Artikel
Verbesserung des ROI durch die Einbeziehung von DevSecOps Best Practices
Unternehmen erzielen Nettogewinne, indem sie sich auf die Verbesserung ihrer Fähigkeit konzentrieren, Software und Infrastruktur effektiv zu entwickeln und zu nutzen. Unternehmen erreichen diese Vorteile, indem sie die Reibung zwischen Entwicklung, Betrieb und Sicherheit verringern. Die Integration der Zuständigkeiten der einzelnen Bereiche in eine einzige, gemeinsame Praxis ist als DevSecOps bekannt. Unternehmen können ihre DevSecOps-Praktiken verbessern und noch größere geschäftliche Vorteile erzielen, indem sie die folgenden Prozesse umsetzen, die Xebia bei der Zusammenarbeit mit seinen Kunden implementiert oder beobachtet hat: Dokumentation, Bereitstellung, Berichterstattung, Beziehungen zu Entwicklern, Beobachtbarkeit und Sicherheitspraktiken.
Dokumentation
Eine zusammenhängende, kohärente Dokumentationsstrategie, die von Entwicklern und Mitarbeitern entworfen wurde, fördert die Sichtbarkeit, Transparenz, Zusammenarbeit und Einhaltung von Vorschriften über disziplinäre und andere organisationsinterne Grenzen hinweg. Die Dokumentation sollte aktuell sein. Die Dokumentation sollte Details zu folgenden Punkten enthalten:
- Organisationsabläufe
- Entwürfe und Implementierungen von Infrastrukturen
- Anwendungen
- Systemdesign
Eine gute Dokumentation fördert das Vertrauen und das Gefühl der Sicherheit in der Organisation.
Eine bloße Dokumentation ist keine ausreichende Best Practice. Verteilte, aufgesplitterte, widersprüchliche oder nicht vorhandene Dokumentation führt zu Prozessduplizierung und/oder inkohärenten Informationen und Prozessen, die zu unproduktiven Zeitfressern werden, die sich über mehrere Teams erstrecken. Die Zentralisierung der verteilten Dokumentation in einem einzigen Repository mit klaren Taxonomien und einer klaren Architektur ist mit zusätzlichem Aufwand verbunden, aber die Beseitigung der Zeitfresser ist es wert.
Benutzerfreundlichkeit, erweiterte Suchfunktionen, Tools für die Zusammenarbeit, Benachrichtigungen und Tools zur schnellen Überprüfung sind Schlüsselelemente bei der Umsetzung einer guten Dokumentationsstrategie. Zentralisierte Wikis bieten diese Elemente durch Software- und Tooling-Funktionen. Wir empfehlen ihre Verwendung. Wir empfehlen außerdem ein einziges Team für die Pflege der Dokumentation. Dieses Team ist für die Pflege der Unternehmensdokumentation verantwortlich. Es ist auch für die Bereitstellung von Tools für die Zusammenarbeit und die Erfassung der gesamten von anderen Organisationsteams erstellten Dokumentation verantwortlich.
Entwickler und Betrieb arbeiten zusammen, um sicherzustellen, dass die READMEs der einzelnen Anwendungen, die Dokumentation als Code, das Onboarding, die architektonischen Entscheidungen, die Umgebungskonfiguration und die Bereitstellung den im zentralen Wiki dokumentierten organisatorischen Verfahren und der Infrastruktur entsprechen.
Die Dokumentation gehört in der Regel einem Team, das für die Aufrechterhaltung der hohen Qualität verantwortlich ist und gleichzeitig eine unbürokratische Zusammenarbeit ermöglicht. Viele haben sich für ein zentralisiertes Wiki entschieden, weil es benutzerfreundlich ist, erweiterte Suchfunktionen bietet, die Zusammenarbeit fördert und schnelle Überprüfungs- und Benachrichtigungsprozesse ermöglicht.
