Warum die Implementierung von DevOps oft nicht erfolgreich ist (und wie Sie das Problem beheben können)

Dieser Artikel wurde ursprünglich auf DevOps.comveröffentlicht. Er wurde aktualisiert und geändert.

Genau wie „Blockchain“, „Big Data“ und „digitale Disruption“ ist auch der Begriff „DevOps“ ein weiteres Modewort, das derzeit in den IT-Abteilungen großer Unternehmen verwendet wird.

Viele haben (zu Recht) die Notwendigkeit schnellerer Softwareentwicklungszyklen erkannt: ein präziserer Prozess, der eng auf die Unternehmensziele abgestimmt ist und einen klareren Arbeitsablauf und eine bessere Zusammenarbeit zwischen den Entwicklungs- und Betriebsteams ermöglicht. DevOps ist im Wesentlichen eine „agile” Entwicklung, die entwickelt wurde, um den Anforderungen moderner Unternehmen gerecht zu werden, die sich in ständigem Wandel befinden und schnell agieren müssen. Für Sicherheitsexperten ist dies eine fantastische Initiative: Wir können viel früher Sicherheitsmaßnahmen in den Prozess einbringen, wodurch die Kosten für die Behebung von Fehlern gesenkt und mögliche Katastrophen in der Zukunft vermieden werden.

Das Problem ist, dass nur wenige Unternehmen bei der Implementierung von DevOps wirklich erfolgreich sind. Ohne die richtige Unterstützung, Fürsorge und Verständnis im gesamten Unternehmen kann das Unternehmen schnell zu einem Fass ohne Boden werden ... Sie wissen schon, eines dieser Projekte, über die man „nicht sprechen sollte“.

Also, wo liegt das Problem? Es ist eine interessante Debatte, und es gibt einige Ansätze für DevOps, die meiner Meinung nach zu einem viel reibungsloseren Ablauf führen werden. Ein effektives Programm geht über ein paar neue, ausgefeilte Tools, Titel und Teambesprechungen hinaus. Es wird nicht immer einfach sein, aber sich die Zeit zu nehmen, eine Strategie zu überarbeiten, die nicht funktioniert (oder sie von Anfang an richtig umzusetzen), wird auf lange Sicht viel weniger schmerzhaft sein. Und letztendlich wird dies zu sichererer und qualitativ hochwertigerer Software führen.

Lassen Sie uns das einmal genauer betrachten:

Lösen Sie die Schnüre der Schürze „Agile“.

Es gibt eine etwas irrige Vorstellung, dass eine Organisation sich zwischen Agile und DevOps entscheiden und einen Weg einschlagen muss, um nicht zurückzublicken.

Tatsächlich funktioniert der Entwicklungsprozess am besten, wenn beide Ansätze als Einheit betrachtet und umgesetzt werden. DevOps ist keine Neuerfindung der agilen Entwicklung, sondern vielmehr eine Erweiterung derselben. Probleme treten häufig dann auf, wenn erwartet wird, dass der Prozess genau wie Agile oder völlig anders als Agile abläuft.

Agile unterstützt das Prinzip funktionsübergreifender Teams, da es Designer, Tester und Entwickler von Anfang an zusammenbringt und sich verpflichtet, während eines Projekts Kommunikationswege offen zu halten. Das Ziel besteht darin, die Lieferung in Silos zu stoppen und Doppelarbeit zu reduzieren, was ebenfalls Vorteile des DevOps-Prozesses sind. DevOps geht jedoch noch einen Schritt weiter und bezieht Systeme, Sicherheit und Betrieb ein, um eine Reihe solider und umfassender Fähigkeiten anzubieten, mit dem Endziel, dem Kunden eine vollständige und funktionsfähige Software zu liefern.

Während der unvermeidlichen Schwierigkeiten beim Übergang zu einem stärker auf DevOps ausgerichteten Prozess kann das Risiko einer isolierten Entwicklung erneut auftreten. Häufig arbeitet das ursprüngliche Agile-Team als Team, während die Bereiche Sicherheit und Betrieb weiterhin ihren Platz in der Maschine suchen; niemand weiß so recht, wie man sie einbeziehen soll, was sie tun sollen und was ihre allgemeinen Ziele sind.

DevOps funktioniert nicht ohne klar definierte Ziele, eine funktionsübergreifende Einbindung und eine direkte Kommunikation mit allen Beteiligten. Es wird zweifellos eine Anpassungsphase geben, die ein sorgfältiges Änderungsmanagement erfordert, aber wenn alle Beteiligten sich über die Vorteile der DevOps-Funktionalität einig sind, ist die Hälfte der Arbeit bereits getan.

Immer mehr (Gott sei Dank) legt DevOps auch mehr Wert auf bewährte Sicherheitsverfahren als Teil des Prozesses, wodurch dieser Schritt entmystifiziert und die Kluft zwischen dem Sicherheitsteam und, nun ja, allen anderen verringert wird. Wie ich bereits erwähnt habe, haben wir noch einen langen Weg vor uns, bis Entwickler von Anfang an sicher programmieren können, aber die erfolgreiche Umsetzung von DevOps-Methoden ist eine hervorragende Grundlage, auf der die Sicherheitskompetenzen des Entwicklungsteams ausgebaut werden können.

