初探华为IPD 2.0

本文基于个人研究、观察，仅代表个人意见。

简评华为IPD 1.0

    二十多年前华为的IPD变革，借鉴业界优秀实践，重构了研发模式，用一句任总的话概括：
实现了从依赖个人、偶然性推出成功产品，到制度化、持续地推出高质量产品的转变。
    这是一场从偶然到必然的变革，20多年来，IPD 1.0不断完善，经历了CMM，CMMI，敏捷，精益等一系列的改进，以及IT支持平台的不断完善，已成为华为研发的支柱。我接触过许多中美一流企业的研发过程，也有幸在不同时间段（包括最近）领导过华为的CMMI评估，应该有资格对今天的IPD 1.0给个评价。
    华为IPD 1.0的实践验证了Humphrey提出的产品质量和过程质量的关系，让组织的过程成为内部优秀实践的载体，让质量红线的控制得到保证。它有效支撑了华为的产品和解决方案在170多个国家安全稳定运行，支持了公司业务的迅猛发展。华为的研发体系不仅是国内的佼佼者，在国际上也算得上一流，是为数不多真正将质量规划、Gate控制有效融入到开发过程中的组织。据我了解，国内不少IT组织希望能复制华为IPD的成功经验，但基本都是半途而废，其中原因就不是本文探讨的了。
    当然华为IPD 1.0也存在一些问题，如：多年来加多减少，导致一些管理流程过于繁琐，过程角色越来越细，其ROI值得商榷。在进度压力下，一些活动有走过场的问题。华为目前开展的流程精简改进十分及时，Do more with less是华为的常态现象，所以更加需要把好钢用在刀刃上。另一方面，随着产品、硬件、网络复杂性的快速增长，自动化程度迫切需要得到进一步提升。由于进度压力以及一些软件开发人员的软件工程背景较弱，编码存在走捷径的现象，IPD1.0不能充分保障基础的编码质量。
    华为IPD 2.0的驱动主要并不是为了解决这些问题，它的视角和目标放在了未来产品研发的喜马拉雅之巅。

 IPD 2.0的背景和愿景

    关心华为的朋友大概都看到过去年11月华为董事会发布《关于启动彻底变革，提升软件工程能力，打造可信的高质量产品》的决议，今年一月任总致全体员工的一封信更是风靡朋友圈。20亿美金启动资金、五年规划的IPD 2.0不免让我们这些做过程改进的人充满期望。有些朋友可能不知道，IPD 2.0的直接诱因来自英国HCSEC（华为网络安全评估中心监督委员会）的一份OB报告（Oversight BoardReport），报告对华为软件工程能力表达了强烈的关切。英国专家对华为公开的源代码进行了认真的评审，虽然排除了有意为之的安全漏洞，但发现了许多潜在隐患，对华为软件工程能力提出质疑。华为十分重视OB报告指出的问题，将其作为正在进行的软件工程能力提升变革计划的重要输入，目前华为各个产品线如火如荼的Committer改进，就是对OB报告的直接回应。任总下面这段话点出了IPD 2.0的愿景：
我们要把可信作为第一优先级，放在功能、特性和进度之上。除非客户信任我们的产品，否则这些优秀的特性都没有机会发挥价值。我们各级管理者和全体员工都不得以进度、功能、特性等为理由来降低可信的要求，确保可信的要求在执行过程中不变形。

 
    “可信（Trustworthy）”是其中最关键的两个字。徐直军对此给了个很好的比喻：“大家很清楚，安全威胁的环境在发生变化，攻击渗透的技术不断进步，黑客能力水平越来越高。单单安全能力强，防攻击、防渗透能力很强，就好比是一个椰子，外壳很坚硬。万一外壳攻破了会怎么样？不能像椰子一样里头是一堆水。所以，我们共同的关注点就从外面转到了里面。里面怎么样涉及到韧性，涉及到开发过程是不是高质量，是不是可信。从结果角度上升到了过程角度，结果要好，过程也要好。”这里韧性又是关键的关键。
    在华为老总眼里，
IPD 2.0
将会把技术和产品的可信度和安全度作为最基本、最根本的要求，面对未来的需求，做到端到端从最早的需求、设计开始考虑，而非靠流程末端的检测和检验来保障可信的技术的应用和可信产品的交付，使产品能够更好地面向未来更复杂的网络安全环境。

