ISO/IEC TR 29110-5-3：非常小实体 DevOps 部署包

ISO/IEC TR 29110-5-3 通过 DevOps 部署包扩展了 VSE 生命周期标准。它为非常小实体采用 DevOps 实践——持续集成、持续交付、基础设施即代码和协作工作流——提供了实用指南，同时保持与 ISO/IEC 29110 流程框架的一致性。

对于 VSE 而言，DevOps 不是奢侈品，而是效率倍增器。一个良好的 CI/CD 流水线可以将发布周期从数周缩短到数小时，这对于一个需要与企业竞争对手竞争的5人团队来说至关重要。

非常小实体的 DevOps 能力领域

部署包定义了VSE在采用DevOps时应解决的五个能力领域。这些领域设计为可增量采用；团队可以从持续集成开始，在后续迭代中逐步添加持续交付和监控。

能力领域	关键实践	推荐工具（低成本）	成熟度级别
持续集成	自动构建、自动单元测试、静态代码分析	GitHub Actions, GitLab CI, Jenkins	基础
持续交付	自动部署到预发布环境、发布分支策略、环境一致性	Docker, Ansible, Shell 脚本	中级
基础设施即代码	版本控制的基础设施定义、不可变服务器、配置管理	Terraform, AWS CDK, Packer	中级
监控与可观测性	应用性能监控、集中日志记录、告警	Prometheus + Grafana, ELK 栈, Sentry	高级
协作与文化	共享责任、无指责事后分析、ChatOps、知识共享	Slack/MS Teams, Confluence, Wiki	基础

从持续集成和协作与文化开始。这两个领域以最低的前期成本带来最高的投资回报率。在 GitHub Actions 上运行的简单 CI 流水线对公共仓库是免费的，私有项目每月仅需几美元。

DevOps 部署包将 DevOps 活动映射到 ISO/IEC 29110 中定义的现有项目管理（PM）和软件实现（SI）流程上。例如，CI 流水线配置成为 SI——软件构建下的一个工作产品，而部署运行手册则在 PM——项目计划执行下维护。

一个关键的工程洞见是流水线即流程的概念。部署包鼓励VSE定义其DevOps流水线阶段，使其与流程活动直接对应。提交触发构建（SI.5——软件构建）、单元测试（SI.6——软件集成与测试）和部署到预发布环境（SI.7——产品交付）。这种对齐意味着流水线本身成为流程执行的可审计记录。

部署包包含一个轻量级的 DevSecOps 叠加层。指南建议VSE至少实现：密钥管理（使用环境变量或保险库解决方案）、依赖漏洞扫描（使用 Dependabot 或 Snyk）和容器镜像扫描。考虑到一个受损的依赖就可能导致整个应用程序瘫痪，即使是最小的团队也不应忽视这些实践。

切勿在源代码中硬编码凭据。公开仓库中泄露的 API 密钥可能在几分钟内导致账户被入侵。即使是小型项目，也应使用 GitHub 加密密钥或最小化的保险库解决方案。

问：3人团队真的能实施 DevOps 吗？
答：完全可以。事实上，小团队受益最大，因为 DevOps 消除了手动交接。拥有 CI/CD 流水线的3人团队可以比没有自动化的10人团队更可靠地交付。

问：部署包要求使用容器化技术吗？
答：不要求。虽然推荐使用 Docker 确保环境一致性，但部署包支持渐进式采用。团队可以从脚本化部署开始，在复杂度提高时再迁移到容器。

问：DevOps 如何影响入门配置文件的工作产品？
答：项目计划将增加 CI/CD 流水线设计章节。测试记录将实现部分自动化。产品交付工作产品将扩展为包括部署脚本和运行手册。

问：ISO/IEC TR 29110-5-3 与 SAFe 或 LeSS 兼容吗？
答：它并非为大规模框架设计的。该部署包针对少于25人的VSE。对于需要扩展到更大规模的组织，这些实践可以作为基础，但应辅以额外的治理结构。