Следование модели зрелости DevSecOps
Следование модели зрелости также помогает рассказать историю, включающую изменения в людях, процессах и технологиях, возникающие в результате преобразования DevOps в DevSecOps.
DevSecOps во многом представляет собой еще один уровень зрелости DevOps для предприятия. Исполнительное руководство и другие заинтересованные стороны понимают концепцию модели зрелости, что делает ее полезным способом объяснить ценность этого изменения. Следование модели зрелости также поможет вам рассказать историю, включающую изменения в людях, процессах и технологиях, возникающие в результате преобразования DevOps в DevSecOps.
Вот четыре типичных уровня зрелости DevSecOps:
Уровень 1: до DevOps (без автоматизации)
На этом уровне разработчики выполняют каждую задачу вручную, включая создание и тестирование приложений и систем. Управление командой, процессы и безопасность приложений по-прежнему находятся на очень разовом уровне.
Сделайте дополнительный шаг, чтобы зафиксировать извлеченные уроки и проблемы эпохи, предшествующей разработке DevOps. Нужно знать свою историю, чтобы не повторить ее в будущем.
Уровень 2: ранний DevOps/DevSecOps (облегченная автоматизация)
Команды разработчиков стандартизируют ту или иную форму цепочки инструментов DevOps для реализации инфраструктуры как кода и соответствия требованиям как код. Внедрение DevSecOps происходит на уровне отдела или даже просто на уровне команды.
На этом этапе упоминание DevOps и DevSecOps как взаимозаменяемых является намеренным. Некоторые организации перейдут от традиционной каскадной разработки прямо к модели DevSecOps. На уровне 2 DevOps/DevSecOps и упрощенная автоматизация являются областью деятельности инновационных и более дальновидных команд разработчиков. Разработчики стремятся найти лучший способ выполнения задач либо по собственной инициативе, либо потому, что клиент просит о подходе DevOps.
Переход с уровня 2 на уровень 3 зависит от информирования и продажи успехов ваших первых пользователей DevSecOps остальной части вашей организации. Обязательно поддерживайте связь со своими первыми пользователями и поощряйте их делиться своими достижениями в DevOps и DevSecOps с остальными коллегами. Истории ранних побед вызывают гораздо больший отклик, чем управленческие мандаты.
Уровень 3: переход от DevOps к DevSecOps (расширенная автоматизация)
DevSecOps перерастает в корпоративную или общеведомственную стратегию. При поддержке всей организации формируется стратегия автоматизации разработки и управления приложениями и инфраструктурой. Команды DevOps теперь могут улучшить существующие процессы с помощью контейнеров, Kubernetes (K8s) и общедоступных облачных сервисов.
Итог: организации, находящиеся на этом продвинутом этапе зрелости DevSecOps, развертывают приложения в большом масштабе.
Уровень 4: полный DevSecOps (полная автоматизация)
Такое экспертное состояние зрелости DevSecOps будет недостижимо для всех, кроме наиболее известных и хорошо финансируемых предприятий, тех, кто должен регулярно выполнять самые строгие требования в области кибербезопасности и соответствия требованиям. Организация, достигшая этого уровня зрелости, в первую очередь использует API и облачные технологии. Эти организации также внедряют новые технологии, такие как микросервисы, бессерверные технологии и искусственный интеллект/машинное обучение (ИИ/МО), чтобы улучшить разработку приложений и безопасность инфраструктуры.
Последние мысли
Только отслеживая зрелость ваших процессов, командной культуры и инструментов, вы получаете лучшее представление о текущем и будущем состоянии вашей организации на пути к DevSecOps. За последние 18 месяцев пандемия подтолкнула многие команды к удаленной работе. В результате командам пришлось совершенствовать свои процессы и делать это быстро, чтобы гарантировать, что их организация по-прежнему сможет доставлять услуги своим клиентам. DevSecOps объединяет те улучшения в области культуры, сотрудничества и цепочки инструментов, которые необходимы группам разработчиков для предоставления безопасного и совместимого программного обеспечения в их новом мире работы.