Между идеализмом и прагматизмом

Интервью Марка Шаттелворта (инициатор проекта Ubuntu Linux, основатель Canonical) в The Econimist:

• Bringing free software down to earth

Самые начала SOA (слайды)

Короткая презентация (pdf, 600Kb), отражающая самые начала обсуждения концепции SOA.

it4business.ru & SWEBOK

Приятно то, что не только скачивают* мой** перевод SWEBOK (смотри в моем блоге справа под архивом и тегами список глав, в том числе дополнительных) с замечаниями и комментариями. Собственно, к чему это я?

Просто заметил, что проект it4business.ru, созданный Славой Панкратовым (человеком уникальной энергетики и целого облака тэгов моря идей, которые, кстати, он планомерно реализует :) , набирает обороты и в основу его структуры и первичного содержания легли как раз этот перевод SWEBOK и мои дополнения к нему по управлению жизненным циклом.

Ай да Пушкин ... ! ;)


* последний раз когда с полгода назад пытался оценить общее количество скачиваний напрямую у меня и с software-testing.ru цифра подкралась к 4 тысячам. а ведь есть еще rusdocs и море других сайтов, где все это выложено... Интересно, скачивают так, на всякий пожарный или дипломный? или все-таки для работы и чтения <супруге/у> на досуге? :-)

** Особое спасибо Юрию Булую за совместный труд по расширению главы по управлению требованиями и его комментариям по другим главам.

Три стадии согласования ИТ с целями бизнеса

Вот они:

1. Тактическая
2. Стратегическая
3. Инновационная

Про них можно прочитать в свежем интервью "The Three Stages of IT/Business Alignment" на IT Business Edge.

От себя же добавлю по ключевой характеристике каждой стадии, проявляющиеся через какое-то время после вхождения в неё:

1. Руководители бизнес-подразделений начинают считать, что ИТ-департамент, наконец, начал реагировать на запросы бизнеса,а не только транжирить деньги
   
2. ИТ-директор превращается в CIO
3. Бизнес развивается в новых направлениях, начинает диверсифицироваться, а CIO влияет на принятие стратегических бизнес-решений и обладает равным правом голоса по вопросам приоритезации и бюджетирования инноваций в масштабах всего бизнеса.
   

Вот только переход от второй стадии к третьей в большой степени зависит от желания CIO двигаться дальше в general-бизнес, так как за этим стоят огромные политические риски как для CIO, так и CxO, которому рапортует CIO. Но чаще, похоже, происходит M&A или CIO создает свой консалтиновый бизнес или, наиболее вероятно, остаётся CIO-гуру ... ;-)

Заказчики и вендоры: оптимальна ли транзакционная модель?

Заказчик: "Ну, давай, давай быстрей, сама, сама, чего там..."
Вендор: "Слава богу, ты пришел!"

Нет, в принципе такая "транзакционная модель" имеет право на существование. Вопрос, насколько эффективна такая модель взаимодействия? Ведь "для того чтобы продать что-нибудь ненужное, нужно сначала купить что-нибудь ненужное" надо понять а чего, собственно, надо-то? Если налажено постоянное взаимодействие и обе стороны держат друг друга в курсе "чего надо (будет)" и "чего есть/будет" , тогда и легче согласовать потребности одних с возможностями других (и, кстати, обратное тоже верно, особенно в конце финансового года ;).

Об этом, кстати, не только явно, но и неявно можно убедиться не только на своем опыте, но и, например, в тех же исследованиях McKinsey* , вроде бы совсем несвязанных, на первый взгляд (между первым и вторым - полтора года):

• Building stronger IT vendor relationships
• Smart IT spending: Insights from European banks

Если мы посмотрим во втором отчете на Exhibit 2, part 1 - здесь есть такая замечательная строчка "Frequency of vendor negotiations". Ну а выводы - дело пяти минут, как раз чтобы прочитать и сопоставить оба материала.

