インフラストラクチャセキュリティ - キャパシティインジケータとワークフロー
概要
このページでは、現在のワークロードを効果的に処理し、将来のニーズを計画するために、チームのキャパシティをどのように測定するかの概要を説明します。このデータを収集して分析することで、チームのキャパシティと人員要件に関して情報に基づいた意思決定を行うことができます。
さらに、このページには作業の種類の分類と労力の分類に関する情報が含まれています。作業の種類の分類は、追加のキャパシティやその他の変更が必要な領域を特定するのに役立ちます。これは、ステーブルカウンターパート業務、脅威モデリング業務、マージリクエストレビューなど、InfraSec チームに関連するさまざまな種類の作業の詳細な内訳を提供します。
一方、労力の分類は、タスクの解決に必要な労力レベルの見積もりを提供します。これはタスクに費やした実際の時間の測定ではありません。労力の分類は、trivial から too large までのさまざまな重みに分類されており、各タスクに関連する複雑さと時間のコミットメントを理解するためのガイドラインとして機能します。
このデータを収集することは、チームのキャパシティと人員のニーズに関わる意思決定の情報源となります。これらのメトリクスは集計でのみ分析され、個々のチームメンバーのパフォーマンス評価には利用も参照もされません。チーム全体のダイナミクスと要件を理解するためにのみ使用されます。
このデータに基づくチャートはどこにありますか?
これはまだ実施されておらず、この Issue で追跡されています。
メトリクスレビューの頻度
メトリクスレビューは毎月の初めに行われます。InfraSec が主導するこのレビューには、メトリクスの包括的な分析と議論が含まれます。これは、チームのキャパシティを評価し、データ駆動型の意思決定を行うための貴重な機会です。レビューのために、チームメンバーがフィードバックを提供するために 7 日間の期日を持つ Issue が作成されます。チームからのフィードバックは、次に行われる InfraSec シンクで議論されます。
レビュー中、私たちはキャパシティ、ワークロード、労力の分類に関連する主要なメトリクスを調査します。このデータを分析することで、チームのキャパシティに関する洞察を得て、改善すべき領域を特定し、セキュリティ目標を達成するために必要な人員を確保していることを保証します。
作業分類
各作業の種類を分類することで、追加のキャパシティやその他の変更がどこで必要かを正確に区別できます。そのために、私たちは gitlab-com グループレベルで作成/管理/使用される、以下の GitLab ラベルを利用しています。
| ラベル | 説明 |
|---|---|
| InfraSecWork::Counterpart | 作業が InfraSec ステーブルカウンターパート業務に関連していることを示します |
| InfraSecWork::Investigation | 作業が調査関連の Issue に関連していることを示します |
| InfraSecWork::Maintenance | 作業が InfraSec のメンテナンス活動に関連していることを示します |
| InfraSecWork::Project | 作業が InfraSec のプロジェクトに関連していることを示します |
| InfraSecWork::Discussion | InfraSec チーム内で進行中の議論を示します |
このラベルは誰がいつ割り当てますか?
DRI は、新しい Issue にこのラベルを割り当てることが期待されます。
労力分類
労力の分類は、タスクの解決に必要な労力レベルの見積もりを提供し、費やした実際の時間の測定ではなくガイドラインとして機能します。Estimation Guide は、各タスクに関連する複雑さと時間のコミットメントを理解するための参照ポイントを提供します。
さらに明確にするため、労力の分類は trivial から too large までのさまざまな重みに分類されています。これらの重みは、必要な労力レベルを理解するのに役立ち、trivial タスクは非常に少ない労力を必要とし、too large タスクは非常に複雑で時間のかかるものです。Estimation Guide は、各重みに関連する時間のコミットメントの大まかな見積もりを提供し、計画とリソース割り当ての意思決定の情報源となります。
| ラベル | 重み | 分類 | 説明 | 見積もりガイド |
|---|---|---|---|---|
| InfraSecEffort::Trivial | 1 | Trivial | 非常に少ない労力が必要 | Issue を解決するための即時または近い即時の変更。労力が 1 日未満の場合にこのラベルを使用する必要があります |
| InfraSecEffort::Small | 2 | Small | 単純な変更、最小限の調査 | 1〜2 日 |
| InfraSecEffort::Medium | 3 | Medium | ある程度の調査やコラボレーションが必要 | 1 週間未満 |
| InfraSecEffort::Large | 5 | Large | 重要な調査とコラボレーションが必要 | 1〜2 週間 |
| InfraSecEffort::Too Large | 13 | Needs Refinement | Issue が過度に複雑であり、Epic に昇格させるか、より小さな Issue に分割する必要がある | 該当なし |
Issue のラベル付けは、次のように行う必要があります:
InfraSecEffort::Medium以下のラベルを付ける Issue については、DRI が独自の根拠と見積もりに基づいて直接行います。InfraSecEffort::LargeまたはInfraSecEffort::Too Largeのラベルを付ける Issue については、ピアレビューが行われ、それに応じてラベル付けされます
再見積もり/ブロックの処理
- Issue が誤って見積もられた場合は、
InfraSecEffortラベルを更新し、別のラベルInfraSec::Reestimatedを追加します。これは、プロセスの改善に役立ちます。 - 外部チームへの依存関係によりタスクがブロックされている場合は、
InfraSec::Blockedラベルを追加し、見積もりを削除します。これは、他のチームでブロックされているタスクを特定し、より簡単に追跡するのに役立ちます。
優先順位の変動の処理
- タスクが長期間優先度が下げられた場合 -
InfraSec::backlogラベルを追加してタスクをバックログに移動し、どれだけの作業が完了したかを示すためにラベルを更新します。たとえば、InfraSecEffort::Largeの見積もりについて、作業がInfraSecEffort::Mediumの時間枠で行われた場合、ラベルを変更してバックログに移動します。キャパシティはこの方法で測定されています。次に取り上げる時に、見積もりを再評価できます。 - 数日後にタスクを取り上げることができる場合は、何もする必要はありません。
このラベルは誰がいつ割り当てますか?
DRI は、新しい Issue にこのラベルを割り当てることが期待されます。
bfd74782)