[Livre] "Accelerate" : la science derrière DevOps et le Lean Software

Merci pour ce retour de lecture détaillé !

Pour qui chercherait le livre, il ne semble pas voir été traduit, mais est disponible en version électronique en France pour un prix tout à fait raisonnable pour ce genre d’ouvrage (10,12 €).

L’ISBN de la version électronique est 978–1942788355 ; celui de la version papier est 978–1942788331.

À noter qu’une réédition mise à jour est déjà prévue pour octobre 2022, ISBN 978–1950508648 pour la future version papier (je n’ai pas celui de la version numérique).

Je vais sûrement écrire d’autres billets qui prennent ce livre comme source.

Là, je dois avoir résumé environ 20% de la première partie (deux-trois chapitres).

Il reste énormément de contenu, notamment sur les pratiques (d’architecture, de management, de développement…) qui fonctionnent et celles qui ne marchent pas, qui vaut le coup qu’on puisse le citer facilement comme une source fiable.

Les autres parties du livre portent plus sur l’étude elle-même, elles sont très intéressantes à lire mais certainement pas aussi punchy que la première.

Un truc qui me perturbe dans les métriques choisies, c’est qu’elles ne s’appliquent à ma connaissance à aucun des logiciels dont j’ai connaissance des pratiques de développement, soit dans mon milieu professionnel (qui n’est pas le web ou du SaaS) soit en tant que contributeur libre. On travaille sur du logiciel, quand on est satisfait des nouvelles fonctionnalités accumulées on fait une nouvelle version (certains projets ont un rythme régulier, typiquement "tous les six mois", parfois "tous les trois mois"). Ça donne des trucs du genre:

• Delivery lead time (temps du commit à la production): impossible à dire car nos utilisateurs mettent à jour leurs systèmes à des rythmes différents. Un utilisateur expert avec des besoins poussés peut essayer la version "dev" qui apporte une fonctionnalité importante le lendemain de son intégration, ou en amont pour nous aider à tester une proposition de changement; mais c’est très rare. Le cas typique, c’est qu’on a une release 3 mois après le merge (ou plus), et nos utilisateurs l’adoptent très vite sur certains projets, des mois ou années après sur des projets qui évoluent plus lentement selon leurs contraintes internes.

• Deployment frequency: qu’est-ce qu’un déploiement pour un logiciel libre ? La sortie d’une nouvelle version ? Donc, ben, "tous les six mois" en gros.

• Time to restore: le temps entre un rapport de bug et le correctif. Ça dépend si on attend la release qui corrige le bug (là c’est "des mois" en général, et dans quelques cas rares "des jours/semaines" quand c’est un bug de sécurité qui conduit à une release en urgence), ou alors le temps entre le rapport et l’intégration du fix, et là c’est "quelques jours si c’est un bug facile et un contributeur est motivé, souvent des mois, 'jamais’ souvent car le bug n’est pas important". Dans les projets dont je connais le développement, aucun n’essaie de corriger les bugs signalés dans la journée, ce serait plutôt considéré comme une mauvaise pratique, stressante pour les contributeurs. Et "10 à 15 minutes", ça n’a juste pas de sens.

• Change Fail Rate: ce critère pour le coup est pertinent, mais à ma connaissance pas mesuré (c’est une plus-value du travail décrit que de faire un effort de mesure).

Donc bon: ce document couvre peut-être 1000 entreprises différentes, mais elles décrivent des processus de développement qui manquent de diversité, avec du SaaS. C’est naturel si le but est d’étudier le DevOps, qui est un rôle qui n’existe pas forcément en-dehors de ce contexte. Mais c’est aussi une partie du développement logiciel parmi d’autres. Dans les composants logiciels que j’utilise tous les jours, aucun de ceux que j’utilise en local ne suivent ce modèle (par exemple: Linux, Firefox, Emacs, OCaml, gcc, LLVM, Python, Coq, Latex, Thunderbird, VLC, Gnome, quelques jeux vidéos, etc.). (Quoique Firefix déploie automatiquement chez la plupart de ses utilisateurs maintenant.) En ligne c’est plus courant (GMail, Github, Reddit) il n’est pas non plus omniprésent (ZdS, Lobsters, LinuxFR, etc.).

