云计算·大数据 频道

DevOps平台化时代,如何重新定义软件交付?

  DevOps 平台时代已来

  说到近些年开发领域热捧的概念,就不得不提DevOps。DevOps 自诞生之日至今已经发展了十余年,从最初的概念探讨到现在多种形式的落地实践,DevOps 一直在演进,内涵不断丰富,工具链不断扩张,复杂度也在提升。正如 GitLab 的 CEO Sid Sijbrandij 在《 Welcome to the DevOps Platform era 》这篇文章中提到的,DevOps 的发展和人类的认知发展呈现出类似性。

  瑞典的发展心理学家 Jean Piaget 认为,人类的认知发展可以分为感知运算阶段、前运算阶段、具体运算阶段和形式运算阶段四个阶段。Sid 认为,DevOps 的发展也经历了四个不同的阶段: 孤岛DevOps 阶段、碎片化DevOps 阶段、自建 DevOps 阶段以及 DevOps 平台化阶段。

  四个阶段也表明了 DevOps 的发展从无序到有序,从青涩到成熟的发展历程。DevOps 发展至今,有几点已经非常明确:

  · 对于企业和组织来说,如今已不再是考虑要不要做 DevOps 转型,而是考虑采用何种手段来推进 DevOps 转型的时代了。根据中国信通院近期发布的《DevOps 现状调查报告(2021)》显示,国内已有 73.5% 的企业进行了 DevOps 转型。

  · DevOps 缩短了软件交付周期,为企业或者组织快速响应市场变化提供了有力保障,这一点在很多数字化转型成功的企业中已经得到了印证。

  · DevOps 促进了与软件交付相关的技术发展,诸如工具链的发展,同时新的技术,诸如云原生,AI,区块链等,也反哺并推动着 DevOps 不断发展演进。

  · DevOps 依旧是一个充满复杂性和挑战性的领域,这一点对于想推进 DevOps 转型的企业来讲也同样充满挑战性,如果让企业再从孤岛 DevOps 开始来进行 DevOps 转型,将面临高昂的时间成本和人力成本。

  · DevOps 一站式平台能够打通企业信息、数据孤岛之间的壁垒,让企业从繁杂的工具链整合、沉重的工具链运维中解放出来,将精力集中在业务发展、技术创新等方面,有效帮助企业构建DevOps能力,在数字化转型的浪潮中获得成功。

  中国的DevOps尚处在第二到第三阶段

  DevOps 的重要性对于众多企业来讲已经是毋庸置疑的事情了,从中国《 DevOps 现状调查报告(2021)》来看,虽然国内DevOps的发展呈加速上升的趋势,但是更多的集中在针对不同阶段选择用不同的工具链来构建自己的 DevOps 能力,对应到上述 DevOps发展四个阶段,大致在第二到第三阶段。

  虽然这两个阶段已经针对软件开发生命周期的不同阶段所使用的工具链做了一些标准化,甚至根据自身需求自研了一些工具链,但是各个阶段依旧是相互孤立的,团队之间的壁垒、流程之间的壁垒依旧存在,而且自研、自维护工具链带来了很大的维护工作量,需要定期更新、升级等。这种情况让企业花费很多额外的精力来放在DevOps上,偏离了企业的应用DevOps的初心——企业的核心目标应该是通过DevOps来推动数字化转型,获取更多的业务价值。DevOps 是价值实现手段,是能力提供者,而不应是业务目的。

  所以,选择一个开箱即用的一体化 DevOps 平台将是企业快速实现DevOps转型的最佳选择。当然,DevOps 平台不单单是工具的简单堆砌,流程的简单串联,而是能力的有效整合,一个优秀的 DevOps 平台必须具备以下三个重要的特性。

  1. 内置安全

  随着企业数字化转型的深入,加之新冠疫情袭来,迫使大家从线下转移到线上,也导致各行各业中,安全问题频发。

  在制造业领域,2021年2月,起亚汽车遭勒索,黑客要求支付1.35亿赎金,若当天不支付,将追加至2亿元;2021年3月,黑客组织攻陷了特斯拉摄像头供应商Verkada,通过“超级管理员”账户获得了访问权限,特斯拉以及美国监狱、警察局、医院和学校等15万个监控摄像数据遭泄露。

  在软件领域,2021 年 6 月份,Comparitech 网络安全研究公司,发现部署在 AWS 上的一个Elasticsearch 集群发生数据泄漏, 高达上千万条的居民个人信息遭泄漏。而近期国内某云计算头部公司因为泄漏用户数据,也引发了广泛关注。

  安全问题已经屡见不鲜,安全问题会直接导致企业运营成本的上升,根据 IBM Security 发布的报告显示,单个数据泄露导致的安全事件,让企业承担的平均成本高达数百万美元。安全问题引起了政府的高度重视,近期中美两国都发布了相应的法律法规。今年 5 月份,美国政府发布了关于改善国家网络安全的行政命令,旨在确保私营和公共部门的软件供应链安全。同时,今年8 月份,中国也制定发布了《中华人民共和国个人信息保护法》。

  因此,一个成熟的DevOps平台,其安全必须是内置的,也就是必须要融入 Security,变成DevSecOps,不仅要保证软件开发生命周期都是安全的,更要确保其安全能力能够保障整个软件供应链的安全。

  2. 融入 AI/ML 技术

  AI/ML 技术已经被引入到了 DevOps 领域。根据中国信通院发布的中国《DevOps 现状调查报告(2021)》显示,9.73% 的企业引入了 AI 技术以建立业务领域级别的用户体验类知识图谱或专家系统;GitLab DevSecOps 2021 报告显示,75% 的受访者表示他们的 DevOps 团队正在使用或者计划使用机器学习或者人工智能来做测试或者代码评审。