Eine fehlende Dokumentation (auch Dokumente ohne Inhalt, oder wenn sie im Kopf einer Person stecken bleibt!) ist wahrscheinlich das schlimmste Szenario und hoffentlich für die meisten Unternehmen unvorstellbar. Mehrere Dokumentationsquellen mit widersprüchlichen Anweisungen, keine eindeutigen Eigentümer oder mehrere Varianten desselben Prozesses (jeder hat sein eigenes Lieblingskeksrezept) sind jedoch auch nicht viel besser. Zusammengenommen sind solche Szenarien in der Regel wenig hilfreich und unproduktive Zeitfresser. Teams müssen sich bemühen, Doppelarbeit zu vermeiden und alle Dokumentationsbemühungen auf ein einziges Repository mit klaren Taxonomien und einer Informationsarchitektur zu lenken.
Die Kommunikation ist fließend und konzentriert sich auf die gemeinsame Fehlersuche, Abhilfe und Prävention.
Kontinuierliche Bereitstellung
Eine kontinuierliche Bereitstellung ist unerlässlich, um die Folgen von Fehlern zu minimieren und belastbare, vertrauenswürdige Softwaresysteme aufzubauen.
Formelle Änderungsanträge und andere schwerfällige Genehmigungsverfahren wirken sich negativ auf die Kreativität der Geschäftsbereiche und Entwickler aus. Dies führt dazu, dass
- Missbrauch von Verfahren
- Umgehung von Sicherheits- oder Regulierungsverfahren
- Zerbrechliche Silos
- Engpässe
- temporäre oder externe Lösungen
Negative Kreativität erhöht das gesamte Unternehmensrisiko. Wir sollten uns nicht auf umständliche Genehmigungsverfahren verlassen, um das Vertrauen in unsere Softwareentwicklung und -bereitstellung zu stärken.
Erfolgreiche Unternehmen bauen Vertrauen in diese Prozesse auf und minimieren die Folgen fehlgeschlagener Veröffentlichungen durch die folgenden empfohlenen Praktiken:
- umfassende automatisierte Tests
- kontinuierliche, minimale, häufige und rückgängig zu machende Freisetzung
- Testen neuer Versionen mit einer begrenzten Anzahl von Benutzern (Canary-Version)
- automatische Rollbacks
- Aufrechterhaltung einer hohen Umweltparität bei der Bereitstellung
- erweiterte Überwachungstechniken wie Real User Monitoring (RUM) und synthetische Überwachung
Erfahrung für Entwickler und automatisierte Bereitstellung
Die Bereitstellung von Infrastruktur und Anwendungen, das Konfigurationsmanagement und die Implementierung müssen automatisiert und skalierbar sein: von lokalen Entwicklungsumgebungen bis hin zu Multi-Cloud-Implementierungen. Dies erleichtert die Arbeit:
- Integrationsprüfung
- iterative Entwicklung der Infrastruktur
- iterative Entwicklung von Managementstrategien
Dies ist eine Schlüsselkomponente der Developer Experience. Wir möchten, dass sie ihre Arbeit in allen Umgebungen nahtlos und mit so wenig Reibungsverlusten wie möglich erledigen können.
Diese Fähigkeiten fördern:
- moderne Infrastrukturen
- kleine Sätze von Cloud-nativen Komponenten
- Resistenz gegen Lieferantenbindung
- belastbare Notfallwiederherstellung
Unternehmen, die dies praktizieren, sind effizienter als Unternehmen, die aus Gründen der Schnelligkeit der Bereitstellung oder der Kostenoptimierung auf diese Praxis verzichten. Wir empfehlen eine automatisierte, versionskontrollierte Infrastrukturbereitstellung, Konfigurationsverwaltung und Bereitstellung.
Umgebungen für QA, Staging und Produktion
Unternehmen, die Anwendungen in Umgebungen testen und entwickeln, die ihren Produktionsumgebungen entsprechen, reduzieren die Gesamtzahl der Produktionsvorfälle. Vorfälle und Fehler lassen sich leichter eindämmen und korrigieren, wenn die Entwickler die Produktionsumgebung auf ihrem lokalen Entwicklungsrechner replizieren können.
