Делает ли платформенная инженерия DevOps и DevSecOps неактуальными?

Автор: Марк Троестер, 31 августа 2023 г.

Для тех из нас, кто достаточно взрослый, чтобы помнить, движение DevOps появилось на сцене где-то примерно в 2007–2008 годах. Ее сторонники выступали против традиционной модели программного обеспечения того времени, которая призывала к тому, чтобы разработчики, написавшие код, были организационно и функционально отделены от тех, кто развертывал и поддерживал этот код. Причиной этого движения является то, что эти разрозненные команды, озабоченные только своими собственными целями, привели к неудачным релизам, значительным задержкам, плохой коммуникации и, в конечном итоге, к недовольству клиентов. Потребовалось несколько лет, чтобы набрать обороты, но когда Gartner присоединился к этой концепции в 2011 году, ее внедрение резко возросло, а такие методы гибкой разработки, как автоматизированная сборка и тестирование, а также непрерывная интеграция и доставка, стали новой нормой.

Agile, DevOps и его обещания непрерывной интеграции и непрерывной доставки… ну, вот, выполнено. Команды разработки и эксплуатации, наконец, оказались на одной волне, каждая из них могла видеть конечную цель текущего этапа, обеспечивая гибкость для внесения изменений и улучшений на этом пути, ускоряя выпуск качественного программного обеспечения. К сожалению, в первые годы успеха DevOps вопросы безопасности и соответствия требованиям обычно оставались разрозненными. Из-за этого разрозненности вопросы безопасности отошли на второй план и застряли ближе к концу жизненного цикла разработки приложений. Следовательно, служба безопасности взяла на себя вину за узкие места, задерживающие выпуск.

2014 год ознаменовался экспоненциальным ростом нарушений безопасности по сравнению с предыдущим годом. Согласно статье в Security Week, 2014 год ознаменовался годом, когда впервые в результате более чем 1500 заметных утечек данных был скомпрометирован один миллиард записей, что на 80% больше, чем в 2013 году. Среди них были Home Depot, JP Morgan Chase и eBay. многие из них подверглись нападению. Учитывая эти и другие громкие нарушения, пришло время переоценить процессы разработки и уделить внимание вопросам безопасности и соответствия требованиям.

Исследования Microsoft и других компаний показали, что 80% нарушений безопасности были связаны с ошибками конфигурации. Концепция DevSecOps, ставящая безопасность на передний план в процессе гибкой разработки, гарантирует, что активы настроены правильно, обеспечивая постоянное соответствие требованиям путем выполнение постоянного сканирования для выявления отклонений конфигурации.

Этот подход можно распространить за пределы центра обработки данных на любое облако и любую периферию, где даже приложениями можно управлять и проверять их соответствие стандартам соответствия и безопасности. Вы даже можете распространить единую структуру обеспечения соответствия требованиям DevSecOps на собственные облачные ресурсы, включая Kubernetes и общедоступные облачные службы.

Сегодня можно с уверенностью сказать, что термин «DevOps», вероятно, теряет свою актуальность, но «DevSecOps» жив и здоров, пока организация принимает культурные, кадровые и процессные изменения, необходимые для успеха. Инструменты и технологии имеют важное значение для DevSecOps, равно как и принятие культуры, согласно которой безопасность является обязанностью каждого. Эта культура требует формирования в командах подхода, ориентированного на безопасность, а также внедрения необходимых инструментов автоматического тестирования безопасности.

Разработка платформ в последнее время вызвала интерес и в настоящее время вызывает значительный ажиотаж из-за того, что она сосредоточена на создании и эксплуатации внутренних платформ самообслуживания для разработчиков (IDP) для доставки программного обеспечения и управления жизненным циклом. Платформа поддерживается многоуровневыми сервисами или инструментами, созданными и поддерживаемыми специальной командой разработчиков, предназначенной для удовлетворения потребностей разработчиков программного обеспечения путем объединения компонентов для создания удобного процесса разработки.

Как говорит Gartner: «Разработка платформ — это новый технологический подход, который может ускорить доставку приложений и скорость, с которой они создают ценность для бизнеса». Фактически, Gartner ожидает, что «к 2026 году 80% организаций, занимающихся разработкой программного обеспечения, создадут платформенные команды в качестве внутренних поставщиков многократно используемых сервисов, компонентов и инструментов для доставки приложений. Разработка платформ в конечном итоге решит центральную проблему сотрудничества между разработчиками программного обеспечения и операторами».