Журнал "Information Security/ Информационная безопасность" #2, 2020

матизация, где и насколько эффективно. Как гласит пословица, знание – сила. Чем больше вы знаете о процессе, тем лучше он работает. Автоматизация – это не самоцель, она нужна ради повышения эффективности и замены рутинных про- цессов автоматическими. Если вы пытае- тесь сделать процессы автоматическими (не зависящими от человека), аналитика позволит вам отслеживать, насколько эффективно это работает. Она помогает вам лучше понять, что работает хорошо, а где требуются улучшения. Наличие петель обратной связи является неотъем- лемым условием успеха автоматизации. В целом успешная автоматизация тре- бует наличия поддерживающей плат- формы оркестрации релизов, которая обеспечит координацию и совместную работу различных групп и автоматиче- ских инструментов. Не все процессы можно полностью автоматизировать. Всегда останутся операции, требующие человеческого участия. Платформы оркестрации дают возможность орга- нично сопрягать и автоматические, и ручные операции. Платформа XebiaLabs, например, позволяет не только органич- но вплетать ручные операции в процесс непрерывной поставки ПО, но и значи- тельно повысить эффективность опера- ций, требующих внимания человека, и отслеживать их реактивность. А нали- чие обратной связи DevOps Intellegence, предоставляемой платформой Xebia- Labs, обеспечивает производительность всех операций в процессе непрерывной поставки. "Сдвиг влево" процессов безопасности релизов Автоматизация дает ускорение разра- ботки продукта, но сама по себе она не гарантирует его безопасность. При этом безопасность кода сегодня – один из основных критериев качества разрабаты- ваемого продукта. Чтобы выпускать рели- зы часто и не жертвовать безопасностью, необходимо встроить в конвейер разра- ботки ПО инструменты проверки качества кода, такие как SAST, DAST, SCA. Инструменты SCA 2 интегрируются с репозиториями, инструментами сборки, серверами непрерывной интеграции и поз- воляют обнаруживать проблемы с без- опасностью в компонентах Open Source на самых ранних этапах разработки, реа- лизуя таким образом принцип Shift Left, когда исправления можно делать быстрее и проще. И здесь опять же требуется платформа оркестрации, которая позволит видеть состояние каждого программного компонента и проекта в целом, находить наиболее влияющие на скорость разра- ботки задачи, запускать проверки без- опасности насколько возможно раньше, чтобы не тормозить выпуски и иметь пол- ную прозрачность конвейера разработки. Совет от XebiaLabs в 2020 году: дайте свободу разработчикам Критично важно предоставлять раз- работчикам свободу и одновременно контролировать их. И это возможно. Оставьте разработчикам свободу выбора инструментов и сред. При этом XebiaLabs может предоставить платформу, которая даст руководству компании уверенность, что они получают то, что нужно. Баланс между свободой и контролем достигнут. Крупные компании годами инвестиро- вали значительные средства в инстру- менты, подобные Jenkins и Jira, и они стали основой для их работы. Эти компа- нии не хотят их менять, да им и не нужно этого делать. XebiaLabs интегрирует суще- ствующие инструменты и предлагает кор- поративные функции, которые способ- ствуют масштабируемости, соответствию требованиям и скорости разработки. Разработка ПО очень важна для успеха, она является частью любой организации, потому что сегодня большинство крупных компаний стали разработчиками программ- ного обеспечения. Без разработки нет биз- неса, поэтому она должна быть продуктив- ной, а для этого нужно предоставить раз- работчикам возможность использовать любимые инструменты. Однако очень часто конвейер разработки довольно сегменти- рован и не всегда дает прозрачность ситуа- ции. Использование платформы оркестра- ции релизов, например XebiaLabs DevOps Platform, добавляет необходимую ясность и управляемость, не мешая командам раз- работчиков, какие бы инструменты и среды они ни использовали – Microsoft Azure, AWS, Kubernetes или другие решения. И бизнес, и разработчики получают то, что хотят. Вам не нужно вносить серьезные изменения, чтобы быстро повысить эффек- тивность процесса доставки программного обеспечения. Поддержка "быстрых команд" будет мейнстримом Скорость релизов имеет все большее значение. Во многих компаниях уже существуют "островки скорости", часто порожденные тремя типами команд: 1. Инноваторы. Это команды, которые переносят современные микросервисные приложения в облако. Они используют инструменты непрерывной интеграции и имеют возможность выпускать прило- жения в любое время. Простая среда приложения и возможность самостоя- тельно выпускать релизы – два подхода, которые можно применять практически во всех случаях. Такие принципы, как GitOps и NoOps, являются для них двумя принципиально важными компонентами, которыми они живут днем и ночью. 2. Автоматизаторы. Эти команды очень серьезно относятся к автоматизации и автоматизируют весь конвейер. Они выстроили тестирование GUI, приемоч- ное тестирование, еще какие-то процес- сы. Но даже при полной автоматизации и подключении всех инструментов все равно остаются узкие места и задержки из-за зависимостей от других задач, сопровождающих разработку. 3. Оптимизаторы. Эти команды бро- сают вызов существующим правилам и руководствам, которые существовали десятилетиями, критически обдумывают и пересматривают их с целью упрощения и экономии времени и сил. Присмотри- тесь к этим ребятам. Организация выиграет, когда найдет все три такие команды и объединит их практики. Инноваторы, автоматизаторы и оптимизаторы, работающие вместе, являются золотым фондом компании. Упрощенные, автоматизированные процессы позволят вам освоить иннова- ции и ускориться в целом, а "островки скорости" превратить в"магистрали". l 44 • ТЕХНОЛОГИИ Периодическая таблица инструментов DevOps от XebiaLabs 1 1 https://xebialabs.com/periodic-table-of-devops-tools/ 2 Орешкина Д. Методы анализа исходного кода // Information Security (Информационная безопасность). 2020. № 1. С. 44. Ваше мнение и вопросы присылайте по адресу is@groteck.ru