研运质效典范标杆案例 | 中国民生银行DevOps持续交付实践

中国信息通信研究院主办的“2022 首届XOps产业生态峰会”于 2022年7月28日成功召开。中国民生银行股份有限公司的两项案例——“民生银行持续交付实践”和“中国民生银行研运效能度量”入选在会上重磅发布的“研运质效典范标杆案例”及“效能度量创新引领案例” ，并入选了《中国DevOps现状调查报告（2022）》最佳实践案例。中国民生银行成为了本年度DevOps现状调查报告中收录案例最多的企业。

本次着重介绍的案例是“民生银行持续交付实践”，中国民生银行坚持敏捷转型，实现DevOps和DevSecOps的全面落地。

2022 XOps产业生态峰会优秀案例

民生银行持续交付实践

案例介绍

随着民生银行数字化转型的架构变革，技术路线逐渐从“技术支撑业务”转变为“技术成为业务的内核”，自2019年起，民生银行基于DevOps和“应用原生安全”的理念，持续建设DevSecOps体系，包括研发交付制度、规范、流程和工具集。此外，考虑到传统的瀑布式项目管理模式愈发不能满足业务快速发展的要求，民生银行着力建立适应“敏态”与“稳态”的全周期线上交付管理流程，推动科技管理敏捷转型。

建设方案

目前DevSecOps体系涵盖了从需求管理、任务管理、代码管理、持续集成、测试管理、安全管理、质量门禁、制品晋级到持续发布的研发交付全生命周期支撑，以及研发效能度量体系。在此基础上，打造了DevSecOps统一门户，提供端到端、一站式工作台。

详细建设方案图

核心理念

自动化

“自动化”，即以持续集成流水线为载体，集成代码扫描、安全检测、单元测试、接口测试、SQL扫描等质量保障检查，以及配置更新、监控注入和接口自动化管理等功能，对于开发人员，只需驱动流水线，即可自动完成各项流程。

质量门禁

“质量门禁”，即将安全、质量等要求固化到流程里，作为各测试轮次、以及测试环境到生产环境制品晋级的必要条件，常用的质量门禁包括功能/性能测试报告，前后端单元测试的增量/全量覆盖率、各项代码扫描结果等。

左移

“左移”，即质量分析、安全分析、生产分析等尽可能左移，向开发阶段延伸，尽早发现问题，尽早解决问题。

建设主题

云原生

“云原生”，不仅指我行DevSecOps工具体系本身已具备云能力，还指DevSecOps工具体系在镜像和配置文件管理、集群信息管理、信创能力等方面为我行交付团队云原生转型提供有力的工具支撑。

安全能力

“安全能力”，即秉承“安全左移”理念，把安全能力无缝且柔和的嵌入现有开发流程体系，有助于在开发过程早期而不是产品发布后识别安全问题，包括需求安全评估，安全设计、镜像安全扫描、代码安全扫描、开源黑名单、配置检查、基线合规性检查等。

敏捷

“敏捷”，是为了适应滚动迭代、持续改进的项目管理趋势，提升项目落地效率，针对成熟产品、渠道、平台，且需在迭代、升级、验证中逐步明确需求的自主开发项目，推出的敏捷产品模式，包括组建敏捷团队、敏捷主题域管理、敏捷产品模式过程管理等内容。

成果效益

民生银行DevSecOps持续交付流程已成为组织级文化，在全行全面落地。截至2022年5月，累计为全行500多模块提供研发交付支撑服务，累计流水线2万+，累计构建次数130多万次。2022年工作日日均构建达到3000余次。民生银行持续交付体系使得科技人员更加聚焦业务研发，交付效率和代码质量均得到提升。通过代码类、单元测试类、投产问题类、功能缺陷类和代码扫描缺陷类等五大类北极星指标的驱动，实现阻断级和严重级技术债清零，增量单元测试覆盖率达到90.8%，2022年1-5月持续集成成功率84.5%，同比增加8.7%，持续集成耗时282秒，同比减少30.1%。交付效率方面，平均研发交付周期持续降低，加速了技术能力向业务价值转化。

研发运营一体化（DevOps）能力成熟度模型介绍

《研发运营一体化（ DevOps ）能力成熟度模型》系列标准是由中国信息通信研究院牵头，云计算开源产业联盟、高效运维社区、BATJ等顶级互联网公司以及各大金融、通信企业共同制定的国内外首个 DevOps 系列标准，是最完整、最权威、最具行业指导性的研发运营一体化（ DevOps ）能力标准之一。由中国信息通信研究院主导的 DevOps 标准已由工信部发布并被众多金融、通信和互联网等行业名企纷纷采用并通过评估。

与此同时，DevOps 标准已于2020年7月在联合国直属标准化组织 ITU-T 正式结项，成为全球首个 DevOps 国际标准。DevOps 标准评估体系主要包括敏捷开发管理、持续交付、技术运营、应用设计、安全及风险管理、系统和工具等部分。