算 24
作者 37
基因·金 37
布伦娜·华盛顿 38
尼克希尔·考尔 38
达斯汀·史密斯 38
以成本为导向的分类 09
每年停机成本 24
尼科尔·弗斯格伦，博士 37
关于DORA 39
使用价值和成本计算回报 09
展示投资回报率 31
将所有内容加在一起 29
杰兹·汉布尔 37
致谢 40

近年来，研发效能度量是一个热点话题。在行业里几乎每家公司的高层都在关注如何有效度量研发效能，合理提升效率、项目质量，降低成本。尽管这些公司来自互联网、金融、房地产、汽车行业等各行各业，且业务不同、软件研发模式不同，但是都有着相同的诉求，就是希望通过建立研发效能度量体系，来系统化提升研发效能。

但是涉及到如何将研发效能落地，每个公司和团队都会遇到各种各样的难题，有的难题关乎如何有效度量研发效能，有的涉及度量的成本投入与价值，有的则是关于如何推行研发效能度量。例如你可能就碰到过这样的问题：

• 在一个研发团队中，业务开发和效能度量应该按多少比例投入？
• 如何衡量研发效能度量的价值？
• 研发效能改进，应该由谁来推动？管理层还是项目经理？
• 研发效能第一次建立时，应该从哪些方面着手？
• 研发效能如何与项目绩效、个人绩效完美的关联起来？
• 研发效能度量怎么兼顾改变研发效能的同时提高开发的满意度？
• 如何分析效能是否朝有利的方向发展？
• ……

在这种背景下，系统化的知识沉淀就显得至关重要。因为先行者踩过的坑，走过的弯路，探索出最佳实践，积累下来的方法和思考，都是行业最宝贵的财富，对不同垂直行业的公司都有极高的参考价值。

思码逸总结了目前看到、听到的业界朋友们问的最多的 100 个问题，由张乐老师作为出品人，集结来自腾讯、字节跳动、自如、贝壳、微众银行、有赞、知乎、戴尔中国、思码逸等12位研发效能专家，结合自身研发效能度量方法与落地实践经验，解答研发效能领域 Top 100 高频问题。希望能在你构建研发效能体系的过程中，起到参考作用，帮你扫清知识盲点，理清思路，发现到更多解决问题的角度和维度，找到最合适的解决方案。现在，点击下方下载按钮即可免费下载。

深入了解Podman，这是一种管理容器的下一代容器引擎，可以在非root权限下管理容器。对于希望安全地将应用程序容器化的开发人员来说，Podman是一个优秀的工具，因为它提供了在Docker和其他容器平台中不可用的额外安全层。

《Podman in Action》介绍了Podman的功能和能力，包括如何使用容器、构建容器镜像，并将容器化的应用程序转换为在边缘设备上运行的单节点服务或基于Kubernetes的微服务。它讨论了Podman相对于Docker的独特优势，并展示了如何轻松迁移基于Docker的基础架构。

该书由红帽公司的Podman团队负责人Daniel Walsh撰写，包含易于跟随的示例，帮助您快速学习Podman，包括部署完整的容器化Web服务的步骤。

下载《Podman in Action》并学习以下内容：

– 在非root权限下构建和运行容器
– 开发和管理Pods
– 使用systemd监视容器的生命周期
– 通过Python使用Podman服务
– 使用Podman安全功能限制容器
– 在边缘设备上管理容器化应用程序

GitOps已成为将应用部署到Kubernetes的标准方法，许多公司正在采用这种方法来支持其DevOps和云原生策略。

《GitOps Cookbook》为您呈现了一些有用的实践方法和示例，帮助您在Kubernetes上实践GitOps。作者Natale Vinto和Alex Soto Bueno将引导您完成成功的GitOps实践，从而进行实际的应用程序开发和部署。

下载《GitOps Cookbook》以快速开始在Kubernetes上采用GitOps方法进行开发循环。您将会：
– 简单了解关键的GitOps概念
– 理解GitOps实践所需的Docker、Kubernetes和Git要求
– 学习如何将您的应用程序打包成一个容器镜像