  除了利用 AI/ML 来用户识别、代码评审等,AI/ML 还将被用来做漏洞识别、运行时防护,这些能力将被融合到DevOps平台,进一步强化DevOps平台的安全能力,保障企业安全。

  3. 开源开放

  企业或组织对于开源的采用率在逐年上升,开源也被认为是能够加速企业创新的重要方式之一。DevOps 的发展催生了很多优秀的开源工具链,而且DevOps文化中本身就包含与开源相似的理念,比如开放协作、人人贡献。 DevOps既然包含开源的理念、开源的工具,DevOps平台本身更应该是开源开放的。

  开源开放的DevOps平台能够帮助企业去形成开源开放的企业文化。DevOps带来了透明可视的协作流、安全统一的数据流、深入融合的管理流,提升了企业员工的工作体验,增强彼此之间的信任感,从而减少了工作摩擦,助力企业形成无问责、人人奉献的文化,而且还能让员工将更多的精力来做创造性的工作。

  极狐GitLab的核心 —— 安全、成熟、开源的DevOps平台

  极狐GitLab 是GitLab的中国发行版,而GitLab从 2011 年诞生至今,已整整十年,已经从最开始的源码管理工具发展成为现在的DevOps一体化平台,累积了数以百万计的用户,验证了GitLab是一个成熟的DevOps平台。基于GitLab十年以来的经验能力,极狐GitLab本身就是一个成熟、安全、可靠的一体化DevOps平台。

  首先,极狐GitLab的安全能力是内置的,除了有覆盖软件开发生命周期的SAST、DAST、依赖项扫描、容器扫描、秘密检测、许可证合规、API模糊测试和覆盖率引导的模糊测试等安全能力,其独有的安全合规体系——GitLab control Framework(GCF),即GCF 控制框架能够优先考虑 PCI、Sarbanes-Oxley(SOX)和 SOC 2 安全标准所需的安全控制,覆盖配置管理、数据管理、漏洞管理、事件响应等,提供全面的安全防护。

  在2021年Gartner应用安全测试魔力象限中, GitLab因其执行能力和完整愿景被认定为行业领先者。作为GitLab的中国发行版,极狐GitLab天然的继承了这种安全能力。

  今年七月,商务部等部门印发《数字经济对外投资合作工作指引》,鼓励数字经济企业加快布局海外研发中心,积极融入数字经济全球产业链。指引指出数字经济走出去要做好风险防范,除了严格遵守落实我国法律法规有关数据出境安全管理的规定,同时必须遵守东道国法律法规及国际通行规则。

  极狐GitLab 这种内置的安全合规体系将为国内数字经济企业加快布局海外研发中心保驾护航。极狐GitLab可以通过一系列的安全功能来加固账户和平台,保障代码和其他重要信息的私密性。平台内置的一系列合规功能,能够实现细化的权限控制,强制的质量门禁,以及完善的审计报告,在进一步提升平台的安全合规能力的基础上,方便客户基于极狐GitLab的DevOps平台通过各类合规标准认证。

  其次,GitLab最近几年非常重视云原生和AI/ML的发展,除了在GitLab DevOps 平台中陆续引入GitOps的支持,在今年六月份,GitLab还宣布收购了基于机器学习来提供解决方案的公司 UnReview。此次收购和持续的机器学习整合将使工作流程自动化并大大缩短 DevOps 周期,GitLab 将成为融入了AI/ML的DevOps一体化平台。

  这一点也是极狐(GitLab)非常看重的,极狐(GitLab)和CNCF联合发起了开源GitOps产业联盟(简称 OGA),联盟中不乏AI/ML,云原生领域的成员单位,极狐(Git Lab)将和所有成员单位进行深度合作,推进OGA联盟发展的同时,也将会把云原生、AI/ML 相关的能力进一步融入极狐(GitLab)的DevOps 平台中。

  最后,GitLab自成立之日起就一直是以开源的方式运营的,GitLab 一直秉持着“核心开放,人人贡献”的理念。Handbook first (手册优先)让跨国团队克服了地域、时区、语言差异的困难,实现了透明、互信、有效的协作。全员 remote 办公的方式,不仅没有拖累项目的进度(始终保持一个月一个版本的高发布频率),更是历时十年,让GitLab从最初的源代码管理平台发展到如今的一体化DevOps平台,而且能够紧紧跟随行业的发展,始终推陈出新。十年间打磨了一款全球闻名的优秀开源产品,沉淀了的良好开源文化,也让GitLab在Fast Company发布的最具创新能力的公司榜单中位居前十。

  极狐(GitLab)自成立之日起,同样秉持着开源开放的理念,坚持全员 remote办公的模式,这在国内企业里也不多见。极狐(GitLab)同样采用Handbook first的方法,这让不同团队之间的沟通协作变得及时、公开。

  极狐GitLab虽然基于GitLab构建,但是极狐GitLab的目标绝不仅仅是做GitLab 的中国版,而是充分利用GitLab的开源创新基因,来打造更符合中国本土市场的 DevOps平台。极狐GitLab 除了继续扩展CI/CD,DevSecOps,GitOps等能力,还将积极与国内企业深入合作(目前已经和禅道、腾讯云等生态合作伙伴达成了深度合作),构建出适用于本土企业的、安全成熟的DevOps平台,打造开源创新的DevOps生态体系,助力国内企业对内加速数字化转型,对外能够安全出海,加速海外布局。

  参考文章:Sid Sijbrandij《 Welcome to the DevOps Platform era 》

  https://about.gitlab.com/blog/2021/08/03/welcome-to-the-devops-platform-era/

0
相关文章