Migreren naar een nieuwe Jira Cloud instance is een ontmoedigend proces en het gaat gepaard met...
Read More
Atlassian
Dit artikel is geschreven door Filip van Release Management Apps
In de afgelopen tien jaar heeft de Europese Unie haar regelgevend landschap aanzienlijk uitgebreid in sectoren zoals het bank- en verzekeringswezen, de gezondheidszorg, iGaming en defensie.
Regelgeving zoals GDPR, DORA, NIS2, de AI Act, de Cyber Resilience Act, de Digital Services Act (DSA) en de Digital Markets Act (DMA) hebben nu een grote invloed op de manier waarop moderne bedrijven hun IT-systemen ontwerpen, gebruiken en beheren.
Tegelijkertijd is de concurrentiedruk nog nooit zo hoog geweest. Van organisaties wordt verwacht dat ze continu innoveren, hun time-to-market verkorten en sneller dan ooit nieuwe digitale mogelijkheden leveren.
Dit zorgt voor een fundamenteel spanningsveld: hoe kunnen bedrijven snel bewegen en tegelijkertijd veilig, compliant en veerkrachtig blijven?
Moderne architectuur lost snelheid op, maar introduceert nieuwe risico's
Recente technologietrends, zoals het opsplitsen van monolithische applicaties in modulaire microservices, het gebruik van cloud-native platforms en het gebruik van automatisering als de ruggengraat van DevOps, hebben de snelheid en schaalbaarheid van engineering drastisch verbeterd.
Deze vooruitgang is echter niet altijd standaard afgestemd op de wettelijke vereisten. In sterk gereguleerde omgevingen neemt de complexiteit exponentieel toe:
- Eén enkele klantgerichte wijziging kan gecoördineerde updates vereisen voor tientallen of zelfs honderden systemen.
- Systemen zijn eigendom van teams die verspreid zijn over afdelingen, landen en tijdzones.
- Meerdere functies worden vaak gebundeld in gecoördineerdereleases.
Voordat iets de productie bereikt, moet de hele oplossing end-to-end gevalideerd worden. Dit omvat niet alleen functionele tests, maar ook kritieke niet-functionele vereisten (NFR's) zoals beveiliging, compliance, prestaties, beschikbaarheid en veerkracht.
Zonder de juiste release discipline kan moderne architectuur onbedoeld het compliance risico verhogen.
De verborgen kosten: Verlies van autonomie van het team
Wanneer regelgevende controles slecht worden ingevoerd, komen ze vaak direct terecht bij engineeringteams in de vorm van:
- Handmatige goedkeuringspoorten
- Extra documentatievereisten
- Gefragmenteerde processen over tools en afdelingen
Dit kan de autonomie van teams ondermijnen en de levering vertragen.
De geschiedenis heeft aangetoond dat deze aanpak contraproductief is. Engineeringteams presteren het best wanneer ze bevoegd en vertrouwd zijn en kunnen innoveren binnen duidelijke grenzen. Buitensporige wrijving vermindert niet alleen de snelheid, maar verhoogt ook het operationele risico omdat teams om processen heen werken die niet werken.
Een cruciaal inzicht: Regelgeving is niet gericht op engineering, maar op releases
Een nadere beschouwing van de moderne EU-regelgeving onthult een belangrijk inzicht:
De meeste regelgeving dicteert niet hoe teams code schrijven.
Ze richten zich op hoe wijzigingen worden beoordeeld, goedgekeurd, vrijgegeven en gecontroleerd.
In GDPR, DORA, NIS2 en aanverwante frameworks draaien de kerncontroles consequent om:
- Gestructureerde reviewprocessen (het "vier ogen" principe)
- Formeel wijzigingsbeheer
- Zekerheid dat alleen geautoriseerde en goedgekeurde artefacten in productie komen
- Garanties dat artefacten niet worden gewijzigd tussen goedkeuring en implementatie
- End-to-end audit trails voor wijzigingen, controles en goedkeuringen
Met andere woorden, de regelgevende last zit voornamelijk in de release management laag, niet in het dagelijkse ontwikkelwerk.
Waarom releasebeheer de bottleneck wordt
Veel organisaties proberen aan de eisen van de regelgeving te voldoen door controles direct toe te voegen aan de workflows van teams. Dit leidt vaak tot gefragmenteerde processen en dubbel werk.
Een effectievere aanpak is het introduceren van een gecentraliseerde release management functie die boven de ontwikkelteams staat en releases coördineert zonder de manier waarop teams software bouwen te beperken.
Deze "release hub" wordt de enige plaats waar:
- Afhankelijkheden tussen systemen en teams worden beheerd
- Goedkeuringen van architectuur, beveiliging, risico en compliance worden georkestreerd
- Bewijs voor audits automatisch wordt verzameld
- Releases worden gevolgd, gecommuniceerd en consistent uitgevoerd
Casestudie: Een wereldwijde retailbank past zich aan nieuwe technologie en regelgeving aan
Een wereldwijde retailbankgroep is onlangs begonnen met een transformatie naar een cloud-native, op microservices gebaseerde architectuur terwijl ze zich voorbereidde op DORA-compliance.
De voordelen van microservices en cloudhostingplatforms waren onmiddellijk merkbaar: teams kregen meer snelheid, autonomie en schaalbaarheid. Maar net zo snel ontstonden er nieuwe pijnpunten.
Elke klantgerichte update leidde tot wijzigingen in honderden backendservices. Succesvolle releases waren nu afhankelijk van precieze timing, teamoverstijgende coördinatie en meerdere goedkeuringslagen waarbij Engineering, Enterprise Architecture, Informatiebeveiliging, Risico en Compliance betrokken waren.
