DevOps è una “cultura” pensata per predisporre un processo di sviluppo che prevede la collaborazione tra tutti coloro che, a diverso titolo, sono coinvolti nello sviluppo e nella manutenzione del software.
Combina persone, processi e tecnologia con l’obiettivo di creare più valore e di permettere la realizzazione di software migliore in tempi più rapidi.
Il valore è garantito dalla collaborazione tra i team appartenenti a diverse discipline (responsabili di sviluppo, operazioni IT, qualità, sicurezza) al fine di affrontare congiuntamente tutte le attività che concorrono al lancio di un nuovo prodotto o di una nuova versione del software.
DevOps adotta un approccio organizzato in fasi (pianificazione, controllo, sviluppo, compilazione, test, distribuzione, monitoraggio) ed è costantemente indirizzato verso la ricerca di nuovi modi per migliorare e semplificare i processi essendo incentrato sulla massimizzazione dell’efficienza e sull’adozione spinta dell’automazione.
DevSecOps: la sicurezza integrata
Man mano che i team lavorano per accelerare la trasformazione, diventa sempre più difficile bilanciare l’innovazione con l’affidabilità e la sicurezza del servizio. La crescente frequenza degli aggiornamenti software, unita alla crescente complessità delle attuali architetture cloud-native, fa sì che difetti e vulnerabilità possano più facilmente passare inosservati ed entrare in produzione. I team di sviluppo, infatti, hanno sempre meno tempo per testare il codice in modo rigoroso come quando i cicli di rilascio erano più lunghi.
All’interno di un framework collaborativo come DevOps, il tema della sicurezza rappresenta una responsabilità condivisa che deve essere affrontata in modo intrinseco e non come una funzionalità confinata alla fase finale del flusso di sviluppo.
Sulla base di questo presupposto è stato coniato il termine DevSecOps a indicare l’imprescindibile aggiunta del tema sicurezza al modello DevOps per proteggere il codice alla velocità e al livello richiesti dalla rapidità dell’innovazione.
DevSecOps significa integrare la sicurezza delle applicazioni e dell’infrastruttura fin dall’inizio del ciclo di sviluppo, nonché automatizzare alcune attività di controllo per evitare che rallentino il flusso di lavoro DevOps. Conseguire tali obiettivi richiede una serie di strumenti di sviluppo avanzati che, sempre più spesso, si avvalgono di funzionalità di intelligenza artificiale per individuare potenziali vulnerabilità in tempo reale ovvero mentre le righe di codice vengono scritte. Gli strumenti più evoluti sono anche in grado di suggerire quali modifiche apportare al codice per ovviare al potenziale problema di sicurezza rilevato.
Adottare un modello DevSecOps significa, dunque, riconoscere che la sicurezza è un tassello integrante e imprescindibile dell’intero ciclo di vita delle applicazioni e dei dati che su di esse si appoggiano. Significa sposare un approccio indirizzato verso la cultura della sicurezza, l’automazione, la gestione del rischio come responsabilità condivise lungo l’intero ciclo di vita IT.
Si tratta di un modello che richiede agli sviluppatori l’ulteriore sforzo di affrontare la creazione del codice pensando non solo alle mere funzionalità applicative, ma anche alle ripercussioni che l’applicazione avrà, una volta entrata in opera, sui dati e sui processi e sul prevenire minacce interne o potenziali malware.
L’automazione dell’IT è un tassello importante nell’implementazione di una metodologia DevSecOps che rafforza la sicurezza anche del processo di distribuzione e integrazione continua (pipeline CI/CD) e dei microservizi nei container.
Il modello Agile
Agile è una metodologia di sviluppo che raggruppa un insieme di strutture e pratiche pensate per favorire i rilasci con i ritmi pressanti richiesti dall’attuale contesto e per consentire il governo dell’ecosistema digitale attraverso un’unica interfaccia grafica accessibile sempre e da ogni luogo.
Un aspetto che distingue Agile è l’attenzione alle persone che svolgono il lavoro e al modo in cui lavorano insieme ovvero la collaborazione e l’auto-organizzazione del team.