*достаточно свободно зарегистрироваться на этом сайте, чтобы читать большую часть материалов

Снова о рисках - в контексте Basel II

Для российских банков все ближе 2009 год, когда требования Basel II, вероятно, станут одним из повседневных факторов, влияющих на их деятельность по управлению рисками. Времени осталось всего-ничего. Ну и пока соответствующие документы находятся в общедоступном драфте - не грех на них и посмотреть. Я говорю о дополнении к COBIT, аналогичном IT Control Objectivies for Sarbanes-Oxley:

• ISACA IT Control Objectives for Basel II. The Importance of Governance and Risk Management for Compliance. - Exposure Draft от 16 мая 2007 года, скорее всего будет лежать в открытом доступе лишь до 18 июня 2007.
  

А, заодно, и сопоставить то, что вычитали, с сегодняшними реалиями и трендами:

• Совместное исследование компании InfoWatch и проекта Банкир.Ру - "Стандарт Центрального Банка по ИТ-безопасности 2006. Регулятор воспитывает банки."

А то придет аудит, зафиксирует все, что нашел... а потом по ИТ-департаменту начнут шашкой махать, а так - в контексте ;-)

IBM покупает Telelogic, до кучи.

Видимо, считается, что портфель Rational проинтегрирован по полной и внутри себя и с портфелем WebSphere ... Зачем? Видимо, "шоб другим недосталася" ;) Если честно - вначале сам не поверил. Но факт есть факт:

• IBM in a $749M deal for Telelogic

Такое ощущение, что с рынка вымываются любые мало-мальски жизнеспособные (интересные заказчикам) бизнесы стоимостью $0,3-1B. Кстати, а может вопрос просто в кастомер бейз...

Update: Пресс-релиз IBM на сайте Telelogic - это еще не свершившаяся сделка, это - предложение, от которого сложно отказаться.

Читаем о рисках

Государство это огромная корпорация, предприятие, the enterprise. Я не говорю здесь на тему устройства государства. Я имею в виду комплексность решаемых государством задач. В том числе экономических. В том числе финансовых. В том числе инвестиционных. Иначе не было бы такого понятия как, например, бюджет или суверенный дефолт. Иначе мы не говорили бы об управлении рисками. Тем интереснее смотреть на различные работы в области eGovernment и eServices for Citizens - информатизации и информационных сервисов для граждан. Без соответствующего глубокого анализа такие работы были бы невозможны. Я уже приводил примеры такого рода reference-моделей "сервисов для граждан". Надеюсь, что вы их если не глубоко читали, то как минимум обратили внимание. Масштабность задача требует анализа. Знаю, я это уже говорил. Но подчеркиваю это снова и снова потому что убежден - "с высоты птичьего полета" легче начать локализовывать вопрос или проблему. Решив комплексную задачу концептуально, легче подойти к менее масштабной и частной задаче на более глубоком уровне детализации. Можно возразить - а если концепция "большого" не верна? А если как в физике, когда вроде бы законы макромира не очень-то хорошо работают в микромире, именно на уровне микромира проявляется неопределенность? Да, вопрос спорный и мы все еще на подступах к единой теории поля :) Работая в ИТ мы все равно пытаемся положить реальный мир в прокрустово ложе моделей. Что именно гарантирует успешность или неуспешность моделей - вопрос на самом деле очень многогранный. Подтверждает ли ложность модели ее хреновая реализация на коленке? Конечно, нет. Повышает ли вероятность точности и применимости модели объем инвестиций вложенных в нее? А вот в этом я убежден - да, повышает. Поэтому и обращаю часто и свое и ваше внимание на те, вроде бы общие работы, фреймворки, подходы, которые, как мне кажется, могут дать не только пищу для размышлений, но и дают отдельные, часто очень неплохо отградуированные инструменты. Говорим ли мы о сервис-ориентированном подходе, анализе рисков или управлении инвестициями. Вот несколько таких источников:

• Advancing Return on Investment Analysis for Government IT. A Public Value Framework.
  
• Making Smart IT Choices: Understanding Value and Risk in Government IT Investments.

Если эти документы показались интересным - можно найти некоторые аналогичные здесь - на сайте Center for Technology in Government.

