API-Keys, Tokens und Passwörter rutschen nach wie vor regelmässig in Repositories — manchmal aus Versehen, manchmal weil Entwickler es ehrlich nicht besser wussten. In Teil 7 unserer GitHub DevSecOps Serie schalten Patrick Steger und ich GitHubs eingebautes Secret Scanning ein, definieren ein eigenes Pattern, probieren Push Protection aus und schauen offen hin, wo die Funktion liefert und wo sie noch nicht hält, was sie verspricht.
Wir haben die GitHub-Actions-Pipeline in fünf Sessions aufgebaut: Projekt-Grundlagen, Software Composition Analysis, License Compliance und Static Application Security Testing. Die nächste Schicht ist Container Scanning — die Suche nach Schwachstellen im Docker-Image, das wir ausliefern, nicht nur im Source, den wir geschrieben haben. In Teil 6 unserer Serie teilen Patrick Steger und ich die Arbeit in zwei GitHub-Actions-Sub-Workflows auf: einer baut das Image und pusht es in die Registry, der andere zieht es zurück und lässt Trivy darauf laufen.
SCA hat unsere Dependencies abgedeckt. License Compliance hat geklärt, was wir ausliefern dürfen. SAST ist die Stelle, an der wir die Scanner auf den Code richten, den wir selbst geschrieben haben. In Teil 5 unserer GitHub DevSecOps Serie integrieren Patrick Steger und ich Static Application Security Testing in die Pipeline — und merken auf die harte Tour, dass es auf GitHub drei Actions braucht statt einer.
GitHub liefert von Haus aus keinen License Scanner mit, und als wir im Marketplace gesucht haben, hat keine der vorhandenen Actions getan, was wir brauchten. Also haben wir mit einem Kollegen von Microsoft eine eigene gebaut und veröffentlicht. In Teil 4 unserer GitHub DevSecOps Serie binden Patrick Steger und ich diese License-Finder-Action in unsere Spring-Boot-Pipeline ein, konfigurieren die erlaubten Lizenzen und zeigen, wie man die Resultate in GitHub sichtbar macht.
GitHub liefert kein Default-SCA-Tool wie GitLab. Du musst zwei Dinge kombinieren: das Plattform-Feature Dependabot und eine SCA-Action aus dem Marketplace. In Teil 3 der GitHub DevSecOps Serie verdrahten Patrick Steger und ich beides in unsere Pipeline — und merken auf die harte Tour, dass der Marketplace-Pfad nicht so glatt läuft, wie es die Slides suggerieren.
Bevor wir Security-Tools an irgendetwas anschliessen, brauchen wir ein Repository, eine Pipeline und einen lauffähigen Build. In Teil 2 unserer GitHub DevSecOps Serie legen Patrick Steger und ich ein privates GitHub-Repo für einen kleinen Java-Spring-Boot-Service an, aktivieren GitHub Actions und verdrahten eine Pipeline aus zwei Workflows, die den Code kompiliert und die Unit Tests ausführt. Das ist das Skelett, an dem in der Serie alles Weitere hängt.
Das Internet ist voll von Beiträgen, die behaupten, DevOps sei tot. “DevOps ist Schwachsinn.” “Platform Engineering wird DevOps ersetzen.” “SRE ist die Zukunft.” In diesem Video erkläre ich, warum all diese Behauptungen falsch sind, woher sie kommen und wie DevOps, Platform Engineering und Site Reliability Engineering tatsächlich zusammenhängen.
Romano Roth ist Chief of DevOps bei Zühlke. Im Interview erklärt er, warum DevOps kein Bullshit ist, wie die Transformation im Unternehmen gelingt und was IT-Studenten wirklich lernen sollten.
Ein Interview von Daniel Ziegener veröffentlicht am 7. Januar 2023, 11:14 Uhr auf https://www.golem.de/news/devops-wenn-wir-ueber-devops-reden-muessen-wir-ueber-menschen-reden-2301-170592.html
Bei dieser Veranstaltung durfte ich gemeinsam mit Carsten Brandt von SAP über DevOps in der Theorie und Praxis sprechen. Während ich die theoretischen Grundlagen von DevOps vorstellte und zeigte, wie Unternehmen von Projekten zu Produkten gelangen, brachte Carsten die Praxisperspektive aus über 21 Jahren SAP ein. Seine ehrliche Botschaft: Die Theorie steht seit Jahren, aber die Umsetzung ist alles andere als einfach, besonders in komplexen Enterprise-Landschaften.
Von Pia Wiedermayer und Romano Roth
In vielen Organisationen und Projekten sind an der Softwareentwicklung zahlreiche Mitarbeitende und Maschinen beteiligt, die ihre Aufgaben getrennt voneinander erledigen. Dieser Ansatz führt zu Problemen. So kann die Rückkehr zur ursprünglichen Art der Softwareentwicklung und der Aufbau einer organischen digitalen Fabrik helfen.
Nachdem wir die GitLab DevSecOps Serie abgeschlossen haben, hat Patrick den Job gewechselt — und sein neues Team arbeitet mit GitHub. Das Problem ist dasselbe: keine Security-Checks während der Entwicklung. Die Plattform ist eine andere. In Teil 1 unserer GitHub DevSecOps Serie zeigen wir, was GitHub ist, welches CI/CD-Vokabular man teilen muss, bevor irgendein Pipeline-Gespräch funktioniert, und wie die DevSecOps-Pipeline aussieht, die wir in den nächsten Sessions aufbauen werden.
DevOps-Trends 2023
Wir werfen einen kurzen Blick auf meine Prognosen für 2021 und 2022, bevor wir uns den Schwierigkeiten zuwenden, mit denen Unternehmen bereits konfrontiert sind. Aufgrund von Silo-Organisationen findet zwischen den verschiedenen Organisationsbereichen kaum Koordination statt, und Unternehmen planen weiterhin Jahresprojekte statt Produkte. Daher müssen Unternehmen einige DevOps-Methoden oder -Trends übernehmen. DevOps ist ein Mindset, eine Kultur mit technischen Praktiken, die alle Menschen entlang des Value Streams ausrichtet, um dem Kunden kontinuierlich Wert zu liefern. Zu den Top-DevOps-Trends für 2023 gehören das Bauen von Produkten, der Betrieb des Produkts, die Sicherstellung der Produktqualität, die Überwachung des Produkts, die Organisation entlang des Value Streams, das Ermöglichen von DevOps in Produktteams und die Industrialisierung der gesamten Produktentwicklung.