Ondanks volwassen CI/CD pipelines werden vertragingen zelden veroorzaakt door tooling. In plaats daarvan kwamen ze voort uit ontbrekende coördinatie en onduidelijk eigenaarschap.
De organisatie worstelde met het beantwoorden van elementaire maar cruciale vragen:
- Wat is er eigenlijk klaar voor verzending?
- Welke wijzigingen zijn goedgekeurd en door wie?
- In welke volgorde moeten componenten worden ingezet?
- Welk bewijsmateriaal is er voor controle en beoordeling door de regelgevende instanties?
Zonder een centraal systeem waren releasebeslissingen verspreid over Slack threads, e-mails en tientallen Jira-projecten. Releasedagen voelden aan als brandweeroefeningen. In een sterk gereguleerde branche was dat niet alleen inefficiënt, maar ook gevaarlijk.
De oplossing: Een gecentraliseerde releasehub
Om deze uitdagingen aan te pakken, implementeerde de bank een speciale releasebeheeraanpak die was opgebouwd rond een gecentraliseerde releasehub in Jira.
Deze hub bood:
- Eén enkele bron van waarheid voor release-gereedheid
- Zichtbaarheid in systeemoverschrijdende afhankelijkheden
- Georkestreerde goedkeuringsworkflows voor alle controlefuncties
- Geautomatiseerde verzameling van bewijsmateriaal voor compliance
- Integratie met deployment pipelines en distributie van release notes
Belangrijk is dat delivery teams hun autonomie behielden. Ze bleven software bouwen en testen met behulp van moderne DevOps-praktijken, terwijl wettelijke controles consistent werden afgedwongen op de releaselaag.
Autonomie behouden, verantwoordelijkheid afgedwongen
Elk team behield zijn autonomie, maar maakte gebruik van een gestandaardiseerde werkwijze: het gebruik van Jira Fix Versions om aankomende wijzigingen te bundelen en upstream en downstream afhankelijkheden vroegtijdig te identificeren. Dit creëerde een duidelijk, teamoverschrijdend leveringscontract.
Een standaard leveringsproces
Er werd een gestandaardiseerde workflow geïntroduceerd voor alle Fix Versions. De Fix Versions van elk team verschenen op een uniform bord, gegroepeerd volgens de belangrijkste initiatieven die als zwembanen fungeerden. Many-to-many relaties tussen initiatieven en Fix Versions zorgden voor een betere zichtbaarheid en expliciete afhankelijkheden hielpen bij het orkestreren van de juiste leveringsvolgorde.
Plotseling werd het hele releaselandschap beheersbaar.
Integratie van goedkeuringsstromen
Bestaande goedkeuringsprocessen, aangedreven door Jira Service Management (JSM), werden direct in de releasehub geïntegreerd. Toen Fix Versions naar Approval Required gingen, valideerde de hub alle voorwaarden en maakte automatisch bijbehorende JSM-tickets aan.
Deze tickets bevatten alle benodigde informatie:
- reikwijdte van de release,
- afhankelijkheden,
- bewijs van testen,
- pull verzoek validatie,
- reviewstatus van de bedrijfsarchitectuur,
- links terug naar de release hub voor volledige context.
Dit gaf volledig inzicht in wat er op goedkeuring wachtte en hoe lang.
Integratie van CI/CD en geautomatiseerde release notes
Bitbucket Pipelines waren verbonden met de hub en werden automatisch geactiveerd zodra goedkeuringen waren voltooid en Fix Versions overgingen in Ready for Deployment. Hierdoor was het niet meer nodig om handmatig DevOps-tickets aan te maken.
Na de implementatie vroeg het systeem om het maken van release notes met behulp van vooraf gedefinieerde sjablonen. De gegenereerde notities werden opgeslagen in een gecentraliseerde Confluence-ruimte met versiebeheer en direct gekoppeld aan de Fix-versie.
De afhaalmaaltijd
De release hub werd veel meer dan een overlay bovenop CI/CD: het ontwikkelde zich tot het centrale zenuwstelsel van het softwareleveringsproces van de bank. Het maakte mogelijkheden mogelijk die voorheen niet mogelijk waren:
- Automatisch verzamelen van test- en compliance-artefacten
- Afgedwongen review gates met rolgebaseerde machtigingen
- Transparant bijhouden van integratiepunten tussen services
- Geautomatiseerde deployment triggers en genereren van release notes
De impact was onmiddellijk:
- De voorbereidingstijd voor releases nam aanzienlijk af dankzij minder handmatige controles en duidelijkere coördinatie.
- De controlebereidheid verbeterde, omdat goedkeuringen en documentatie direct in de workflow werden vastgelegd.
- Teams voelden zich meer bevoegd en minder reactief, ondersteund door een proces dat samenwerking mogelijk maakte in plaats van frictie toe te voegen.
- Releases werden voorspelbaar en routinematig, in plaats van late noodgevallen en ad-hoc synchronisatiegesprekken.
Het belangrijkste is dat releases betrouwbaarwerden - eenvoorspelbare, traceerbare en schaalbare operatie. In industrieën waar compliance en controle niet onderhandelbaar zijn, is dat transformatief.
Conclusie
In gereguleerde sectoren is releasebeheer niet "slechts" een operationeel hulpmiddel, maar een strategische infrastructuur. Als het goed wordt uitgevoerd, verdwijnt het naar de achtergrond en maakt het een veilige, compliant en schaalbare levering mogelijk zonder de innovatie te vertragen.