    从商业目标角度，可信意味着客户和政府信任，敢买；从结果角度，那就是产品可信，是黑盒可信；从过程角度，那就过程可信，是白盒可信。
 
可信粗解



    许多朋友可能不太熟悉“可信”的概念，能找到的相关资料不是很多，英国标准BS 10754 – 1:2018（Information technology – System trustworthiness）是可信系统的最好参考之一。最近花了近400美金，下载了这个38页的pdf文档，忙里偷闲，将其认真研究了一遍。在不违反知识产权条款的前提下，给大家做个简单的分享。

    这个标准给出了实现有效可信的原则，包括技术、物理、文化、行为等方面，以及所需的领导治理力（和CMMI 2.0的GOV和II有些类似）。它覆盖了安全性（Safety）、可靠性（Reliability）、可用性（Availability）、韧性（Resilience）、安全性（Security）五个方面的内容，识别了所需工具、技术、和过程。可以用来支持可信系统、可信软件、可信服务的改进。
    这里介绍下标准就五性给出的一句话定义：
安全性（Safety）：系统在无损害情况下运行的能力
可靠性（Reliability）：系统根据需要提供服务的能力
可用性（Availability）：系统在需要时提供服务的能力
韧性（Resilience）：系统在及时响应事件时的转换、更新和恢复的能力
安全性（Security）：系统抵御意外攻击的能力
    标准也包含了可信级别和评价的内容，虽然不便宜，但内容很不错，让我对英国IT水平刮目相看。对于有兴趣的IT组织，我非常推荐花钱下载一份标准，这个标准也是华为IPD 2.0的参考之一。
    如果把五性分开来看，每一性（韧性除外）都不难理解，但可信系统的关键是把这五个方面整合在一起，相辅相成建立一个不是椰子壳的可信系统。
    任总在致全体员工的信中，也提到了华为定义的可信内容：
公司已经明确，把网络安全和隐私保护作为公司的最高纲领。我们要在每一个ICT基础设施产品和解决方案中，都融入信任、构建高质量，关键内容包括：
安全性（Security）。产品有良好的抗攻击能力，保护业务和数据的机密性、完整性和可用性。

韧性（Resilience）。系统受攻击时保持有定义的运行状态，包括降级，以及遭遇攻击时快速恢复的能力。
隐私性（Privacy）。遵从隐私保护既是法律法规的要求，也是价值观的体现。用户应该能够适当地控制他们的数据的使用方式。信息的使用政策应该是对用户透明的。用户应该根据自己的需要来控制何时接收以及是否接收信息。用户的隐私数据要有完善的保护能力和机制。
可靠性和可用性（Reliability&Availability）。产品能在生命周期内长期保障业务无故障运行，具备快速恢复和自我管理的能力，提供可预期的、一致的服务。

    任总提的隐私性（Privacy）不在标准中，他提的要求，揭示了6性之间的关系。

IPD 2.0
内容、挑战、期望

    预测五年之后的事不是聪明人做的，所以今天很难准确预测IPD 2.0的最终内容，就是华为2.0团队也做不到。但我还是想对2.0做个初探，请五年后再拍砖。
    首先，在一个清晰可信分层的架构下，不同产品线会建立自己端到端的可信过程，形成自己的可信工程实践集合。它一定会超越
BS 10754的范围，形成华为特色的可信理论架构和技术架构。
    IPD 2.0会极大影响软件工程，我特别期待华为能做出影响世界的贡献。CMMI研究院正在推出CMMI Safety和Security，华为的可信实践应该在其中占有重要的部分。
    IPD 2.0的IT支持将包含AI、大数据等技术的应用，以及硬件、网络方面的自动化能力的空前提升。
    任总在，意味着IPD 2.0的诞生之日，也是华为实现向可信工程文化转型之时。

    有一点不会变，IPD 2.0不会改变华为“有条件要上，没有条件创造条件也要上”的奋斗精神。
    华为IPD 2.0之路一定充满挑战，他们在做许多前人没有做过的事情。这次没有IBM的指导，主要靠自己的创新和摸索。但20亿美金的启动资金，狼性的学习文化，远见卓识的掌舵人，之前取得的辉煌让我们有理由期待一个能够上教科书的华为IPD 2.0.