Am 27.10.2016 fand das sechste Treffen von agiLE und das erste nach dem Barcamp statt. Es war wie immer nett und zumindest fĂŒr mich hilfreich â ich denke auch fĂŒr die ĂŒbrigen Teilnehmer.
Damit diejenigen, die nur im Geiste bei uns waren, einen Eindruck bekommen, nachfolgend mein streng subjektiver Bericht.
Ich habe an den jeweils ersten, berichteten Sessions teilgenommen. Die “Parallel-Sessions” berichte ich aus dem Zusammenfassungs-Vortrag der Gastgeber bzw. aus den Aufzeichnungen aus den Sessions.
Eröffnung â agile Willkommenskultur
Wir hatten auch schon in der Vergangenheit Kollegen, deren Muttersprache nicht Deutsch ist. Bisher haben wir es so gehalten, dass deutsch oder englisch gesprochen wurde â je nachdem wer sprach â will durcheinander. Default war aber Deutsch. Dieses Mal haben wir zwei neue Agilisten dabei gehabt, die darum gebeten haben, dass wir nach Möglichkeit ganz englisch sprechen. Klar doch â machen wir gern.
Den Blog-Beitrag halte ich dennoch auf Deutsch. Warum?
Zum einen, weil man schriftlich so viel Zeit in Lesen, Ăbersetzen, Nachschlagen stecken kann, wie man individuell braucht. Es lĂ€uft nichts weg.
Die meisten meiner Leser sind aber auf deutsch schneller.
Weiterhin, weil mir das Schreiben auf deutsch schneller von der Hand geht und ich möglichst wenig Zeit fĂŒr diesen Beitrag aufwenden möchte.
Und der wichtigste Punkt: Herausforderung zum Lernen. So, wie ich Inhalte auf Englisch zum Anlass nehme, meine englischen SprachfĂ€higkeiten zu verbessern so will ich hiermit fĂŒr die Kollegen den Anreiz schaffen, ihr Deutsch zu verbessern. Kann man in Deutschland immer mal brauchen ⊠đ
Oder wie ich meinem portugiesischen Kollegen Rafael einmal sagte, als er mir englisch antwortete: “der einzige Effekt, den das hat ist, dass mein Englisch besser wird â Dein Deutsch aber nicht. Was hat fĂŒr Dich mehr wert?”
Sessionplanung â jetzt auf englisch
Nach einem kurzen RĂŒckblick auf’s Barcamp haben wir also im ĂŒblichen Format die Themen gesammelt und durch Handmeldungen priorisiert. Ergebnis waren 2×2 DurchgĂ€nge. Mein Evergreen “Erfolg! Wie messt Ihr den und wie geht Ihr damit um?” kam mal wieder nicht zum Zug. Macht nichts, gab auch andere spannende Themen.
Erster Durchgang: fuck-up-Session
“What was in the fuck-up-session stays in the fuck-up-session”. Wer dazu mehr wissen will ist fĂŒr die nĂ€chsten Male aufgerufen, selbst ein solches Thema anzubieten oder dran teilzunehmen, wenn es angeboten wird.
Parallel: Wie behandle ich Bugs und Fixes wÀhrend des Sprints?
In KĂŒrze zusammengefasst sind Bugs und Fixes Schulden in der QualitĂ€t â nicht in der FunktionalitĂ€t.
Eine Story, die nicht “done” ist, ist dadurch nicht automatisch “buggy” und umgekehrt. Unfertige Stories werden in den nĂ€chsten Sprint ĂŒbernommen und allokieren dort Umsetzungs-Ressourcen. Unfertig kann die Funktion selbst, aber auch die bis zuletzt nicht grĂŒnen Tests sein. “DoD gerissen” ist einfach nicht “done”.
Es kann sich natĂŒrlich auch herausstellen, dass ein Thema sich nach tieferer Durchdringung anders darstellt als zunĂ€chst angenommen oder durch eine andere Funktion obsolet wird. Dann wird die Story zurĂŒckgestellt oder ganz aus dem Backlog genommen. It depends âŠ
FĂŒr echte Fehlerbeseitigung oder Implementations-Support (je nach Produkt und Umgebung) mĂŒssen Ressourcen bereitgestellt werden! Entweder anteilig fĂŒr alle (bspw. 15% der Sprint-Kapa) oder es werden pro Sprint einzelne Personen fĂŒr’s Fixing abgestellt (bspw. “Batman und Robin” bei Entwicklung mit DevOps). Die “Superhelden” wechseln aber bitte von Sprint zu Sprint.
Pause: meterweise Pizza
Unserem Gastgeber Rohde & Schwarz Cybersecurity (ehemals u.a. bekannt als “gateprotect”) gebĂŒhrt wieder besonderer Dank.
RĂ€umlichkeiten (“Weisheitszahn“), GetrĂ€nke und Pizza in GruppengröĂe. Schöne GesprĂ€che. Wieder viel zu schnell vorbei.
Ich hatte leider mein Telefon im BĂŒro vergessen – daher kein Bild. Vielleicht findet sich ja noch eines von einem anderen Teilnehmer.
Zweiter Durchgang: Scrum und Security-Produkte â das geht nicht!
Hagen hatte mit der steilen These gepitched, dass Scrum fĂŒr Security-Produkte nicht geeignet sei. Sowohl nach der Transition von irgendwas zu agil nicht, weil ein ernsthaftes commitment auf legacy code nicht möglich sei – als auch weil “security” nicht als Sprintziel erreichbar sei.