Далее, уже от NIST Computer Security Division:

• Risk Management Guide for Information Technology Systems
• Information Security Handbook: A Guide for Managers - здесь, кстати, дается целостный взгляд на проблемы управления рисками и, в том числе, о самой концепции Security Governance (по аналогии с IT Governance и, конечно, Corporate Governance - корпоративным управлением). Это, с моей точки зрения, один из ключевых современных материалов по концептуальному взгляду на информационную безопасность. И уже после этого только стоит приступать к таким стандартам ISO как 17799 и 27001. Кстати, невольно получается тот же подход от концепции к детализации отдельных аспектов.
  

Неплохой материал из подборки Business Link, ориентированной намалый и средний бизнес (SMB или как еще называют в Европе - SME, т.е. Small and Medium Enterprises):

• Identifying and managing IT risks to your business

И, наконец, обновленная версия COBIT 4.1, вышедшая в мае этого года, которую можно свободно скачать с сайта ISACA, всего лишь зарегистрировавшись на нем.

Управление "виртуальной личностью"

Как часто внутрикорпоративные разработчики задумываются о вопросах безопасности? А если задумываются, насколько легко интегрировать создаваемые custom-решения с соответствующей инфраструктурой организации? Вроде бы те же Java EE-разработчики используют соответствующие механизмы управления ролями пользователей, входа в систему .... однако, если в организации используется Directory Server, Active Directory, регламенты безопасности, аудит доступа к системам? А ведь политики безопасности диктуются самой природой деятельности организаций, говорим ли мы о банке, GSM-операторе, страховой компании, заводе, управляющей компании или органе власти.

Существует и другая сторона безопасности - обмен информацией не ограничивается обменом по электронной почте. Все более тесными становятся связи между организациями, говорим ли мы о размещении заказов у поставщика продукции или хостинге приложений.

И речь, как уже стало ясно, не о SOA, хотя сервис-ориентированных систем это ой как касается, ведь они же предполагают обеспечение сквозного управления и контроля бизнес-процесса через множество систем, задействованных в обработке информации.

Речь об Identity Management (Id Management или просто IdM). Буквально на днях наступил на классический грабли, написав по русски "управление идентификацией". А ведь identity это нечто уникальное - "признак личности", если так можно выразиться. И когда мы говорим "управление идентификацией" мы лишь касаемся вопроса установления личности, но никак ни всего что связано с ее поддержанием в заданном контексте (читай ИТ-инфраструктуре предприятия).

Вполне естественно говорить об identity или id (сразу вспоминаем полицейские фильмы на английском языке ;-) как о паспорте личности. А ведь его нужно создать, сопроводить атрибутами, уникальными для владельца, ограничить срок его действия, а уже в контексте ИТ - ассоциировать с системами, а точнее правами доступа к ним и , чего греха таить, мониторить его исопльзование и ограничить его владельца от кражи личности, которая может случиться не только когда воруют пластиковую карту... Необходимо полноценное управление жизненным циклом виртуальной личности - identity lifecycle management.

Эта задача, конечно, возникла не сегодня, и не вчера. Сколько лет уже используются службы каталогов? Именно. А как часто они интегрированы с системой отдела кадров / HR-модулем ERP? ... А если вот так не побояться и спросить про учетную систему или нечто развернутое на сервере приложений при всей своей кластеризации и отказоустойчивости, живущее абсолютно своей жизнью с точки зрения безопасности? ... вы сами знаете...

А ведь "правила игры" начинают определяться в тот момент когда информацию о сотруднике заносят в базу отдела кадров. И когда мы говорим жизненном цикле identity, то это значит, что в том же банке, в зависимости от должности, на которую человек оформляется, служба безопасности должна поставить виртуальный штампик - к каким системам человек должен иметь доступ, а какие ему как минимум не нужны для работы, а иногда и просто вредны ;) Если же серьезно смотреть на эту проблему, то в том же банке существуют операционные и репутационные риски, а на них оказывает серьезное влияния ИТ, даже если мы не берем в расчет ИТ-аудиторов с COBIT, и "нам не страшен" SOX и Basel II, существуют стандарты безопасности (17799, отображаемый со стороны COBIT и более практический - 27001:2005, по которому уже проводится аудит и аттестация на соответствие) и руководящие документы ЦБ РФ, его рекомендации и письма играющие роль реальных стандартов для финансовой сферы. И, конечно, вопросы identity management касаются не только банков. Достаточно посмотреть на последние исследования по информационной безопасности:

• 2006 E-Crime Watch Survey: инсайдеры все опаснее и опаснее
• InfoWatch: Глобальное исследование инцидентов внутренней информационной безопасности
• Внутренние ИТ-угрозы в России 2006
  

Как говорится, вирусы вирусами, но, при всем уважении к Касперскому ;) утечки данных идут совсем с другой стороны... Естественно, озабоченность бизнеса этими вопросами напрямую отражается и на разработчиках, которые интегрируют системы не только с точки зрения обмена данными, но и доступа к этим данным и функциональности по их обработке.