Moderne Anwendungen arbeiten mit riesigen Datenmengen, die oft von Produktionsanwendern stammen. Zum Testen müssen niedrigere Umgebungen über eine identische Dateninfrastruktur und eine ähnliche Datenmenge und -qualität verfügen.
Wir empfehlen, die Umgebung mithilfe von Infrastructure as Code (IaC) und Datengeneratoren sowie Anonymisierungsprozessen zu automatisieren und SecDevOps-Praktiken, -Technologien und -Methoden anzuwenden, um die Gleichwertigkeit der Umgebung zu ermöglichen.
Beobachtbarkeit
Unternehmen, die Probleme erkennen, bevor die Benutzer davon betroffen sind, vermeiden eine Ermüdung des Helpdesks.
Jedes Element in der Umgebung ist es:
- instrumentiert
- zurückverfolgt
- angemeldet
- gemessen
um verwertbare Erkenntnisse und Warnungen mit angehängten Abhilfeplänen zu erstellen.
Warnungen, die aus diesen Erkenntnissen gewonnen werden, werden an das entsprechende Team weitergeleitet, das die Dokumentation des Unternehmens oder der Anwendung verwendet, um Probleme zu beheben. Die Teams können innerhalb weniger Minuten eine Korrekturversion entwickeln, testen und bereitstellen. Wir empfehlen, Warnungen auf verwertbare Erkenntnisse und Abhilfemaßnahmen oder Korrekturen zu beschränken, die verhindern, dass das Problem erneut auftritt.
Wir empfehlen, dass Entwickler in jeder Umgebung Zugriff auf die benötigten Überwachungsinformationen haben und die entsprechenden Kontrollen zur Einhaltung der Produktionsdaten und des Datenschutzes durchführen.
Wir empfehlen, dass die Protokollierung, Verfolgung, Überwachung und Alarmierung injeder Umgebung durchgeführt wird.
Sicherheit und aktuelle Abhängigkeiten
Unternehmen, die sichere Software entwickeln, integrieren automatische Sicherheitsscans und -tests in ihre Bereitstellungspipelines. Die überwiegende Mehrheit ihrer Code-Basis besteht aus Open-Source- oder anderen Abhängigkeiten von Drittanbietern. Und je mehr externe Abhängigkeiten eine Code-Basis hat, desto mehr bekannte Angriffsvektoren gibt es. Wir empfehlen daher die automatische Aktualisierung von Abhängigkeiten und die Überprüfung der Anwendungssicherheit.
Selbstbedienung
Versionskontrollierte Infrastructure As Code ermöglicht die schnelle Überprüfung und Genehmigung von Änderungen an Cloud-Umgebungen und anderen Infrastrukturanforderungen. CI/CD-Pipelines integrieren Code und IaC-Änderungen in die sofortige Bereitstellung mit minimalen manuellen Eingriffen oder Genehmigungen.
Fazit
Die Integration von DevSecOps-Praktiken, -Technologien und -Methoden in den Entwicklungsprozess ermöglicht es Unternehmen, schneller zu innovieren, Kosten durch die Automatisierung manueller Prozesse und die Reduzierung von Fehlern zu senken und zufriedenere Ingenieure zu beschäftigen!
Unsere Ideen
Weitere Artikel
War die Linksverschiebung der richtige Schritt?
Erfahren Sie, wie die Linksverschiebung bei DevOps die Teamleistung steigert, die kognitive Belastung reduziert und die Arbeit der Entwickler durch...
Sander Aernouts
Drei häufige Fallstricke bei der Plattformentwicklung und wie Sie sie vermeiden...
Entdecken Sie 3 Fallstricke im Platform Engineering und erfahren Sie, wie Sie diese vermeiden können, um Produktivität, Innovation und langfristigen...
Jelmer de Jong
Contact