Du coup je suis curieux:

• Est-ce que la façon de mesurer ne s’applique qu’à un type très particulier de "technology organization" qui évolue dans un monde différent du mien ?
• Ou est-ce que les auteurs pensent qu’à priori, toute organisation produisant du logiciel devrait essayer de s’améliorer selon leurs métriques (en… passant en mode SaaS), et comment est-ce argumenté ?

Dans ton billet tu dis que les entreprises "les plus performantes" ont les métriques les plus courtes, mais comment est-ce que la performance est mesurée ? (Si c’est mesuré par "elles ont de bonnes métriques", on se mord un peu la queue.) Est-ce que le raisonnement peut faire espérer que faire passer, par exemple, Python à ce modèle apporterait quelque chose à sa communauté d’utilisateurs ? (Je ne comprends pas trop comment ce serait possible en pratique, mais rêvons.)

Salut.

Je pense qu’il y a une confusion sur la signification des métriques. Ça ne concerne évidemment pas que le Web et le SaaS. C’est vrai que le vocabulaire que j’emploie est biaisé vers ce que je connais :

Delivery lead time (temps du commit à la production): impossible à dire car nos utilisateurs mettent à jour leurs systèmes à des rythmes différents.

Dans le cas d’une application que les utilisateurs installent, le delivery s’arrête quand il y a une nouvelle version disponible du logiciel que des utilisateurs peuvent installer.

En gros, quand l’app est publiée sur un app-store, ou quand le lien pour télécharger l’archive est mis à jour sur le site. C’est le temps qui sépare le moment où tu as commité ton code et celui où des utilisateurs ont la possibilité de te faire des retours.

Tu ne maîtrises bien évidemment pas le moment auquel les utilisateurs vont utiliser ton code. Ce que tu maîtrises, c’est celui où ta fonctionnalité est disponible. Dans le cas d’un logiciel open source, je suppose que c’est le temps entre le merge de la pull-request et la publication d’une nouvelle "nightly".

Deployment frequency: qu’est-ce qu’un déploiement pour un logiciel libre ? La sortie d’une nouvelle version ? Donc, ben, "tous les six mois" en gros.

Pas forcément. Si je prends Go, par exemple, il y a bien une nouvelle release tous les 6 mois, mais en attendant la nouvelle release on peut toujours utiliser les nouvelles features en installant gotip et commencer à faire des retours aux développeurs.

Dans ton billet tu dis que les entreprises "les plus performantes" ont les métriques les plus courtes, mais comment est-ce que la performance est mesurée ?

Ici il s’agit de la performance organisationnelle, qui inclut la performance commerciale d’une part (profitabilité, parts de marché, productivité, etc.), ainsi que la performance non-commerciale (satisfaction des utilisateurs, etc.) des organisations.

Pour les indicateurs utilisés pour mesurer la performance commerciale, ils mentionnent ce papier, et pour la performance non-commerciale, ce papier.

Si c’est mesuré par "elles ont de bonnes métriques", on se mord un peu la queue.

Il y a deux aspects : d’abord ils ont fait une analyse par cluster sur les métriques obtenues, et d’autre part ils ont établi que leur mesure de performance est un prédicteur de la performance organisationnelle.

Si on prend comme mesure du "delivery lead time" le temps nécessaire entre l’intégration d’un changement dans la branche de développement, et le moment où un utilisateur motivé peut techniquement essayer ce changement, la mesure dit "0 secondes" plutôt que "6 mois", mais ça ne m’a pas vraiment l’air d’avoir du sens non plus.

Pareil pour "déployment frequency", si tu comptes le nombre de merges dans la branche de développement par jour, ben c’est proportionnel au volume d’activité du projet et ça ne dit pas grand chose d’autre.

Edit: mais donc dans le cas de Go par exemple que tu mentionnes, tu mesures comment ces métriques et ça nous dit quoi ?

Si on prend comme mesure du "delivery lead time" le temps nécessaire entre l’intégration d’un changement dans la branche de développement, et le moment où un utilisateur motivé peut techniquement essayer ce changement, la mesure dit "0 secondes" plutôt que "6 mois",

Donc "moins d’une heure".

Pareil pour "déployment frequency", si tu comptes le nombre de merges dans la branche de développement par jour, ben c’est proportionnel au volume d’activité du projet et ça ne dit pas grand chose d’autre.

Donc "à la demande", soit la meilleure valeur possible.