《GitOps Cookbook》将提供一系列方法和实践示例，帮助您在Kubernetes上建立开发循环，并采用GitOps方法来部署应用程序。

关于作者：

Alex Soto Bueno是Red Hat的开发体验总监。他对Java世界和软件自动化充满热情，并坚信开源软件模式的价值。Alex是《Testing Java Microservices》、《Quarkus Cookbook》和《Securing Kubernetes Secrets》的合著者，同时还是多个开源项目的贡献者。作为Java Champion自2017年以来，他还是国际演讲者和Salle URL大学的教师。您可以在Twitter上找到他：@alexsotob。

Natale Vinto是一名拥有10多年IT和ICT技术专业知识的软件工程师，拥有在电信和Linux操作系统领域的丰富背景。他是《Modernizing Enterprise Java for O’Reilly》的合著者，并为开源项目做出贡献。

Natale是Red Hat的OpenShift开发者倡导者，帮助社区和客户成功实施其Kubernetes和云原生策略。您可以在Twitter上找到他：@natalevinto。

自动化容器编排平台

Kubernetes是一种受欢迎的容器编排器。它将许多计算机组合成一个大型计算资源，并通过Kubernetes应用程序编程接口（API）建立对该资源的访问方式。Kubernetes是由Google发起的开源软件，在过去五年里由云原生计算基金会（CNCF）的一大群合作者开发。

Operator是扩展Kubernetes以自动化管理特定应用程序的整个生命周期的一种方式。Operator作为打包机制，用于在Kubernetes上分发应用程序，并监控、维护、恢复和升级其部署的软件。

你将学到什么

本书解释了Operator是什么，以及Operator如何扩展Kubernetes API。它展示了如何部署和使用现有的Operator，以及如何使用Red Hat Operator Framework为你的应用程序创建和分发Operator。我们介绍了设计、构建和分发Operator的良好实践，并解释了支持Operator的可靠性运维（SRE）原则。在第一章描述了Operator及其概念之后，我们将建议如何获取一个Kubernetes集群，以便在本书的其余部分进行练习。在运行集群的同时，你将部署一个Operator，并观察它在应用程序失败、扩展或升级到新版本时的行为。

随后，我们将探讨Operator SDK，并向你展示如何使用它来构建一个Operator，将一个示例应用程序自然化为一流的Kubernetes资源。在建立了这个实践基础后，我们将讨论Operator的衍生和它们共享的目标：减少运维工作和成本、提高服务可靠性，并通过解放团队免于重复性维护工作来推动创新。

GitOps实现了对DevOps文化承诺的愿景，虽然这种实践并不新鲜，但组织机构开始意识到以快速、高度自动化和安全的方式交付产品的价值——而不会影响其代码质量。本书概述了团队需要具备的工具、工作流程和结构，以启用完整的GitOps工作流程，适用于刚刚入门或考虑开发自己的GitOps实践的从业者。

• 了解GitOps与DevOps运动的关系，探索OpenGitOps Sandbox项目定义的基本GitOps原则
• 发现为部署结构Git工作流程的最佳实践
• 了解GitOps在CI/CD（持续集成/持续交付）流水线中的位置，探索各种实现方式
• 探索Argo CD、Flux和其他用于管理GitOps工作流程的热门工具，并了解Kustomize、Helm和Kubernetes Operator如何帮助减少冗长配置文件的管理
• 获取设置Git工作流程策略和安全性的提示

关于作者

Christian Hernandez在红帽的混合平台组织担任客户和领域参与团队成员长达八年，并主持了每两周一次的《GitOps指南》。目前，他是红帽云服务产品经理。作为Argo CD和OpenGitOps的贡献者，Christian是一位有着基础设施工程、系统管理、企业架构、技术支持、倡导和管理经验的技术专家。最近，他一直专注于Kubernetes、DevOps、云原生架构和GitOps实践。Christian对开源和逐步容器化全球应用的理念充满激情。

在本书中，作者Henrik Kniberg讲述了他在一年的时间里，带领40人的团队实施Scrum的过程。他们试过了多种团队尺寸（3～12人）、sprint长度（2～6星期），定义“完成”的不同方式，不同的backlog格式，各种测试策略，在多个Scrum团队之间进行同步的多种方式。他们还尝试过XP实践——持续集成、结对编程、测试驱动开发等等，还试过了把XP跟Scrum组合。

