# 軟體研發轉型分享 - Ryan Pan {%hackmd @HWDC/BJOE4qInR %} >#### 》[議程介紹](https://hwdc.ithome.com.tw/2024/session-page/3340) >#### 》[填寫議程滿意度問卷｜回饋建言給辛苦的講者](https://forms.gle/boUDunhFzL4MLYgH7) --- [TOC] --- 趨勢這三年在轉型上做的事情 ## self-introduction Ryan Pan - RD Coach ## 你可能知道的趨勢科技 在年輕人內心可能是老公司了 * 台灣少數的全球軟體公司，全世界都有相對應的辦公室 Tech Org : TW 1,650+ , PH 1,090+ , Canada 310+, Japan 870+ (Partial), US 1,000 (Partial) * follow the sun? 日不落公司 太陽升起時都會有開發人員可以維護 * Pair team: 舉例來說美國在上班的時間台灣在休息，如果開發會變成要24小時輪班，找美國或加拿大的人hand over * 危機處理的必要措施 ## 數據 趨勢科技去年的營收是560億台幣(1.75 Billion USD)。 在許多領域都是leader角色，例如Cloud security，跟Azure, Amazon都有合作。 * Cloud security: 因為很多服務跟 storage 都架到外部的 cloud，所以需要有 cloud security 來保護以及阻擋駭客的攻擊 XDR: Extended Detection and Response EPP: Endpoint protection.公司的小電腦 IDPS: Network Security 全球員工大概有六千七百位 全世界許多組織會發佈弱點，在趨勢發現這很重要就收購了ZDI(全世界前三大的弱點發布組織) ## 趨勢的客戶 * PC-cillin 最早的在台灣起家產品，Windows的單機防毒軟體 * 中小型企業和大型企業 * 財金500大的客戶很多都是趨勢的客戶 * 有很多也是都做在企業的產品 ### 外差廣告 黃仁勳的簡報當中也有趨勢科技，因為黃仁勳也有投資AI Software，也會擔心有沒有Security的問題，會提供NVIDIA在NIM或其他服務上面看到趨勢的產品 換個概念就是一個台灣強強聯手的概念 ## Why Transformation? 台灣有些轉型的原因例如營收停滯 ### Today's Challenges - Attack Surfaces (Exponential growth) - Digital transformation - WFH - Cloud Migration - OT Environment - Risks & Trust (Visibility & Mitigation) - 75% of the CISO reported lack of visibility in cyber assets and full understanding of cyber risks, and potential blast radius of exposed entities. - Alert Overload (Siloed Solutions) - Fifty, average number of tools in a security operations cente. Siloed tools and vendors slows down visibility, detection, analysis and response. 資安就像警察抓小偷的概念，是一個不停追趕的遊戲 AI可以做視覺，所以就會拿來做詐騙，例如使用AI換臉假裝打電話給別人要錢 ## Today's challenges * Attack Surfaces - 駭客要攻擊你的第一個接觸點 - 攻擊點的多樣化是因為數位轉型、WFH - 案例: 台積電的機台有一些狀況導致損失 - 以前OT/IT環境是隔離開來的，後來讓OT跟IT環境能連接，現在可以在辦公室deploy機台 - 寫病毒的人非常的多，暗網組織有各式各樣的非法行為，只要付一點點錢就可以得到一張信用卡號，比特幣流行後改用比特幣交易 * Risk & Trust * 以前我們只要防病毒就好了，現在所謂的攻擊以及滲透的APT攻擊平均會潛伏18個月以上，單純的病毒已經不是現在駭客流行的方式。 * 最近越來越少中毒的狀況，例如綁架要付贖金，對駭客來說跟comsumer拿錢這business不是那麼划算，但commercial還是有，而且也不只是使用綁架，更多是企業運營中的風險管理是什麼。 * 如果Patch沒有馬上上，無線網路有沒有做嚴格的管控，這些都是有可能的威脅，這些要一個一個防是很難的，從防病毒到風險管理 * Alert Overload * 大家會想要管控，比如去年在某個營業額以上的公司就要設立資訊長(確保使用的TOOL是合合規的)，為了達到這一點就要在節點上Deploy很多東西。 * 以前只是單純在windows或mac，現在是多點防護，所以每天都會收到大量的alert，但這些alert這麼多要怎麼處理? * 這麼多的alert之間是不是有關聯?