Ce que ça nous dit c’est que les pratiques courantes des projets open source ont tendance à naturellement maximiser ces indicateurs, parce que l’open source est typiquement un contexte organisationnel complexe où l’automatisation est importante, voire juste vitale.

Évidemment, cela nous en dit moins long que dans le cas de logiciels sur lesquels des gens travaillent et collaborent à temps plein, où ce genre de KPI permet de détecter et caractériser une situation problématique à résoudre.

J’ai quand même l’impression que les adaptations des définitions à ce contexte sont assez acrobatiques. Et il reste la question du "time to restore", dans un contexte où la notion de "rupture de service" est très mal définie, mais les bugs mettent des jours, semaines, mois à être corrigés (comme chez tout le monde, je pense, y compris les GAFAM, les startups, etc.).

mais les bugs mettent des jours, semaines, mois à être corrigés (comme chez tout le monde, je pense, y compris les GAFAM, les startups, etc.)

Sauf si le bug est critique et rend le service ou le logiciel inutilisable, auquel cas il devient urgent de déployer un correctif/une mise à jour. Dans mon cas perso au boulot, le Time To Restore est inférieur à une heure.

Ça veut dire qu’en moins d’une heure après la découverte du problème :

• si c’était un service d’API qui faisait n’importe quoi, il est corrigé et redéployé,
• si c’était un outil qui ne se comporte pas comme prévu, il est rebuildé et les nouveaux binaires peuvent être téléchargés.

Edit: Toutes ces métriques se mettent à la place de l’utilisateur en fait. À quelle vitesse il peut espérer utiliser une nouvelle fonctionnalité une fois qu’elle a été développée ? À quelle vitesse c’est réparé et de nouveau utilisable quand ça tombe en panne ? etc.

Bien sûr, ça part du principe que le but du logiciel (donc l’objectif de l’organisation) est de répondre au besoin de ses utilisateurs de façon prompte et adaptée.

Autrement dit : la meilleure chance dont on dispose pour changer la culture d’une organisation, c’est de changer ses pratiques et de laisser les flux de communication entre les gens s’adapter en conséquence.

Un petit soucis, c’est que la culture d’une boîte peut être un frein au changement des pratiques. Ça peut être très lent dans une entreprise du type bureaucratique : ce qu’on fait n’est clairement pas bon, plein de monde sait quoi mettre en place pour être meilleur, mais il faut faire évoluer le process, ce qui peut prendre des mois, voire des années.

Je suis complètement d’accord avec toi. Pour avoir tenté ce genre de transition dans une startup dont la culture était, pour des raisons historiques, de type bureaucratique, c’est même très délicat.

Dans ce genre de cas, c’est soit on le fait à fond en se donnant les moyens pour réussir, soit on ne change rien, parce que rater cette transition et faire les choses a moitié ou au petit bonheur la chance a le pouvoir d’empirer la situation.

C’est à accompagner (aider à anticiper, planifier, mesurer l’impact humain de…) ce genre de changements que peuvent aider des psychologues du travail, typiquement.

De mon point de vue, Accelerate est un (excellent) bouquin qui s’adresse à des structures Agile dans le sens puriste du terme (comprendre pas uniquement des équipes avec des daily et un backlog).

Je pense que ce livre est surtout destiné aux personnes déjà convaincues par son contenu et qui chercheraient de la matière pour appuyer leurs arguments (du moins, c’est comme ça que je m’en sers).

De façon plus générale, je pense qu’avant d’essayer de tendre vers ce que présente Accelerate, beaucoup d’organisations ont déjà pas mal de choses à mettre en place ou corriger pour devenir agile ; voire prendre conscience qu’elles ne sont pas en mesure de s’y mettre (le cargo cult fait de très gros dégâts).

Dans un contexte où les équipes n’ont pas la main sur le delivery time (contraintes du marché, management, techniques, etc.), il y a souvent moyen de s’adapter un minimum. En fait, le plus important, c’est de réduire au maximum la boucle de feedback¹

Dans un de mes anciens projets (déploiements tous les 2 à 3 ans), on s’appuyait sur une plateforme iso-prod et des tests réguliers avec les utilisateurs (au pire, d’anciens opérateurs). Ce n’est pas aussi efficace que la prod en elle-même. Mais ça permettait d’avoir des retours sur lesquels travaillés.

