Begleiten Sie Eveline Oehrlich und Romano Roth bei der Diskussion, ob DevOps tot ist.
Transkript # Narrator 00:02 Sie hören den Humans of DevOps Podcast, einen Podcast, der darauf ausgerichtet ist, die Menschen im DevOps-Umfeld durch Fähigkeiten, Wissen, Ideen und Lernen weiterzubringen – das SKIL-Framework.
Nach sieben Sessions statischer Analyse — SCA, License Compliance, SAST, Container Scanning, Secret Detection — wechseln Patrick Steger und ich auf die dynamische Seite der Pipeline. In Teil 8 ergänzen wir Dynamic Application Security Testing in unserer GitHub-Actions-Pipeline. DAST startet die Anwendung und greift sie dann an. GitHub liefert das nicht out of the box, also bauen wir eine Community-Action auf Basis von OWASP ZAP ein — und sind ehrlich, wo dieser Ansatz für Enterprise-Use an Grenzen stösst.
In Episode 88 von DevTalk spreche ich mit Kerry W. Lothrop über den Stand von DevOps.
Originalbeitrag: DevTalk 88: Romano Roth
API-Keys, Tokens und Passwörter rutschen nach wie vor regelmässig in Repositories — manchmal aus Versehen, manchmal weil Entwickler es ehrlich nicht besser wussten. In Teil 7 unserer GitHub DevSecOps Serie schalten Patrick Steger und ich GitHubs eingebautes Secret Scanning ein, definieren ein eigenes Pattern, probieren Push Protection aus und schauen offen hin, wo die Funktion liefert und wo sie noch nicht hält, was sie verspricht.
Wir haben die GitHub-Actions-Pipeline in fünf Sessions aufgebaut: Projekt-Grundlagen, Software Composition Analysis, License Compliance und Static Application Security Testing. Die nächste Schicht ist Container Scanning — die Suche nach Schwachstellen im Docker-Image, das wir ausliefern, nicht nur im Source, den wir geschrieben haben. In Teil 6 unserer Serie teilen Patrick Steger und ich die Arbeit in zwei GitHub-Actions-Sub-Workflows auf: einer baut das Image und pusht es in die Registry, der andere zieht es zurück und lässt Trivy darauf laufen.
SCA hat unsere Dependencies abgedeckt. License Compliance hat geklärt, was wir ausliefern dürfen. SAST ist die Stelle, an der wir die Scanner auf den Code richten, den wir selbst geschrieben haben. In Teil 5 unserer GitHub DevSecOps Serie integrieren Patrick Steger und ich Static Application Security Testing in die Pipeline — und merken auf die harte Tour, dass es auf GitHub drei Actions braucht statt einer.
GitHub liefert von Haus aus keinen License Scanner mit, und als wir im Marketplace gesucht haben, hat keine der vorhandenen Actions getan, was wir brauchten. Also haben wir mit einem Kollegen von Microsoft eine eigene gebaut und veröffentlicht. In Teil 4 unserer GitHub DevSecOps Serie binden Patrick Steger und ich diese License-Finder-Action in unsere Spring-Boot-Pipeline ein, konfigurieren die erlaubten Lizenzen und zeigen, wie man die Resultate in GitHub sichtbar macht.
GitHub liefert kein Default-SCA-Tool wie GitLab. Du musst zwei Dinge kombinieren: das Plattform-Feature Dependabot und eine SCA-Action aus dem Marketplace. In Teil 3 der GitHub DevSecOps Serie verdrahten Patrick Steger und ich beides in unsere Pipeline — und merken auf die harte Tour, dass der Marketplace-Pfad nicht so glatt läuft, wie es die Slides suggerieren.
Wie sieht die Zukunft des digitalen Büros aus? In dieser Session erkunde ich gemeinsam mit Christian von der VR-Plattform Arthur die Möglichkeiten virtueller Arbeitsräume. Wir bewegen uns durch verschiedene VR-Umgebungen, von Besprechungsräumen über Workshop-Spaces bis hin zu inspirierenden Landschaften auf dem Mond, und diskutieren, was für Unternehmen heute schon nutzbar ist und wo die Grenzen liegen. Das Gespräch fand vollständig in Virtual Reality statt, mit VR-Headsets auf dem Kopf.
Bevor wir Security-Tools an irgendetwas anschliessen, brauchen wir ein Repository, eine Pipeline und einen lauffähigen Build. In Teil 2 unserer GitHub DevSecOps Serie legen Patrick Steger und ich ein privates GitHub-Repo für einen kleinen Java-Spring-Boot-Service an, aktivieren GitHub Actions und verdrahten eine Pipeline aus zwei Workflows, die den Code kompiliert und die Unit Tests ausführt. Das ist das Skelett, an dem in der Serie alles Weitere hängt.
Das Internet ist voll von Beiträgen, die behaupten, DevOps sei tot. “DevOps ist Schwachsinn.” “Platform Engineering wird DevOps ersetzen.” “SRE ist die Zukunft.” In diesem Video erkläre ich, warum all diese Behauptungen falsch sind, woher sie kommen und wie DevOps, Platform Engineering und Site Reliability Engineering tatsächlich zusammenhängen.
Romano Roth ist Chief of DevOps bei Zühlke. Im Interview erklärt er, warum DevOps kein Bullshit ist, wie die Transformation im Unternehmen gelingt und was IT-Studenten wirklich lernen sollten.
Ein Interview von Daniel Ziegener veröffentlicht am 7. Januar 2023, 11:14 Uhr auf https://www.golem.de/news/devops-wenn-wir-ueber-devops-reden-muessen-wir-ueber-menschen-reden-2301-170592.html
