IT专家表示,DevSecOps要求关注开发人员的工作经验

DebugUsery
109 阅读5分钟

IT专家说,DevSecOps需要关注开发者的经验

有经验的平台工程师说,建立DevSecOps,仅仅建立一条被批准的生产路径是不够的;开发人员的经验和协作同样重要。

德克萨斯州奥斯汀 -- 由内部服务提供商运营的DevSecOps平台越来越普遍,但仅仅为开发人员提供基础设施是不够的,有经验的平台工程师已经了解到。

运营DevOps平台往往会造成向产品思维的转变,平台团队作为服务提供商,向内部开发者客户提供一套精心策划的管道工具和基础设施。在本周的CDCon会议上,IT专家表示,随着产品的成熟,平台团队也必须专注于改善其开发者客户的体验,否则就有可能因为影子IT和其他风险做法而失去这些客户。

RedMonk公司的分析师KellyAnn Fitzpatrick在一次主题演讲中说,鉴于最近就业市场的波动,也就是所谓的大辞职潮,关注开发者的体验尤为重要。

"她说:"伴随着大辞职潮,我们也看到了大入职潮--那些正在尝试科技领域新职业的人。"开发人员的经验在入职和培训中可能是必不可少的,并使新的开发人员能够快速上手。"

根据总部位于瑞典斯德哥尔摩的流媒体音乐服务产品经理Gary Niemen在2020年发表的一篇博文,开发人员入职是为Spotify的工程师创建一条通往生产的 "黄金通道 "背后的驱动因素。那篇文章用 "黄金之路 "一词来描述一种方法,即既重视对开发人员的详细培训教程,又重视打包的平台工具。

"黄金路径 "的概念影响了英国IT咨询公司Kainos的DevOps平台的发展,该公司在2018年开始建立一个集中的CI/CD管道,与云供应商的PaaS基础设施相连。该平台现在运行在Azure Kubernetes Service上,取代了一套临时管道,成为该公司唯一支持的生产部署方法。但这一转变是开发者教育和推广的结果,而不是凭空而来。

"Kainos的首席软件工程师Tim Jacomb在cdCon上接受采访时说:"我们最近采用了黄金路径方法,让[开发人员]从一开始就知道[持续交付]如何运作,举办培训课程,[提供]文档和[支持]服务。"而不是仅仅给他们提供不同事情的文档,这就像,'从头到尾,这将让你的服务启动和运行'。"

富达投资公司从2019年开始对定制管道进行了类似的整合,将其整合到一个集中的DevSecOps平台。考虑到其合规性和安全性要求,这家金融服务公司在进行这一变革时本可以依靠 "大棒 "而不是 "胡萝卜 "的方法,并简单地强制要求开发人员使用其认可的工具链。

但相反,平台工程团队从一开始就使开发者客户成为构建平台的合作者,强调教育和讨论而不是强制。

"每个人都有发言权,这是一个民主的局面,"富达公司云平台架构总监Jamie Plower在cdCon的演讲中说。"开发人员的经验是确保每个人的关键,无论你是铁杆程序员还是系统工程师,甚至想轻装上阵[系统],都能参与到我们的设计中。"

平衡DevSecOps护栏和开发人员的灵活性

虽然集中式的DevOps平台为企业提供了对维护应用安全的应用部署流程的控制,但它们也提供了支持开发人员定制的自助式控制。

"Jacomb说:"有几行非常简单的代码可以加载管道,然后有一个[特定领域语言],允许你添加自己的阶段。"它的卖点是,所有团队都必须有这些强制性的检查和步骤,但他们可以在上面添加 -- 它是可扩展的。"

根据Plower的演讲,Fidelity的平台团队在开发事件驱动的架构来协调其管道时,也考虑到了灵活性。这是一种比直接集成更轻便、更省力的互操作性方法,因此开发人员可以轻松地添加和删除管道阶段,同时合规数据被可靠地捕获到Fidelity的管道智能库。

除了在管道运行时实时自动执行安全和合规性政策而无需开发人员干预外,Pipeline Intelligence存储库还帮助Fidelity平台工程师改善开发人员的体验,让他们能够获得显示部署情况的数据。

"Plower说:"我们得到的工程指标可以反馈给我们更广泛的团队,这使他们有能力对正在发生的运行进行分析,这是我们以前做不到的。

富达公司从建立DevSecOps平台中获益,就像它使用敏捷工作流程建立应用程序一样--协作和迭代。

"Plower在演讲结束后的问答环节中说:"通过合作,我们有了更多的丰富性、稳健性和可靠性--自从这个项目启动以来,我们还没有发生过中断的变化。"我们[之前]发现的很多问题都是[来自],基本上是那些把[平台设计]扔在电线上的团队,然后由开发人员来测试。"

然而,开发人员对 "左移 "的胃口可能会有所不同,这取决于团队或组织,这可能会使DevSecOps平台难以改进。Jacomb说,Kainos的平台团队每隔几个月对其组织的数百名开发人员进行调查,但得到的答复在20到50个之间。

"[平台]现在由他们控制,他们可以做任何事情,但他们愿意吗?有些人想,有些人不想,"他说。"他们是否需要知道这一切?这是否走得太远了?我们又如何能让他们更容易接受呢?"

*贝丝-帕里索是TechTarget的高级新闻作家,是一位获奖的资深IT新闻工作者。

avatar
文章
阅读
粉丝