中國信息通信研究院主辦的“2022 首屆XOps產業生態峰會”于 2022年7月28日成功召開。中國民生銀行股份有限公司的兩項案例——“民生銀行持續交付實踐”和“中國民生銀行研運效能度量”入選在會上重磅發布的“研運質效典范標桿案例”及“效能度量創新引領案例” ，并入選了《中國DevOps現狀調查報告（2022）》最佳實踐案例。中國民生銀行成為了本年度DevOps現狀調查報告中收錄案例最多的企業。

本次著重介紹的案例是“民生銀行持續交付實踐”，中國民生銀行堅持敏捷轉型，實現DevOps和DevSecOps的全面落地。

2022 XOps產業生態峰會優秀案例

民生銀行持續交付實踐

案例介紹

隨著民生銀行數字化轉型的架構變革，技術路線逐漸從“技術支撐業務”轉變為“技術成為業務的內核”，自2019年起，民生銀行基于DevOps和“應用原生安全”的理念，持續建設DevSecOps體系，包括研發交付制度、規范、流程和工具集。此外，考慮到傳統的瀑布式項目管理模式愈發不能滿足業務快速發展的要求，民生銀行著力建立適應“敏態”與“穩態”的全周期線上交付管理流程，推動科技管理敏捷轉型。

建設方案

目前DevSecOps體系涵蓋了從需求管理、任務管理、代碼管理、持續集成、測試管理、安全管理、質量門禁、制品晉級到持續發布的研發交付全生命周期支撐，以及研發效能度量體系。在此基礎上，打造了DevSecOps統一門戶，提供端到端、一站式工作臺。

詳細建設方案圖

核心理念

自動化

“自動化”，即以持續集成流水線為載體，集成代碼掃描、安全檢測、單元測試、接口測試、SQL掃描等質量保障檢查，以及配置更新、監控注入和接口自動化管理等功能，對于開發人員，只需驅動流水線，即可自動完成各項流程。

質量門禁

“質量門禁”，即將安全、質量等要求固化到流程里，作為各測試輪次、以及測試環境到生產環境制品晉級的必要條件，常用的質量門禁包括功能/性能測試報告，前后端單元測試的增量/全量覆蓋率、各項代碼掃描結果等。

左移

“左移”，即質量分析、安全分析、生產分析等盡可能左移，向開發階段延伸，盡早發現問題，盡早解決問題。

建設主題

云原生

“云原生”，不僅指我行DevSecOps工具體系本身已具備云能力，還指DevSecOps工具體系在鏡像和配置文件管理、集群信息管理、信創能力等方面為我行交付團隊云原生轉型提供有力的工具支撐。

安全能力

“安全能力”，即秉承“安全左移”理念，把安全能力無縫且柔和的嵌入現有開發流程體系，有助于在開發過程早期而不是產品發布后識別安全問題，包括需求安全評估，安全設計、鏡像安全掃描、代碼安全掃描、開源黑名單、配置檢查、基線合規性檢查等。

敏捷

“敏捷”，是為了適應滾動迭代、持續改進的項目管理趨勢，提升項目落地效率，針對成熟產品、渠道、平臺，且需在迭代、升級、驗證中逐步明確需求的自主開發項目，推出的敏捷產品模式，包括組建敏捷團隊、敏捷主題域管理、敏捷產品模式過程管理等內容。

成果效益

民生銀行DevSecOps持續交付流程已成為組織級文化，在全行全面落地。截至2022年5月，累計為全行500多模塊提供研發交付支撐服務，累計流水線2萬+，累計構建次數130多萬次。2022年工作日日均構建達到3000余次。民生銀行持續交付體系使得科技人員更加聚焦業務研發，交付效率和代碼質量均得到提升。通過代碼類、單元測試類、投產問題類、功能缺陷類和代碼掃描缺陷類等五大類北極星指標的驅動，實現阻斷級和嚴重級技術債清零，增量單元測試覆蓋率達到90.8%，2022年1-5月持續集成成功率84.5%，同比增加8.7%，持續集成耗時282秒，同比減少30.1%。交付效率方面，平均研發交付周期持續降低，加速了技術能力向業務價值轉化。

研發運營一體化（DevOps）能力成熟度模型介紹

《研發運營一體化（ DevOps ）能力成熟度模型》系列標準是由中國信息通信研究院牽頭，云計算開源產業聯盟、高效運維社區、BATJ等頂級互聯網公司以及各大金融、通信企業共同制定的國內外首個 DevOps 系列標準，是最完整、最權威、最具行業指導性的研發運營一體化（ DevOps ）能力標準之一。由中國信息通信研究院主導的 DevOps 標準已由工信部發布并被眾多金融、通信和互聯網等行業名企紛紛采用并通過評估。

與此同時，DevOps 標準已于2020年7月在聯合國直屬標準化組織 ITU-T 正式結項，成為全球首個 DevOps 國際標準。DevOps 標準評估體系主要包括敏捷開發管理、持續交付、技術運營、應用設計、安全及風險管理、系統和工具等部分。