Das war provokant und fĂŒhrte zu dem wohl beabsichtigten Ergebnis. In der Session fanden sich Diskutanten aus unterschiedlichen Segmenten wieder. Zumindest fĂŒr mich war die Session wertvoll, weil sie Austausch und BestĂ€tigung gab.
ZunĂ€chst haben wir das Problem herausgearbeitet. Dazu ist es hilfreich, englische Begriffe zu verwenden. “Sicherheit” ist auf Deutsch zu weitreichend. Im Englischen wird u.a. zwischen “safety”, “security” und je nach Kontext weiter nach “confidentiality”, “integrity” und “reliability”/”availability” unterschieden.
Wo ist der Unterschied?
“safety” ist eine Sicherheitsfunktion, die aktiv getestet werden kann. Automobil: Bremse, Beleuchtung, Crashtest.
“security” ist eine SekundĂ€rfunktion, die nur negativ getestet werden kann. Beispiel: TĂŒrschloss.
Positiv-Test der Funktion wĂ€re das Ergebnis, dass ein SchlĂŒssel das Schloss dazu veranlasst eine SchlieĂfunktion freizugeben. Erwartet wird aber auch (und sehr oft nicht angefordert, sondern diskret unterstellt), dass nur der passende SchlĂŒssel die SchlieĂfreigabe erzeugt und alle anderen SchlĂŒssel abgelehnt werden.
Das fĂŒhrte uns zu der Frage wie man nun “security” im Sprint umsetzt. Wir kamen an den Punkt, dass es explizite Sicherheitsfunktionen geben kann (“Login”, “Zugriffsberechtigung erteilen”). Damit diese aber “secure” sind, dĂŒrfen die funktionalen Anforderungen (ich kann mich authentifizieren und werde dadurch autorisiert) nicht nur mit Positiv-Tests abgedeckt werden. FĂŒr die “Security” muss ein expliziter Mehraufwand als Negativ-Tests betrieben werden (bspw. “Penetration Tests”, “Vulnerability-Tests”, “Red-Teams“).
Wie vermarkte ich diesen “Mehraufwand fĂŒr Security”?
Nach meiner Auffassung ist dieses Problem ein Kommunikationsdefizit. Indem stillschweigend “Sicherheit” unterstellt wird, kann auch kein Dialog ĂŒber den Wert von Sicherheit entstehen. Sicherheit ist aktive Kommunikation!
Es mĂŒssen erwartbare QualitĂ€ten ausdrĂŒcklich angesprochen und gegen nicht erfĂŒllbare AnsprĂŒche abgegrenzt werden.
“Jeder” erwartet, dass eine hochqualitative Software gegen “Script-Kiddies” geschĂŒtzt ist.
Keiner kann aber ernsthaft erwarten, gegen zielgerichtete, willentliche AktivitĂ€ten bestens ausgerĂŒsteter Geheimdienste standhalten zu können. In der Mitte dieser zwei Pole findet das “GeschĂ€ft mit der Sicherheit” statt.
Und auf diesem Feld kann man AufwÀnde, die man betreibt durchaus erwÀhnen und aktiv vermarkten.
Entweder ist man bspw. gesetzlich gezwungen, bestimmte Tests durchzufĂŒhren (Beispiel: Zulassungsverfahren der Pharmabranche oder Medizintechnik). Oder man legt sich diese Verpflichtung selbst auf, weil man das als “PREMIUM-Anspruch” der eigenen Produkte versteht. Oder aber man kommuniziert den Mehraufwand als ProduktqualitĂ€t “weil Sie als Kunde es von einem Sicherheitsprodukt erwarten”.
“Security” verkauft (anders als “safety”) ein GefĂŒhl. Das GefĂŒhl von Vertrauen und “Geborgenheit” ist aber leider flĂŒchtig. Es muss immer wieder neu geschaffen und darf nicht ernsthaft verletzt werden. Sonst stirbt das GefĂŒhl und vielleicht die ganze Firma gleich mit.
Mal schauen, wie es mit Samsung und seinen Telefonen weitergeht âŠ
Ergebnis: geht doch!
Muss man halt machen.
Negativ-Tests gehören als nfA bzw. contraints mit in die Story und die (automatisierten!) Negativ-Tests gehören mit in die DoD. Fertsch!
Parallel: Peter L. ein weiteres Mal mit “Is Scrum toxic?”
Peter hatte das Thema bereits auf dem Barcamp angeboten. Dort und auch hier habe ich mich fĂŒr ein anderes Thema entschieden bzw. war selbst Gastgeber.
Rolf sagte zu Beginn, diese Punkte wĂŒrden auch als “dark scrum” diskutiert.
“dark scrum” ist “meaning well –Â done wrong”. “It takes time to unlearn the old ways. It takes time to learn new habits, time to learn to trust the team.”
“Much of the fear will go away by itself, because leadership can see real results.”
Mit meinen Worten an anderer Stelle …
Und sonst noch?
Unser hashtag bei twitter ist #agiLeipzig.
Ich habe im Nachgang des Termins gelernt, dass neben Lars Vollmer noch andere Vorreiter der neuen Arbeitswelt mit “meinem” schwĂ€bischen Maschinenbauer zu tun hatten. Die Welt ist so klein. Aber das ist eine andere Geschichte âŠ
Bis zum nÀchsten Mal.
Noch nicht fix, aber geplant fĂŒr Anfang Dezember, hoffentlich in einer location, die “open end” zulĂ€sst und passend zur besinnlichen Vorweihnachtszeit mit Spielen in geselliger Runde. Derzeit scheint es sich auf den 8. Dezember zu verdichten.
Leave a Reply