 作者： Koichiro(Luke) Toda Nobuyuki Mitsui 

 译者：刘颋，史鹏程 

审校：EXIN，刘征 

从设计到部署，安全对于应用程序开发和支持中的每个人都很重要。无论你是开发人员、安全或运维工程师，还是公司的 CISO（首席信息安全官），都已经正在考虑安全问题。全面地考虑安全，需要考虑所有可用的工具及其在软件开发流水线中的位置。

将安全左移意味着从流水线的最早阶段就引入工具和流程来承载安全性，而不是在最后阶段匆忙地进行一些安全测试草草了事。

本报告将帮助你了解为什么安全左移是如此重要以及如何做到这一点。你将了解组织在更快、更安全地交付应用程序的压力下所面临的挑战，同时左移如何帮助解决这些问题，并且需要整个组织改变思维才能实现这一切。

在报告结束时，你将能够向你的组织提出一些应用程序安全建议，并且将通过工具来创建你和你的团队可以应用的策略，以使安全成为每个人的首要任务。通过团队之间和谐的关系和一组共享的安全优先级，任何组织都可以通过将安全左移成功地使其应用程序、服务和开发流程更加健壮。

在过去的十年中，DORA 研究团队持续探索高效能技术驱动组织的关键能力和评价标准。我们已从各个行业、各种规模的组织中的超过36,000名行业专家那里获得宝贵的反馈和见解。感谢你们的无私分享和独到的洞见。

DORA致力于探讨工作方法（即所谓的能力）与产出之间的关系：这些产出与整体组织及其员工有着切实有意的联系。本次研究采用了严谨的统计学评估方法，使得报告内容足够中立且平台无关（详见研究方法章节）。

 with Gene Kim & XebiaLabs

By GitKraken

第14届年度敏捷状态报告为敏捷在企业不同领域的应用以及关于价值流管理提供了深刻的见解。

第14届年度敏捷状态报告为敏捷在企业不同领域的应用以及关于价值流管理提供了深刻的见解

由  南京大学软件学院 出品。

由 DORA 出品，Google 独家赞助。

由 DORA 出品， Google 独家赞助。

有 Puppet Lab 和 DORA 联合出品

有 Puppet Labs 和 DORA 联合出品。

由 Puppet Labs 和 DORA 联合出品

由：Puppet Labs ， DORA 联合出品

由 Puppet Labs ，IT Revolution Press, ThoughtWorks 联合出品

The fourth annual State of DevOps Survey confirms that IT performance provides real business value. High-performing IT organizations have a strong and positive impact on the overall performance of the organizations they serve. This year’s report also tells us:

• High-performing IT organizations deploy 30x more frequently with 200x shorter lead times; they have 60x fewer failures and recover 168x faster.
• Lean management and continuous delivery practices create the conditions for delivering value faster, sustainably.
• High performance is achievable whether your apps are greenfield, brownfield or legacy.
• IT managers play a critical role in any DevOps transformation.
• Diversity matters.
• Deployment pain can tell you a lot about your IT performance.
• Burnout can be prevented, and DevOps can help.

Puppet Labs 与 IT Revolution 合作出品。

第四期年度DevOps现状调查证实，IT 效能能够创造真正的商业价值。高性能的IT组织对其所服务组织的整体绩效具有强烈和积极的影响。今年的调查报告还向我们展示了以下几方面内容：

• 与传统组织相比，高效能IT组织的代码部署速度快30倍，前置时间缩短200倍；故障数量减少60%，而且故障恢复速度快168倍。
• 精益管理和持续交付实践为更快、更可持续地交付价值创造了条件。
• 无论你的应用程序是新开发、待开发还是已开发，都可以实现高效率。
• IT经理在任何DevOps改造实践中都起着关键性作用。
• 团队多样性至关重要。
• 部署之痛可以让你更加了解自己的IT效能。
• DevOps可以帮助避免职业倦怠感。