Je dois admettre qu’avec le recul, les déploiements annuels se basaient sur des contraintes qu’il était plus facile d’accepter que de chercher à résoudre, cela dit…

¹ le temps qu’il faut pour valider la valeur utilisateur d’un développement

Dans un de mes anciens projets (déploiements tous les 2 à 3 ans), on s’appuyait sur une plateforme iso-prod et des tests réguliers avec les utilisateurs (au pire, d’anciens opérateurs). Ce n’est pas aussi efficace que la prod en elle-même. Mais ça permettait d’avoir des retours sur lesquels travaillés.

Oui, encore faut-il avoir clairement conscience de l’importance de raccourcir la boucle de feedback.

J’ai aussi bossé pendant des années sur un système avec ce genre de contraintes (un à deux déploiements par an par client), avec en plus des contraintes que je qualifierais de "légales" ou "contextuelles" qui faisaient qu’il était impossible de parler avec les utilisateurs du système pour de simples raisons de confidentialité et de protection de secrets d’état. Dans ce genre de cas, on peut s’en sortir effectivement comme tu le dis, en ayant notamment un proxy acceptable pour les utilisateurs (typiquement, un product owner qui soit un ancien opérateur, donc qui sait exactement de quoi il parle). On peut, donc, à condition que tout le monde intègre bien l’importance de ce feedback, et que le reste tourne bien aussi. Ce n’est pas parce que l’on est dans l’impossibilité de déployer un fix en une heure sur une appliance totalement coupée d’Internet à l’autre bout de la planète que l’on n’est pas pour autant performant ou efficace : ce projet était pourri pour énormément de raisons, certes liées, mais celle-ci n’en fait pas partie. (Ce qui le rendait pourri, c’était plutôt son approche désastreuse de la qualité, avec le classique "j’ai pas besoin que ce soit parfait, j’ai besoin de l’avoir dans une semaine", qui était intenable à cause de la dette technique, dette précisément contractée à cause de cette approche, et qui nous faisait balancer des paquets de code de merde — parce que la hiérarchie nous interdisait explicitement de faire du TDD ou du pair programming… — vers une équipe de QA déjà débordée depuis belle lurette, puisque son boulot était parasité par des bugs débiles et des dizaines d’allers-retours avec les devs jusqu’à ce que ça ait l’air de marcher). Tout est adaptable du moment que l’on comprend à quoi servent et ce que traduisent concrètement les indicateurs, et que le projet ne marche pas sur la tête par ailleurs.

Quoi qu’il en soit il est clair que tous ces KPI ne sont utiles que dès lors que l’on a un problème de performance organisationnelle à résoudre d’une part, dans un contexte où c’est la satisfaction des utilisateurs qui pilote les résultats de l’organisation d’autre part. Ça me semble tellement évident que je ne l’ai même pas mentionné : ça ne sert à rien de mesurer des performances sans volonté de les optimiser, et ça ne sert à rien d’optimiser ce qui n’a aucun impact sur la réussite d’une organisation.

Cela explique peut-être pourquoi cela semble tellement étranger lorsqu’on essaye de transposer ces notions à certains projets FOSS…

Dans tous les cas cela n’a rien à voir avec "SaaS ou pas-SaaS". Perso je bosse dans le jeu vidéo, qui a traditionnellement des cycles de release aux antipodes d’un service de cloud, et pourtant c’est exactement le fait d’approcher les performances organisationnelles selon ce genre de cadre (tu développes un truc très concret pour les utilisateurs pendant la semaine, et le vendredi t’as un feedback immédiat dessus, XP style. 0 WIP, etc.), y compris actuellement en l’absence de tout vrai joueur (puisque le jeu n’est pas sorti, loin de là), qui nous permet de nous en sortir avec si peu de moyens humains : ce que le livre mentionne et qui sera sûrement répété dans le prochain billet, c’est que les pratiques qui visent à maximiser la satisfaction des clients dans un projet SaaS sont de toute façon strictement les mêmes que celles qui permettent d’être efficace dans une démarche exploratoire, comme itérer sur un game design avec parfois des conséquences colossales sur la partie technique (comprendre par là : où il faut reprendre la copie à zéro ou presque tous les 3 mois sur certaines features quand ça ne fonctionne pas, non pas techniquement, mais du point de vue de l’expérience de jeu).