當客戶deploy越多產品，遇到的alert和security risk也多 ## Shift from Security Tools to a Cybersecurity Platform 趨勢從2021年開始轉型從產品到安全平台 - 這個平台不是只有我的東西而已，還可以plugin其他thirdparty，像是AWS - 除了enable 自己以外還要enable別人 - 從不同的vendor當中取得資料建立corelation - 趨勢的產品可不可以export - 平台可以快速地enable一個新的東西 ## 趨勢科技轉型二三事.... :::info $$ X = I + U - T $$ ::: * X: 想要解決的問題(問題定義得好，才能找到更適合的解法) * I: Infrastructure的change * e.g. 5G/Mobile/車子 * U: Embrace changes in user behaviors (使用者行為的改變會帶來新的危險) * e.g. WFH , 叫uber * T: Remove cybersecurity threats (T代表是威脅) ### 其他名詞解釋 * PM: product manager * JM: project manager 原來的PM都改名叫 XPM 說清楚要解決的是什麼問題 ## How do we execute in DevOps way? :::info $$ Y = Q + A - N $$ ::: * Q: Quick move (不是production quality的東西，例如l10n先不用作，出preview版) * A: Adjust & pivot for accuracy * collect feedback * 快速 deliver 下一版 * 有點像 agile 的文化 * N: Trade off and minimize negative impact * 在快速開發時，可能會遇到負面的影響。e.g. 金融業可能無法配合快速 release 的反應 & 功能不完全的產品。需要修改開發文化 * RD => y leader ## 略 * 開發流程從 waterfall (8-18個月左右的cycle) 全部採用 agile practice * 問題已經變了，這樣做意義也不大 * 改變組織結構，不僅是 title 還包括 reporting line,組織改為Radial web般的組織，只有3層 * 工程師 -> y leader -> 開發長 * Y coach不帶人 ## 略 金字塔的組織好處是解決固定，明確的問題，可以各個擊破。大家都在追求自已團隊內的最佳化。 * 案例: QA: RD你要design document-ready才能開test case * 每一個都卡一關就會越來越長 * 大家會把各自的 Standard 準備好才做 * Sideload effect (穀倉效應) 沒有什麼一定要等大家都 ready 好才能做 * 一個團隊是為了解決一個任務所組成的，不是都是RD都是QA * 一個團隊要負責e2e的責任 ## Team of Teams 其實是一本書 > https://books.google.com.tw/books/about/Team_of_Teams.html?id=wQ2hCgAAQBAJ&redir_esc=y 從原來的單一 funciton 是一個團隊 [Team of Teams: New Rules of Engagement for a Complex World](https://www.books.com.tw/products/F013308455?srsltid=AfmBOoq73-fpPVqRNEgglHuPzn0X5X4wS5RL37Yi2ziRaDgXEeHWveDO) * Command * Command of teams * Teams of teams ## 3 Roles and Attributes in Radial Web Organization * Builder: 做事情的人，例如QA, RD or designer * Bridge: * Teacher * 有些人很厲害，但他的熱忱在於分享經驗，讓公司其他人進步 ## Major Shifts - 從自己的成長轉變為公司業務的成長 - From: My product growth -> To Company overall business growth - From: product-driven roadmap & fixed resource pool -> To Company strategy driven roadmap & dynamaic resource movement - From: Product-centric organization -> To Radial Web flat & self-managing team - From: Managers direct & manage resources to contribute product success -> To: Leader enable & empower team to contribute company success - From: Performance is evaluated by direct manager and individual basis -> To Performance is evaluated by councils and on team basis with multiple Inputs * 原來以產品來發展組織，但現在回蜘蛛網狀的組織。 * Y leader要enabling ## Feedback Culture is important - 做了很多改變，到底好不好我們不知道，所以要收集回饋 ## What are the internal feedback mechanisim in Trend Micro ### Types of Check-ins * On-on-one Check-in * Peer Check-in * Group Check-in - 跳出你的團隊去聽別人的理解 - 可能是幾個團隊去做 Check-in ## People Grouth - Social Map Peer Inputs Count ## Kudos Kudos is the vehicle that enable us showing appreciation.. - *亞洲人比較羞於展現感謝與正向回饋* - 給你按個讚 :+1: ## R&D Practice: Company-level daily meeting * CEO * 開發長 * RD * PM 世界各地都可以參加, 3天是台灣時區 2天是歐美，每個人都可以Join * 最長1小時 * 全程錄影公開 ## R&D Practice: Make decision by the data ### Power of Data * read the data -> analyze the data -> tell story -> action to help biz * 任何決定都由 Data 而來 ## R&D Practice: Multivers * 新人統一進入Multiverse team * 資深工程師帶領他們進行工作，從做中學 ## R&D: Inner Source * 公司內部全部都opensource * tracking : 有沒有人check out --- ## ==聊天區== 他說的 pair team 指的是 SRE 嗎？還是指 sotware developer? 如果是 software develop 的話，緊急 fix 後就馬上 release 嗎？ > 應該是跨國的團隊處理 >> Ryan: 沒錯。 每個端到端團隊都有UiUx嗎？ > 以前經驗是有一個統一的HRE team分派UIUx到project 變成網狀結構後，有遇到什麼問題嗎？ ex：qa只有一人，請兩週假，會如何因應？ > 找別的QA支援 >>Ryan: 不過這問題跟調整成蜘蛛網架構關聯不大。一般有幾種作法，1)調整release schedule 2)調整其他QA or RD協助 怎麼評估比原來的組織架構好？ > 結果會反映在營收上 >>Ryan: 營收是最終的期望結果，但也有些early indicator可以評估。例如工程團隊的調度是否更有彈性？ Bridge 聽起來有點像是窗口？還是類似每個 team 的 leader 呢？ >Ryan: Builder/Bridge/Teacher是一種能力，有些人可以同時有三種能力，有些能很專注在Builder，例如專注在network protocol的研究或kernel開發等等。 >Leader必備的能力之一是Bridge，但有些Leader自己也可以是Builder。 好奇變成網狀結構後，那公司有對應的ERP可以視覺化這樣的結構給管理者參考嗎？ > 我也滿好奇蜘蛛網架構後的人員編組是真的隸屬於同一個 team(這裡指的是 team 的 report line), 還是專案任務臨時編組？ > 好奇在這樣組織架構下，執行人員是如何適應這樣的變動（感覺團隊變動性很大） > 剛有說到, Performance review 是整個team在打, 到時後應該還是要由主管report上去吧. >> Ryan: 我簡要說明一下，變成蜘蛛網的架構，除了組織階層扁平之外，最重要的是大家要改變心態。舉例來說，A team下的member隨時可以因為需求，而去做B team的專案。而績效考量，今天沒有時間多提。簡要的說，績效考核不是單純來自原本的reporting line決定，更多是其他有合作的team來的feedback，所以績效考核不會只看單一主管的決定，而是做完calibration之後才會定案。 感覺要這樣推動需要高程度的文化支持 > 趨勢有設立文化長 <- 前趨勢人留 >>Ryan:沒錯！這絕對需要上層的高度支持才會推的動。 CEO的daily meeting 可以不參加嗎？如果我今天很忙，但又怕漏掉重要事情，不就要去看回放@@？ > 剛好像有聽到可以自由參加，感覺如果沒有要報告的議題可以依自己時間決定, 會有錄影檔可以看 >> 只有大頭才會強制參加，有重要的事情大頭會公布 >>> Ryan: 當然可以不參加。這就是需要錄影的其中一個原因。但如果有些問題需要問到當事人，看看有沒有在會議裡面的人可以幫忙回答，如果沒有人可以回答，就會留下一個action item給這位同仁。會議後，看是在Team Chat回覆或者在註冊一個daily meeting的topic即可。