Automatisierung ist nicht alles (und auch nicht die sicherste Lösung).

Ein weiteres Merkmal der DevOps-Methodik ist in gewisser Weise die Automatisierung des Softwareentwicklungsprozesses. Die Prinzipien der kontinuierlichen Integration und kontinuierlichen Bereitstellung (CI/CD) sind die Eckpfeiler dieses Konzepts und hängen, wie man sich vorstellen kann, in hohem Maße von den Tools ab.

Die Tools sind wirklich unglaublich. Sie können den Softwarebereitstellungsprozess mit einer beispiellosen Geschwindigkeit vorantreiben, da sie das Code-Repository, die Tests, die Wartung und die Speicherelemente relativ reibungslos verwalten.

Allerdings könnten Roboter uns zwar eines Tages alle unsere Arbeitsplätze wegnehmen und uns einsperren, aber das haben sie definitiv noch nicht getan. Die große Abhängigkeit von Werkzeugen und Automatisierung lässt Raum für Fehler. Es ist möglich, dass Scans und Tests nicht alles erkennen, dass der Code nicht überprüft wird und dass dies in Zukunft zu enormen Qualitätsproblemen (ganz zu schweigen von Sicherheitsproblemen) führt. Ein Angreifer braucht nur eine Hintertür, um diese auszunutzen und Daten zu stehlen, und der Verzicht auf den menschlichen Faktor bei der Qualitäts- und Sicherheitskontrolle kann katastrophale Folgen haben.

Der „goldene Mittelweg“ besteht darin, ein Gleichgewicht zwischen Menschen und Werkzeugen zu finden. Die Werkzeuge sollten als Hilfsmittel für ein Team dienen, dem Sie vertrauen, um die Projektziele zu erreichen. Sie sollten:

• Planen Sie ausreichend Zeit ein, damit sich die Mitarbeiter mit der ausgewählten DevOps-Toolkette vertraut machen können.
• Konzentrieren Sie sich auf eine effektive Zusammenarbeit (und darauf, wie Tools diese unterstützen können).
• Beheben Sie alle Lücken im Prozess, unabhängig davon, ob diese auf Fähigkeiten/Kenntnissen oder Tools beruhen.

Kurz gesagt: Beschränke dich nicht darauf, dich „vorzubereiten” und auf das Beste zu hoffen.

DevOps ist kein Modewort, sondern eine Kultur. Pflegen Sie Ihre eigene Kultur?

La gestión del cambio es difícil en el mejor de los casos. El miedo a lo desconocido puede impedir que incluso los miembros más brillantes del equipo desarrollen sus habilidades y amplíen sus horizontes.

Verá, simplemente decir «hagamos DevOps» y hacer que el equipo de operaciones cambie de escritorio no va a implementar mágicamente un proceso exitoso. Viele werden verwirrt sein, und langjährige Teammitglieder werden unzufrieden sein. Die Kommunikation der Erwartungen ist ebenso entscheidend wie das „mit gutem Beispiel vorangehen”. DevOps ist sowohl eine kulturelle Bewegung als auch eine Entwicklungsmethodik, und ein Team muss eine funktionsübergreifende und kollaborative Mentalität leben und atmen.

Wie sieht eine großartige DevOps-Kultur aus?

• Menschen haben die Möglichkeit, ihre Erfahrungen in einen Prozess einzubringen, nicht nur die Führungskräfte.
• Offene, ehrliche und respektvolle Kommunikation zwischen den Teams
• Jede Person übernimmt Verantwortung für das allgemeine Ziel, Qualität und Sicherheit in den Entwicklungsprozess zu integrieren.
• Alle sind sich einig über die Definition von DevOps im Unternehmen, den Fahrplan und das Wie, Was und Warum der Rolle jeder einzelnen Person.

Seit Jahren betone ich, wie wichtig es ist, eine positive Sicherheitskultur in Entwicklungsteams zu schaffen, und DevOps bildet da keine Ausnahme.

Die richtigen Tools, Kenntnisse und Unterstützung sind unerlässlich, um Best Practices im Bereich Sicherheit zu erreichen, eine Verringerung der entdeckten Schwachstellen zu beobachten und dem Team die Bedeutung des Schutzes unserer Daten verständlich zu machen. Mit DevOps müssen Sie die kulturellen Grundlagen für einen positiven Wandel schaffen: Stellen Sie sicher, dass alle ihre Rolle, ihren Wert und ihre Erwartungen, die allgemeinen Ziele des Projekts und die Schritte des Prozesses verstehen.

Haben Sie das verstanden? Großartig. Jetzt ändern wir den Ansatz, kümmern uns um die Sicherheit und machen DevSecOps zum ultimativen Plan für Software-Exzellenz.