Ну а для начала разговора уже о решениях Identity Management, хочу обратить внимание на еще один свободно-доступный Web-курс:

• WMT-IDM-1400 Sun Java Identity Management - Overview
  он расчитан на 2 часа и включает два модуля:
  - Business Case for Identity Management о проблематике задач IdM
  - Sun's Identity Management Portfolio уже о конкретной IdM-платформе Sun

В отличие от других Web-курсов, о которых я писал в предыдущем посте, этот курс на закладке "Notes" включает полный текст курса, который читается преподавателем. Объем этого курса при закачке для работы в офлайн - 42 Мб. Они стоят того,чтобы ориентироваться и в проблеме и в ее решении, от того же банка до сервис-провайдера, так как в курсе дается представления о всех компонентах, входящих в Sun Java Identity Management Suite:

• Java System Identity Manager
• Java System Directory Server Enerprise Edition
• Java System Access Manager
• Java System Identity Auditor
• Java System Federation Manager
• Java System Identity Manager Service Provider Edition (SPE)

Конечно, Sun Java System Identity Manager включает не только встроенные средства прописывания соответствующих workflow (говорим ли мы о визуальном редакторе workflow или встроенном языке xpress) - есть и соответствующие API SDK, о которых (и не только о них, но и о сответствующих open source-решениях Sun) можно, например, прочитать в специальном разделе Sun Developer Network (SDN). Более того, уже практически готов специальный интеграционный модуль NetBeans (в составе Enterprise Pack), позволяющий Java-разработчикам легко расширять функциональность своих систем в соответствии с требованиями безопасности доступа и, конечно, следуя стандартам, в том числе - OASIS SAML.

Несколько бесплатных Web-курсов: XML, Web Services, сервер приложений)

Для доступа к этим web-курсам необходимо зарегистрироваться в качестве студента, после чего выбрать курс, добавить его в корзину заказов (перечисленные курсы =$0.00) и после заказа, получив уведомление по e-mail или залогинившись на появившейся странице, их можно запускать и даже скачивать для изучения в offline (возле каждого курса показан размер их архивов). Эти курсы включают полную озвучку на английском, так что ихможно использовать и в целях улучшения восприятия языка.

• WJO-1115: Overview of XML (4.2 Mb)
  - простой курс/интерактивный справочник для начинающих
  
• WJO-1118: Web Services Enabling Technologies (36.6 Mb)
  - его продолжение
  
• WMT-IAS-1499: Sun Java System Application Server Platform Edition 9: Overview (89Mb)
  - детальный обзор возможностей и некоторых особенностей развертывания приложений
  

Особо хочу отметить последний курс. Не только в силу его размера ;) Sun Java System Application Server PE 9.0 (SJSAS PE) - новая версия сервера приложений Sun, поддерживающая Java Enterprise Edition 5, является свободной как для разработки, так и для развертывания. Исходный код SJSAS основывается на открытом коде проекта GlassFish. Соответственно, его можно свободно скачать и самостоятельно и в составе Java EE 5 SDK и вместе с новой версией среды разработки NetBeans 5.5.