Il modello “Agile” si riferisce a un approccio alla creazione del software basato sullo sviluppo iterativo in cui i diversi task sono suddivisi in iterazioni più piccole o in parti che non prevedono direttamente una pianificazione a lungo termine. L’ambito e i requisiti del progetto vengono definiti all’inizio del processo di sviluppo così come i piani relativi al numero di iterazioni, alla durata e all’ambito di ciascuna iterazione. Ogni iterazione è considerata un breve “frame” temporale nel modello di processo Agile, che in genere dura da una a quattro settimane.
La suddivisione dell’intero progetto in parti più piccole aiuta a minimizzare il rischio del progetto e a ridurre i tempi complessivi di consegna del progetto. Ogni iterazione coinvolge un team che lavora attraverso l’intero ciclo di vita di sviluppo del software, che comprende la pianificazione, l’analisi dei requisiti, la progettazione, la codifica e l’iterazione, il test e gli aspetti di garanzia di qualità fino ad arrivare al rilascio e al feedback del cliente.
Il Manifesto Agile
La metodologia di sviluppo del software Agile risponde alle crescenti necessità di flessibilità perché si concentra sulla consegna di singoli “pezzi” o parti del software e non sull’intera applicazione.
La sua nascita avvenne nel 2001 quando 17 professionisti dello sviluppo software si riunirono per discutere i concetti relativi all’idea di uno sviluppo software leggero e crearono il Manifesto Agile.
Questo Manifesto delinea i seguenti quattro valori fondamentali di Agile che rimangono al centro del movimento:
- Le interazioni individuali sono prevalenti rispetto ai processi e agli strumenti, perché sono le persone a guidare il processo di sviluppo e a rispondere alle esigenze del business.
- Il funzionamento del software è prevalente rispetto alla documentazione completa, in risposta all’atteggiamento, precedente ad Agile, che prevedeva l’impiego di una grande quantità di tempo per la documentazione del prodotto nel corso dello sviluppo in vista della consegna. Agile non elimina l’uso della documentazione, ma la razionalizza in modo da fornire allo sviluppatore solo le informazioni necessarie per svolgere il lavoro.
- Collaborazione con il cliente invece di negoziazioni contrattuali. Agile si concentra sulla collaborazione tra il cliente e il project manager, durante l’intero processo di sviluppo (non solo all’inizio e alla fine) anziché sulle trattative tra i due per definire i dettagli della consegna.
- La risposta al cambiamento è prevalente al rispetto del piano. Agile elimina l’idea di sviluppo software tradizionale di evitare i cambiamenti perché considerati una spesa indesiderata sulla base del presupposto che il cambiamento rappresenta sempre un modo per migliorare il progetto e fornire un valore aggiunto.
Il Manifesto Agile prevede anche 12 principi fondamentali per il processo di sviluppo
I principi:
- La nostra massima priorità è soddisfare il cliente rilasciando software di valore, fin da subito e in maniera continua.
- Accogliamo i cambiamenti nei requisiti, anche a stadi avanzati dello sviluppo.
- I processi agili sfruttano il cambiamento a favore del vantaggio competitivo del cliente.
- Consegnamo frequentemente software funzionante, con cadenza variabile da un paio di settimane a un paio di mesi, preferendo i periodi brevi.
- …continua a leggere
I microservizi
I microservizi sono uno approccio architetturale che prevede di organizzare un’applicazione come una collezione di servizi che sono: distribuibili in modo indipendente, debolmente accoppiati, organizzati intorno alle funzionalità di business e appartenenti a un piccolo team.
Con i microservizi, i team lavorano per la maggior parte del tempo in modo indipendente per produrre un flusso di piccole e frequenti modifiche che vengono testate da una catena di distribuzione automatizzata e poi rilasciate in produzione.
L’aumento di dimensione e complessità di un’applicazione aziendale critica, caratterizzata da un’architettura monolitica e sviluppata da molti team, può rappresentare un ostacolo per la distribuzione del software.
In questo caso può essere vantaggioso migrare verso un’architettura a microservizi che consente a un’organizzazione di rilasciare applicazioni complesse e di grandi dimensioni in modo rapido, frequente, affidabile e sostenibile. Ciò può essere fatto attraverso una combinazione di tre elementi: processo quale, per esempio, DevOps; organizzazione, costituita da una rete di piccoli team interfunzionali ma poco interdipendenti; architettura, che sarà debolmente accoppiata, testabile e facilmente distribuibile.