Français
English
Deutsch
Español
Italiano
Português
日本語
한국어
Русский
L’ingénierie de plateforme rend-elle DevOps et DevSecOps inutiles ?
Par : Mark Troester le 31 août 2023
Pour ceux d’entre nous assez vieux pour s’en souvenir, le mouvement DevOps est apparu vers 2007/2008. Ses partisans s’élevaient à l’époque contre le modèle logiciel traditionnel, qui exigeait que les développeurs qui écrivaient le code soient séparés sur le plan organisationnel et fonctionnel de ceux qui déployaient et prenaient en charge le code. La raison derrière ce mouvement est que ces équipes cloisonnées, préoccupées uniquement par leurs propres objectifs, ont abouti à des versions bâclées, des retards importants, une mauvaise communication et, finalement, des clients mécontents. Il a fallu quelques années pour gagner du terrain, mais lorsque Gartner a adopté le concept en 2011, l'adoption a explosé et les pratiques de développement Agile telles que la construction et les tests automatisés ainsi que l'intégration et la livraison continues sont devenues la nouvelle norme.
Agile, DevOps et sa promesse d'intégration continue et de livraison continue… eh bien, tenu. Les équipes de développement et d'exploitation étaient enfin sur la même longueur d'onde, chacune étant capable de voir l'objectif final d'une phase en cours, offrant ainsi la flexibilité nécessaire pour apporter des modifications et des améliorations en cours de route, accélérant ainsi la livraison de logiciels de qualité. Malheureusement, au cours de ces premières années de succès du DevOps, la sécurité et la conformité restaient généralement cloisonnées. Ce silo a eu pour conséquence que la sécurité est devenue une réflexion secondaire, bloquée vers la fin du cycle de vie du développement des applications. Par conséquent, la sécurité a été tenue pour responsable des goulots d’étranglement retardant la libération.
L’année 2014 a été marquée par une augmentation exponentielle des failles de sécurité par rapport à l’année précédente. Selon un article paru dans Security Week, 2014 a marqué l'année où, pour la première fois, un milliard d'enregistrements ont été compromis dans plus de 1 500 violations de données notables, soit une augmentation de 80 % par rapport à 2013. Home Depot, JP Morgan Chase et eBay faisaient partie des les nombreux exposés aux attaquants. Compte tenu de ces violations et d’autres violations très médiatisées, il était temps de réévaluer les processus de développement et de donner une place à la sécurité et à la conformité.
Alors que des recherches menées par Microsoft et d'autres montrent que 80 % des failles de sécurité étaient liées à des erreurs de configuration, le concept DevSecOps, plaçant la sécurité au premier plan dans le processus de développement Agile, garantit que les actifs sont configurés correctement en premier lieu, assurant ainsi une conformité continue en exécuter des analyses constantes pour identifier les dérives de configuration.
Cette approche peut être étendue au-delà du centre de données, à n'importe quel cloud et à n'importe quelle périphérie, où même les applications peuvent être gérées et vérifiées par rapport aux normes de conformité et de sécurité. Vous pouvez même étendre un cadre de conformité DevSecOps unique aux actifs cloud natifs, notamment Kubernetes et les services de cloud public.
Aujourd’hui, on peut affirmer sans se tromper que le terme « DevOps » perd probablement de sa pertinence, mais « DevSecOps » est bel et bien vivant, à condition que l’organisation adopte les changements de culture, de personnes et de processus nécessaires à son succès. Les outils et la technologie sont essentiels au DevSecOps, tout comme l'adoption d'une culture selon laquelle la sécurité est la responsabilité de chacun. Cette culture nécessite d’instaurer un état d’esprit axé sur la sécurité au sein des équipes ainsi que de mettre en œuvre des outils de test de sécurité automatisés essentiels.
L'ingénierie de plate-forme a récemment suscité un intérêt et génère désormais un buzz considérable en raison de l'accent mis sur la création et l'exploitation de plates-formes de développement internes (IDP) en libre-service pour la livraison de logiciels et la gestion du cycle de vie. La plate-forme est prise en charge par des services ou des outils en couches, créés et maintenus par une équipe produit dédiée, conçus pour répondre aux besoins des développeurs de logiciels en assemblant essentiellement des composants pour créer une expérience de développement sans friction.
Comme le dit Gartner, « l’ingénierie de plateforme est une approche technologique émergente qui peut accélérer la livraison d’applications et le rythme auquel elles produisent de la valeur commerciale ». En fait, Gartner s'attend à ce que « d'ici 2026, 80 % des organisations d'ingénierie logicielle établiront des équipes de plateforme en tant que fournisseurs internes de services, composants et outils réutilisables pour la fourniture d'applications. L’ingénierie des plates-formes résoudra à terme le problème central de la coopération entre les développeurs de logiciels et les opérateurs.