В текущую версию платформы Java Enterprise System 5 (JES) входит Java System Application Server Enterprise Edition 8.2, поддерживающий J2EE 1.4 и тесно интегрированный с другими модулями JES и, кстати, ими активно используемый. По-сути, версия сервера приложений, идущая в Java Enterprise System это уже продакшен-вариант сервера приложений, ориентированный на корпоративные системы и соответствующим образом поддерживаемый службой технической поддержки, включая обновления (в составе обновлений JES) и т.п. Не могу не заметить, что в отличие от другого, достаточно известного и активного игрока на рынке серверов приложений, у которого младшая бесплатная express-редакция апсервера является физически совершенно другим продуктом, по сравнению с продакшен-версией (кстати, этот "игрок", ну страшно недоволен до сих пор невозможностью официально клонировать и развивать свою собственную ветку JVM в силу действительно открытой лицензии Java), сервер приложений Sun был взят за основу проекта GlassFish и сам же теперь базируется на развивающемся коде GlassFish, уже с учетом дополнительного тестирования, интеграции с компонентами JES и, конечно, поддержки и сопровождения.

Ну а про совместные открытые проекты Sun и сообщества Java/J2EE -разработчиков можно почитать в замечательном коллективном блоге The Aquarium (его русская версия - Аквариум)

US Navy о недостаточном внимании к открытому ПО

Меморандум US Navy от 5 июня 2007 года отмечает, что в процессе создания и приобретения програмных решений открытому ПО уделяется недостаточно внимания и это связано с неправильным понимаем и оценкой от Open Source. Первоисточник доступен здесь:

• Department of the Navy - Open Source Software Guidance

Марк Андриссен о Web 2.0, точнее - об отсутствии такового

• Why there's no such thing as Web 2.0

Для тех кто не помнит или не знает (бывает, для многих это было давно ;-) , кто такой Марк Андриссен - его Mosaic, а точнее Netscape, заставил Microsoft обратить внимание на Web.

Сравнение free и open source лицензий

нашел здесь. Это сравнение не включает GPLv3, планируемую к принятию и официальной публикации 29 июня. Однако,что касается ключевых моментов GPLv3 можно прочитать, например, в Linux-Watch на уровне комментариев Столлмана.

Google купил Feedburner

• Frequently asked questions @ Feedburner
  

• InfoWorld об этом событии

Для многих блогеров это означает расширение и интеграцию доступных сервисов. Для Microsoft - мы скоро в той или иной форме увидим комментарий Рэдмонда.

Ну а для тех, кто решает в своем подразделении повседневные бизнес-задачи ... В общем, это "другие новости" ;) Для вас же, коллеги, кому показатели GOOG и MSFT искренне фиолетовы - мой предыдущий пост.

Update: Если все же хочется деталей - читайте Official Google blog и слушайте 45-минутный press call.

Sun и SOA: Java CAPS как единое SOA/BPM-решение

Итак, что почитать и с чего начать?

Конечно, прежде чем знакомится с конкретными продуктами, необходимо понять как та или иная компания видит пути решения тех или иных бизнес-задач и какие архитектурные и технологические подходы использует в соответствующих программных средствах.

Service Oriented Architecture Tour - по-сути, это мини-семинар по SOA и компонентам соответствующего решения Sun. Это прямая ссылка на соответствующий swf-файл, который можно скачать себе на компьютер и повторно пройтись по тем или иным разделам, используя для его просмотра, например, SWF Viewer (только не забудьте включить звук)
Я уже писал, что говоря о реализации SOA нельзя ограничиваться технократическим взглядом и что необходимо, отталкиваясь от бизнес-потребностей​, уделять серьезнейшее внимание бизнес-процессам, в том числе – адаптируя и меняя их исходя из идеи сквозного движения (а не просто обмена) информации через различные бизнес-подразделения. Этот взгляд диктует и соответствующие архитектурные (на уровне бизнеса и на уровне прикладной инфраструктуры и инфраструктуры безопасности) и технические решения.

Выйдем за рамки SOA и возьмем например, банк или финансовую структуру. Банковский технолог, сидя в ИТ-департаменте, занимается не только документированием, но структурированием и адаптацией профильных (например, андеррайтинг в потребительском кредитовании) бизнес-процессов для реализации в соответствующих решениях. Именно он, прекрасно ориентируясь (в идеале ;-) в соответствующей специфике той или иной бизнес-области, генерирует фидбэк, отклик, позволяющий совершенствовать бизнес-процесс(s) и является мостиком между бизнес-подразделением и ИТ, таким вот business relations менеджером.

