軟體研發轉型分享 - Ryan Pan

# 軟體研發轉型分享 - Ryan Pan {%hackmd @HWDC/BJOE4qInR %} >#### 》[議程介紹](https://hwdc.ithome.com.tw/2024/session-page/3340) >#### 》[填寫議程滿意度問卷｜回饋建言給辛苦的講者](https://forms.gle/boUDunhFzL4MLYgH7) --- [TOC] --- 趨勢這三年在轉型上做的事情 ## self-introduction Ryan Pan - RD Coach ## 你可能知道的趨勢科技在年輕人內心可能是老公司了 * 台灣少數的全球軟體公司，全世界都有相對應的辦公室 Tech Org : TW 1,650+ , PH 1,090+ , Canada 310+, Japan 870+ (Partial), US 1,000 (Partial) * follow the sun? 日不落公司太陽升起時都會有開發人員可以維護 * Pair team: 舉例來說美國在上班的時間台灣在休息，如果開發會變成要24小時輪班，找美國或加拿大的人hand over * 危機處理的必要措施 ## 數據趨勢科技去年的營收是560億台幣(1.75 Billion USD)。在許多領域都是leader角色，例如Cloud security，跟Azure, Amazon都有合作。 * Cloud security: 因為很多服務跟 storage 都架到外部的 cloud，所以需要有 cloud security 來保護以及阻擋駭客的攻擊 XDR: Extended Detection and Response EPP: Endpoint protection.公司的小電腦 IDPS: Network Security 全球員工大概有六千七百位全世界許多組織會發佈弱點，在趨勢發現這很重要就收購了ZDI(全世界前三大的弱點發布組織) ## 趨勢的客戶 * PC-cillin 最早的在台灣起家產品，Windows的單機防毒軟體 * 中小型企業和大型企業 * 財金500大的客戶很多都是趨勢的客戶 * 有很多也是都做在企業的產品 ### 外差廣告黃仁勳的簡報當中也有趨勢科技，因為黃仁勳也有投資AI Software，也會擔心有沒有Security的問題，會提供NVIDIA在NIM或其他服務上面看到趨勢的產品換個概念就是一個台灣強強聯手的概念 ## Why Transformation? 台灣有些轉型的原因例如營收停滯 ### Today's Challenges - Attack Surfaces (Exponential growth) - Digital transformation - WFH - Cloud Migration - OT Environment - Risks & Trust (Visibility & Mitigation) - 75% of the CISO reported lack of visibility in cyber assets and full understanding of cyber risks, and potential blast radius of exposed entities. - Alert Overload (Siloed Solutions) - Fifty, average number of tools in a security operations cente. Siloed tools and vendors slows down visibility, detection, analysis and response. 資安就像警察抓小偷的概念，是一個不停追趕的遊戲 AI可以做視覺，所以就會拿來做詐騙，例如使用AI換臉假裝打電話給別人要錢 ## Today's challenges * Attack Surfaces - 駭客要攻擊你的第一個接觸點 - 攻擊點的多樣化是因為數位轉型、WFH - 案例: 台積電的機台有一些狀況導致損失 - 以前OT/IT環境是隔離開來的，後來讓OT跟IT環境能連接，現在可以在辦公室deploy機台 - 寫病毒的人非常的多，暗網組織有各式各樣的非法行為，只要付一點點錢就可以得到一張信用卡號，比特幣流行後改用比特幣交易 * Risk & Trust * 以前我們只要防病毒就好了，現在所謂的攻擊以及滲透的APT攻擊平均會潛伏18個月以上，單純的病毒已經不是現在駭客流行的方式。 * 最近越來越少中毒的狀況，例如綁架要付贖金，對駭客來說跟comsumer拿錢這business不是那麼划算，但commercial還是有，而且也不只是使用綁架，更多是企業運營中的風險管理是什麼。 * 如果Patch沒有馬上上，無線網路有沒有做嚴格的管控，這些都是有可能的威脅，這些要一個一個防是很難的，從防病毒到風險管理 * Alert Overload * 大家會想要管控，比如去年在某個營業額以上的公司就要設立資訊長(確保使用的TOOL是合合規的)，為了達到這一點就要在節點上Deploy很多東西。 * 以前只是單純在windows或mac，現在是多點防護，所以每天都會收到大量的alert，但這些alert這麼多要怎麼處理? * 這麼多的alert之間是不是有關聯?