Когда вроде бы в маркетинговом, на первый взгляд, ролике, мы видим сразу вот такой двойной (business & technical) взгляд на проблему и возможный подход к ее решению, вероятно, за этим действительно что-то стоит. Ведь не зря же такие технологи работают в компаниях, а это, во многом их инструмент? С другой стороны, всегда приятно, когда твой собственный взгляд совпадает со взглядом твоей компании (кстати, это был один из ключевых мотивов моего прихода в Sun)

Вопрос, однако, состоит в том, что даже видя и старт (As is) и финиш (to Be), необходимо все же разобраться в том, как эффективно пройти из точки А

в точку B?

Пытаясь ответить на этот вопрос, выходя за рамки сетевого уровня, обеспечения безопасности и создания гетерогенной технической инфраструктуры на основе Java/Java Enterprise Edition (Java EE), Sun Microsystems приобрел в 2005 году компанию SeeBeyond, на тот момент одного из ведущих pure-play (самостоятельных, сконцентрированных только на одном направлении) игроков в области интеграции и сервисно-ориентированного подхода.

Таким образом, в уже немаленьком портфеле программных решений, появился Java CAPS – Java Composite Application Suite, кстати, поставляемый теперь и в составе Java Enterprise Suite 5, активно развивающийся и интегрируемый с другими программными продуктами Sun – Java System Portal, Identity Management Suite (недавно выпущен специальный пакет, ориентированный на поддержку прозрачного взаимодействия различных предприятий и торговых партнеров - Business To Business Suite 2.0), Sun Java System Application Server и т.п.

Естественно, что являясь SOA/BPM платформой, функционирующей в среде Java Enterprise Edition, Java CAPS поддерживает и набор адаптеров eWay, расширяющий ее интеграционный функционал и, конечно, предоставляет соответствующие API и SDK.

С чего же начать знакомство с Java CAPS? Например, отсюда:

• Systematic Development and the Service Oriented Architecture

• Pragmatic Approach to SOA Using Java CAPS

• Раздел «Что такое Single Customer View», где стоит отдельного внимания статья «Achieving A Single Customer View», рассказывающая об одной из важных концепций, генерирующих отдачу от инвестиций в реализацию SOA.

• Подробный обзор компонент и возможностей Sun SeeBeyond Java Composite Application Platform Suite Primer (73 страницы)

• + дополнительные материалы

• + базовая документация Java CAPS
  

Как это часто бывает, когда производитель занимается в большей степени совершенствованием, развитием и интеграцией технологий, чем маркетингом и просто пиаром планируемых продуктов для «светлого будущего» (годика так на 2 вперед, в то время, как нужно решение как минимум сейчас, а чаще и вчера...), платформа SeeBeyond ушла из заголовков компьютерной прессы на второй план (ведь, конечно, интересней пообсуждать перспективы офисного онлайн-пакета как альтернативы Microsoft Office, в то время, когда «космические корабли...» и Open / StarOffice используется существенно шире, чем кажется на первый взгляд). Однако, аналитики наравне с новыми и существующими заказчиками (лояльность которых, кстати, составляет практически 100%) оценили прогресс. На этот счет может быть интересно внимательно посмотреть на эти материалы:

• Butler Group Technology Audit: Integration and BPM Analysis

• Butler Group - оценка возврата инвестиций от применения Java CAPS

• Forrester (декабрь 2006) Tech Choices “Sun Microsystems Assumes A Leadership Role In The IC-BPMS Market”
  
  

  «This is the first time that Sun has appeared in an evaluation of this category... The SeeBeyond solution was rated as a Leader in the last evaluation, and thistechnology is giving Sun a jump-start into the integration software arena» - The Forrester Wave: Integration-Centric Business Process Management Suites, Q4 2006

• Обработка до 200 тысяч транзакций в день в KBC Bank & Insurance Group (может и не самый масштабный пример, ведь не стоит забывать и о Harrods, Transamerica Life Insurance Company, State of Washington ...).

Я сразу предупреждал, что это "лишь" для начала ;-) ну а будут вопросы - welcome! Только давайте сразу отталкиваться от реальных бизнес-потребностей и приоритетов, а не идеализированной картины мира а ля нью-васюки.

Если все же очень хочется про погоду ... ну в общем вы поняли ;)