當客戶deploy越多產品，遇到的alert和security risk也多 ## Shift from Security Tools to a Cybersecurity Platform 趨勢從2021年開始轉型從產品到安全平台 - 這個平台不是只有我的東西而已，還可以plugin其他thirdparty，像是AWS - 除了enable 自己以外還要enable別人 - 從不同的vendor當中取得資料建立corelation - 趨勢的產品可不可以export - 平台可以快速地enable一個新的東西 ## 趨勢科技轉型二三事.... :::info $$ X = I + U - T $$ ::: * X: 想要解決的問題(問題定義得好，才能找到更適合的解法) * I: Infrastructure的change * e.g. 5G/Mobile/車子 * U: Embrace changes in user behaviors (使用者行為的改變會帶來新的危險) * e.g. WFH , 叫uber * T: Remove cybersecurity threats (T代表是威脅) ### 其他名詞解釋 * PM: product manager * JM: project manager 原來的PM都改名叫 XPM 說清楚要解決的是什麼問題 ## How do we execute in DevOps way? :::info $$ Y = Q + A - N $$ ::: * Q: Quick move (不是production quality的東西，例如l10n先不用作，出preview版) * A: Adjust & pivot for accuracy * collect feedback * 快速 deliver 下一版 * 有點像 agile 的文化 * N: Trade off and minimize negative impact * 在快速開發時，可能會遇到負面的影響。e.g. 金融業可能無法配合快速 release 的反應 & 功能不完全的產品。需要修改開發文化 * RD => y leader ## 略 * 開發流程從 waterfall (8-18個月左右的cycle) 全部採用 agile practice * 問題已經變了，這樣做意義也不大 * 改變組織結構，不僅是 title 還包括 reporting line,組織改為Radial web般的組織，只有3層 * 工程師 -> y leader -> 開發長 * Y coach不帶人 ## 略金字塔的組織好處是解決固定，明確的問題，可以各個擊破。大家都在追求自已團隊內的最佳化。 * 案例: QA: RD你要design document-ready才能開test case * 每一個都卡一關就會越來越長 * 大家會把各自的 Standard 準備好才做 * Sideload effect (穀倉效應) 沒有什麼一定要等大家都 ready 好才能做 * 一個團隊是為了解決一個任務所組成的，不是都是RD都是QA * 一個團隊要負責e2e的責任 ## Team of Teams 其實是一本書 > https://books.google.com.tw/books/about/Team_of_Teams.html?id=wQ2hCgAAQBAJ&redir_esc=y 從原來的單一 funciton 是一個團隊 [Team of Teams: New Rules of Engagement for a Complex World](https://www.books.com.tw/products/F013308455?srsltid=AfmBOoq73-fpPVqRNEgglHuPzn0X5X4wS5RL37Yi2ziRaDgXEeHWveDO) * Command * Command of teams * Teams of teams ## 3 Roles and Attributes in Radial Web Organization * Builder: 做事情的人，例如QA, RD or designer * Bridge: * Teacher * 有些人很厲害，但他的熱忱在於分享經驗，讓公司其他人進步 ## Major Shifts - 從自己的成長轉變為公司業務的成長 - From: My product growth -> To Company overall business growth - From: product-driven roadmap & fixed resource pool -> To Company strategy driven roadmap & dynamaic resource movement - From: Product-centric organization -> To Radial Web flat & self-managing team - From: Managers direct & manage resources to contribute product success -> To: Leader enable & empower team to contribute company success - From: Performance is evaluated by direct manager and individual basis -> To Performance is evaluated by councils and on team basis with multiple Inputs * 原來以產品來發展組織，但現在回蜘蛛網狀的組織。 * Y leader要enabling ## Feedback Culture is important - 做了很多改變，到底好不好我們不知道，所以要收集回饋 ## What are the internal feedback mechanisim in Trend Micro ### Types of Check-ins * On-on-one Check-in * Peer Check-in * Group Check-in - 跳出你的團隊去聽別人的理解 - 可能是幾個團隊去做 Check-in ## People Grouth - Social Map Peer Inputs Count ## Kudos Kudos is the vehicle that enable us showing appreciation.. - *亞洲人比較羞於展現感謝與正向回饋* - 給你按個讚 :+1: ## R&D Practice: Company-level daily meeting * CEO * 開發長 * RD * PM 世界各地都可以參加, 3天是台灣時區 2天是歐美，每個人都可以Join * 最長1小時 * 全程錄影公開 ## R&D Practice: Make decision by the data ### Power of Data * read the data -> analyze the data -> tell story -> action to help biz * 任何決定都由 Data 而來 ## R&D Practice: Multivers * 新人統一進入Multiverse team * 資深工程師帶領他們進行工作，從做中學 ## R&D: Inner Source * 公司內部全部都opensource * tracking : 有沒有人check out --- ## ==聊天區== 他說的 pair team 指的是 SRE 嗎？還是指 sotware developer? 如果是 software develop 的話，緊急 fix 後就馬上 release 嗎？ > 應該是跨國的團隊處理 >> Ryan: 沒錯。每個端到端團隊都有UiUx嗎？ > 以前經驗是有一個統一的HRE team分派UIUx到project 變成網狀結構後，有遇到什麼問題嗎？ ex：qa只有一人，請兩週假，會如何因應？ > 找別的QA支援 >>Ryan: 不過這問題跟調整成蜘蛛網架構關聯不大。一般有幾種作法，1)調整release schedule 2)調整其他QA or RD協助怎麼評估比原來的組織架構好？ > 結果會反映在營收上 >>Ryan: 營收是最終的期望結果，但也有些early indicator可以評估。例如工程團隊的調度是否更有彈性？ Bridge 聽起來有點像是窗口？還是類似每個 team 的 leader 呢？ >Ryan: Builder/Bridge/Teacher是一種能力，有些人可以同時有三種能力，有些能很專注在Builder，例如專注在network protocol的研究或kernel開發等等。 >Leader必備的能力之一是Bridge，但有些Leader自己也可以是Builder。好奇變成網狀結構後，那公司有對應的ERP可以視覺化這樣的結構給管理者參考嗎？ > 我也滿好奇蜘蛛網架構後的人員編組是真的隸屬於同一個 team(這裡指的是 team 的 report line), 還是專案任務臨時編組？ > 好奇在這樣組織架構下，執行人員是如何適應這樣的變動（感覺團隊變動性很大） > 剛有說到, Performance review 是整個team在打, 到時後應該還是要由主管report上去吧. >> Ryan: 我簡要說明一下，變成蜘蛛網的架構，除了組織階層扁平之外，最重要的是大家要改變心態。舉例來說，A team下的member隨時可以因為需求，而去做B team的專案。而績效考量，今天沒有時間多提。簡要的說，績效考核不是單純來自原本的reporting line決定，更多是其他有合作的team來的feedback，所以績效考核不會只看單一主管的決定，而是做完calibration之後才會定案。感覺要這樣推動需要高程度的文化支持 > 趨勢有設立文化長 <- 前趨勢人留 >>Ryan:沒錯！這絕對需要上層的高度支持才會推的動。 CEO的daily meeting 可以不參加嗎？如果我今天很忙，但又怕漏掉重要事情，不就要去看回放@@？ > 剛好像有聽到可以自由參加，感覺如果沒有要報告的議題可以依自己時間決定, 會有錄影檔可以看 >> 只有大頭才會強制參加，有重要的事情大頭會公布 >>> Ryan: 當然可以不參加。這就是需要錄影的其中一個原因。但如果有些問題需要問到當事人，看看有沒有在會議裡面的人可以幫忙回答，如果沒有人可以回答，就會留下一個action item給這位同仁。會議後，看是在Team Chat回覆或者在註冊一個daily meeting的topic即可。